SNIFFER网络数据包分析

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

sniffer工作原理
Sniffer是一种网络数据包捕捉工具，用于监控和分析网络通信的内容。

其工作原理如下：
1. 网络数据包捕获：Sniffer通过在网络接口上设置混杂模式（promiscuous mode），接收并记录通过网络传输的数据包。

在这种模式下，网卡将接收到的所有数据包都传递给操作系统，而不仅仅是针对该网卡的目的地地址或广播地址的数据包。

2. 数据包过滤与捕获：Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理，只保留满足规则要求的数据包。

这些规则可以是源/目的IP地址、端口号、协议类型等。

3. 数据包解析：Sniffer对捕获到的数据包进行解析，将网络数据包的各个部分进行拆解，并生成能够被阅读和分析的格式。

解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。

4. 数据包分析：Sniffer对解析后的数据包进行进一步的分析，包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。

通过分析这些信息，可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。

需要注意的是，由于Sniffer在网络上实时监控和捕获数据包，因此在使用过程中需要遵守法律法规，确保合法使用，并保护用户隐私与数据安全。

实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

sniffer pro的工作原理
Sniffer Pro是一种网络分析工具，用于在计算机网络上捕获、分析和解码网络数据包。

它的工作原理主要包括以下几个步骤：
1. 捕获数据包：Sniffer Pro通过网络接口卡或者网络设备，如交换机、路由器等，实时监听网络通信流量，并捕获经过的数据包。

2. 数据包过滤：Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。

例如，可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，以便只关注特定的网络流量。

3. 解析和重组数据包：Sniffer Pro对捕获到的数据包进行解析和重组，将二进制数据转换成可读的格式，显示出数据包的各个字段和内容。

它可以支持多种协议解析，如TCP/IP、HTTP、FTP、DNS等。

4. 分析网络流量：Sniffer Pro提供了丰富的分析功能，可以对网络流量进行统计、绘图和报表生成。

用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。

5. 高级功能：除了基本的捕获和分析功能，Sniffer Pro 还提供了一些高级功能，如会话重建、流量重放、协议模拟等。

这些功能可以帮助用户更深入地了解网络通信过程，并
进行相关的测试和调试工作。

总之，Sniffer Pro通过捕获、分析和解码网络数据包，提供了一个全面的工具集，用于帮助用户监控和分析计算机网络中的数据流量，以实现网络故障排查、网络性能优化和网络安全等目的。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

实验三使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1)实现捕捉ICMP、TCP等协议的数据报；2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构，会话连接建立和终止的过程，TCP序列号、应答序号的变化规律，了解网络中各种协议的运行状况；3)并通过本次实验建立安全意识，防止明文密码传输造成的泄密。

2、实验环境两台安装Windows2000/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或交换机处于联网状态。

3、实验任务1)了解Sniffer安装和基本使用方法，监测网络中的传输状态；2)定义过滤规则，进行广义的数据捕获，分析数据包结构；3)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）4、实验步骤：(1)、打开Sniffer软件，点击捕获——过滤设置——选择TCP和IP。

图（一）图（二）图（三）图（四）(2)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）5、实验总结：由图（一）可以知道：帧捕获的时间、帧长、源和目的，以及IP的信息。

由图（二）可以知道：TCP的信息，源端口号（80）、目的端口号（1234）、序列号（2602531683）、偏移量等由图（三）可以知道：ICMP的信息，Type=8,序列号（2048）图（四）是IP的详细信息。

ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。

今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单，需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件，但是它不能监测网络任意点的所有流量，sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。

在显示捕获信息的窗口中，包括：高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前，这个窗口不会显示任何信息，捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆：ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。

