08年9月三级网络技术：数据捕获sniffer解析

嗅探器(sniffer)在网络安全领域是一把双刃剑，一方面常被黑客作为网络攻击工具，从而造成密码被盗、敏感数据被窃等安全事件；另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。

嗅探器是企业必不可少的网络管理工具。

本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例，介绍如何借助sniffer来诊断网络故障，从而保障网络高效安全地运行。

简介嗅探器(sniffer)又称为包嗅探器，是用来截获计算机网络通信数据的软件或硬件。

与电话电路不同，计算机网络是共享通信通道的，从而意味着每台计算机都可能接收到发送给其它计算机的信息，捕获在网络中传输的数据信息通常被称为监听(sniffing)。

嗅探器常常作为一种收集网络中特定数据的有效方法，是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。

嗅探器工作在网络环境中的底层，可以拦截所有正在网络上传送的数据，从而成为网络安全的一个巨大威胁。

通过对网络进行嗅探，一些恶意用户能够很容易地窃取到绝密文档和敏感数据，因此嗅探器经常被黑客当作网络攻击的一种基本手段。

任何工具都有弊有利，嗅探器既可以作为黑客获得非法数据的手段，但同时对网络管理员来讲又是致关重要的。

通过嗅探器，管理员可以诊断出网络中大量的不可见模糊问题。

这些问题通常会涉及到多台计算机之间的异常通信，而且可能会牵涉到多种通信协议。

借助嗅探器，管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。

这些信息为管理员判断网络问题及优化网络性能，提供了十分宝贵的信息。

作为一种发展比较成熟的技术，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用，倍受网络管理员的青睐。

可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降；也可以用来判断是否有黑客正在攻击网络系统。

第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。

为了解决网络问题需要对网络中的数据进行相应的捕获和分析，Sniffer就是这样一种类型的软件。

它能够针对网络工作中的各种数据进行相应的捕获和分析。

从本章开始，本书将对Sniffer这类网络工具的功能和使用方法进行介绍。

1.1局域网安全概述局域网是日常使用中最常见的一种网络结构，同时也是组成网络的基本单位。

由于Sniffer必须在局域网中使用，所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。

目前的局域网基本上都采用以广播为技术基础的以太网。

在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截获。

因此，只要使用软件在接入以太网上的任一节点进行侦听，就可以捕获在这个以太网上传输的所有数据包。

如果使用相应的算法对截获的数据包进行解包分析，就可以获得相应的关键信息，这是以太网固有的安全隐患。

针对这一安全隐患，可以使用多种软件达到截获数据包并进行分析的目的。

Sniffer就是这样的一种软件。

这也是本书的一个意义：认识这种安全隐患技术，从而达到避免这种安全隐患，维护网络安全的目的。

针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。

1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施。

其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

网络分段可分为物理分段和逻辑分段两种方式。

物理分段是以硬件设备将网络划分成不同的网络地址段。

在出现问题时可以通过物理手段来断开网络以避免更大的损失。

第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。

在实际的网络工程应用中，这两种方式经常混合使用