这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。

这里，我们会与一个流量受到限制的Novell NetWare 服务器进行通讯，这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题，原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时，经常会出现这条信息解码{Decode}：单击Decode选项，显示解码窗口，其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分：总结：给出了捕获的数据，源地址、目标地址、时间和长度详细资料：可以详细查看所捕获的协议信息HEX窗口：以十六进制表示的解码时间标记：绝对时间（Abs.Time）表明了数据包捕获的时间，和当前系统时间一样相对时间（Rel.Time）表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间（Delta Time）表明的是两个相邻数据包之间的时间差。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

sniffer实验报告Sniffer实验报告引言：在现代信息技术高度发达的时代，网络安全问题日益突出。

为了保护个人隐私和网络安全，网络管理员和安全专家需要不断寻找新的方法和工具来监测和防止网络攻击。

Sniffer（嗅探器）作为一种常见的网络安全工具，可以帮助我们分析网络流量并检测潜在的威胁。

本实验旨在了解Sniffer的工作原理和应用，并通过实际操作来验证其有效性。

一、Sniffer的工作原理Sniffer是一种网络数据包分析工具，其基本原理是通过监听网络接口，捕获经过该接口的数据包，并对其进行解析和分析。

Sniffer可以在本地网络或互联网上的任何位置运行，以便监测和分析网络流量。

它可以截取各种类型的数据包，包括TCP、UDP、ICMP等，并提取其中的关键信息，如源IP地址、目标IP地址、端口号等。

二、Sniffer的应用场景1. 网络安全监测：Sniffer可以帮助网络管理员及时发现和分析潜在的网络攻击，如端口扫描、DDoS攻击等。

通过监测网络流量，Sniffer可以检测到异常的数据包，并对其进行分析，提供有关攻击者的信息和攻击方式的线索。

2. 网络故障排查：当网络出现故障时，Sniffer可以帮助我们快速定位问题所在。

通过捕获和分析数据包，我们可以了解网络中的通信情况，查找网络设备的故障点，并进行相应的修复。

3. 网络性能优化：Sniffer可以帮助我们监测和分析网络的性能瓶颈，并提供优化建议。

通过分析网络流量和延迟情况，我们可以找到网络中的瓶颈节点，并采取相应的措施来提高网络的性能和稳定性。

三、实验过程和结果为了验证Sniffer的有效性，我们在实验室环境中搭建了一个小型网络，并使用Sniffer来捕获和分析数据包。

实验中，我们使用了Wireshark作为Sniffer工具，并连接了一台电脑和一个路由器。

首先，我们启动Wireshark，并选择要监听的网络接口。

然后，我们开始捕获数据包，并进行一段时间的网络活动，包括浏览网页、发送电子邮件等。

网络与信息安全技术报告实验一 sniffer【实验目的】熟练的掌握sniffer软件；【实验要求】（1）学会安装sniffer，并正确配置；（2）学会抓包；（3）熟悉的理解和分析包的内容【实验包分析】分析的包为：上面的包解析为：此包由数据链路层包里面封装一个IP数据包和一个TCP包构成,且数据包的填充字长是6个字节,以太网类型是0800,表示为IPV4协议.其中：1、数据链路层头部分析：此DLC头部显示出此包在下午14:46:30抓获，并且包的大小是60个字节。

目的计算机的MAC地址是1FA60B，源计算机的MAC地址是6D9CE5。

数据报的类型是IP数据报。

2、此包中包含的IP数据包的数据分析如下：由上得：计算机连接此网络的IP协议版本是IPV4,数据报的头部固定字长是20个字节;服务类型值是00，我们看到Type of service下面一直到总长度部分都是0,每个二进制数位的意义都不同,取决于最初的设定, 例如，正常延迟设定为0，说明没有设定为低延迟，如果是低延迟，设定值应该为1。

数据的总长度(Total length)是40 字节,为Internet文件头和数据的长度之和,除去20字节的首部长度,它的数据长度是20字节.Identification :该数值是文件头的标示符部分,即此头文件的标示符为23657，当数据包被划分成几段传送时，接收数据的主机可以用这个数值来重新组装数据。

Flags(标记):数据包的“标记”功能，1。

=don’t fragment说明它是没有被分片的，下面标记0说明这个数据包是最后一个数据包，不可分片！Fragment offset(分段差距)：上图表示分段差距是0字节，分段差距用来说明某个区段数据包的那个部分。

Time to live（生存时间）：表示TTL值的大小，由上可以得知这个数据包可以保存64S或者经过64个路由器；Protocol（协议）：显示协议值，代表传输层协议，文件头的写一部分只说明要使用的下一个上层协议是什么，这里是TCP；Header checksum(校验和)：这里显示了校验和(只在这个头文件中使用)的值，并且已经做了标记，表明这个数值是正确的；Source address(源地址)：显示了数据的来源地址，此处的数据来源IP 地址是222.18.75.60；Destination address(目的地址)：显示了数据访问的目的地址，此处的目的地址是118.215.189.1913、TCP数据包:Source port(源计算机开放端口):说明此包的源计算机开放端口是2953;Destination port(本地计算机的访问端口): 本地计算机的访问端口是80;并且使用的HTTP协议访问网络;Sequence number(序列码):表示当前访问数据的数据序号是818207329;Next expected Seq number(下一访问数据序列码):下一个访问的数据序列号是818207329;Acknowledgment number(确认码): 32位，如果设置了ACK控制位，这个值表示一个准备接收的包的序列码，只有ACK标志为1时，确认号字段才有效。

用Sniffer抓包分析以太网帧用sniffer抓icmp包来分析。

1。

ping 192.168.1.1 -l 0ping一个ip，指定携带的数据长度为0抓包分析如图：从图上的1处我们可以看到这个数据总大小是：60byte从2处看到ip数据总长度：28byteip数据为什么是28byte？因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即：28＝20＋8而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节以太网帧头部＋ip数据总长度＝14＋28＝42注意3处标记的，填充了18个字节。

42＋18＝60刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加上4字节尾部校验，正好等于64！64恰好是以太类型帧最小大小。

在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。

再分析一个ping 192.168.1.1 -l 64数据大小106byte106－14（以太类型帧头部）=92刚好等于ip部分的显示大小92－20（ip）－8（icmp头）＝64刚好等于我们指定的64字节ping 包以太网帧实际承载数据部分最大为1500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。

所以第一个帧的大小会是1500（实际数据部分大小，含ip和icmp报头）＋14（以太类型帧头部）＝1514，在第一个帧里实际携带了多少数据的是1500－20（IP 报头）－8（icmp 报头）＝1472，剩余28bytes数据会在后续帧中后续帧大小：14（以太类型头）＋20（ip头）＋28（实际数据）＝62注意上面的计算我们都不计算尾部4字节校验的。

简述sniffer的工作原理Sniffer的工作原理Sniffer是一种网络工具，用于监控和分析网络数据流量。

它可以捕获网络数据包，并提取其中的信息，帮助网络管理员识别和解决网络问题。

本文将简述Sniffer的工作原理。

Sniffer工作的第一步是在网络上监听数据包的传输。

它可以通过多种方式进行监听，比如将网卡设置为混杂模式或者通过集线器进行监听。

一旦Sniffer开始监听，它就能够捕获通过网络传输的数据包。

捕获到的数据包包含了源IP地址、目标IP地址、源端口号、目标端口号以及数据内容等信息。

这些信息对于分析网络流量非常重要。

Sniffer通过解析数据包的各个字段，将其转化为可读的格式，并提取出关键信息。

这些信息可以帮助网络管理员识别网络中的异常情况，比如网络拥塞、安全漏洞等。

Sniffer的另一个重要功能是过滤数据包。

在大规模的网络环境中，网络流量非常庞大，有许多不相关的数据包。

为了减少分析的复杂性，Sniffer可以根据预先设定的规则对数据包进行过滤。

比如，可以只捕获来自特定IP地址或特定端口号的数据包。

通过过滤，Sniffer可以快速定位到用户感兴趣的数据包，提高分析的效率。

除了捕获和过滤数据包，Sniffer还可以对数据包进行分析和展示。

它可以统计数据包的数量、流量的大小、协议的分布等信息。

这些统计信息对于了解网络的使用情况非常有帮助。

此外，Sniffer还可以对数据包的内容进行解码，以便分析和审查。

它可以识别各种网络协议，比如TCP、UDP、HTTP等，并将其转化为易于阅读的形式。

Sniffer工作的最后一步是呈现分析结果。

它可以以文本或图形的形式展示分析结果。

文本形式可以提供详细的数据包信息，包括源IP 地址、目标IP地址、端口号、协议等。

图形形式可以以柱状图、饼状图等形式展示统计结果，使得分析结果更加直观和易于理解。

Sniffer是一种强大的网络工具，通过捕获、过滤和分析网络数据包，帮助网络管理员监控和解决网络问题。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

1. 环境简介这是一个实际发生的网络利用率异常导致网络大量丢包的案例，用户的网络丢包现象很严重，给用户造成了很大的困扰。

2. 网络环境用户的网络是一个省级网络环境，包括局域网和广域网，并同全国的广域网络相连。

网络拓扑如下：3.网络异常现象该网络丢包现象严重，如果通过省局域网向地市网络或全国网络发包，每发出10个PING包将只能收到7个REPLY包，这样，基于网络的应用受到很大的影响。

4.找出产生网络流量最大的主机我们同样利用Sniffer的Host Table功能，将该网络所有计算机产生的网络流量按照发出数据包的包数多少进行排序，结果如下图。

从上图中我们看到，IP地址为10.22.0.25的主机发出数据包最多，远远超过了其他主机，相应产生的流量也最大。

5.分析这台主机的网络流量首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。

通过Sniffer的Matrix，我们发现IP地址为10.22.0.25的主机发出的数据包很分散，我们调查了一下，发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机，而它发包的对象是该网络中地市级路由器的IP地址，也就是说网络的网管主机向地市路由器发出大量的网络包，导致网络流量异常并导致网络大量丢包，使网络处于不稳定状态。

在发现这个问题后，我们将该网管主机的网络连接解除，发现网络马上恢复到了正常状态，不在有丢包现象发生，看起来这个网络的问题完全是由这台网管主机引起的一样，但这种现象非常难以理解，为什么网管主机会造成网络问题呢。

我们利用Sniffer的Decode功能将捕获到的网络流量解码，来分析网管主机发出的数据包的内容，看看到底它发出了什么样的数据包。

我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP Echo数据包，也就是Ping包，我们对其向10.22.127.246发送的ICMP Echo包进行分析，发现了奇怪的现象。

Sniffer的数据包分析与防范Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义，并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。

然后系统地介绍了网络中几种重要的协议的数据报格式，在此基础上，介绍Snifer对这几种协议进行的解码分析，通过Sniffer的分析能够清楚地看到几种数据报的详细内容。

鉴于Sniffer对信息的监听，本文提出了几种防范Sniffer监听的方法，主要有防火墙技术、加密技术等。

最后，针对当前我国的信息监听面临的形势，提出了自己对信息监听技术发展前景的看法。

关键字：信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1．信息监听的意义；我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相关应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。

监听技术有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。

2、Sniffer的介绍；Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。

进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。

Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

Sniffer之所以著名，是因它在很多方面都做的很好，它可以监听到网上传输的所有信息。

Sniffer可以是硬件也可以是软件。

主要用来接收在网络上传输的信息。

网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP 等等，也可以是集中协议的联合体系。

、实验目的：1、理解协议分析仪的工作原理；2、学会使用Sniffer Pro捕获数据包；3、学会分析协议数据包。

二、实验设备硬件：PC机二台和交换机一台。

软件：作服务器的PC需安装Windows 2000 Server，另一台PC作客户机，可为Windows 2000/XP，并安装Sniffer Pro 4.7.5。

拓朴结构图：三、任务描述作为公司网络管理员需要熟悉网络协议，熟练使用协议分析仪。

使用协议分析仪，宏观上，可以进行统计以确定网络性能。

微观上，可以从数据包分析中了解协议的实现情况，是否存在网络攻击行为等，为制定安全策略及进行安全审计提供直接的依据。

四、实验内容和要求1、使用Sniffer Pro捕获数据包；2、定义过滤条件；3、分析数据包协议；4、截获HTTP网页内容（如手机号码）5、截获FTP客户名和密码。

五、实验步骤：1、设置IP地址：为了避免各组的IP地址发生冲突，各组将本组机的IP地址设为192.168.X.N，X为组号，N由组长指定，组内机要不相同。

服务器的IP地址： Sniffer Pro机的IP：2、新建文件夹和文件新建文件夹“D：\MyFTP”和文本文件：“test.txt”。

test.txt中的内容为：Hello, everybody! Miss you!3、新建本地用户：右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”，新建用户FTPuser，密码为ftpXXXX，XXXX为班号+组号，如一班三组为：0103。

4、创建一个FTP站点：a）单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”，打开“Internet信息服务”管理工具。

b）右键单击“默认FTP站点”，选择“属性”，进入“默认FTP站点属性”设置界面。

c）修改主目录：在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。

d）设置客户对文件的操作类型（见上图），允许的操作有“读取”、“写入“和“日志”。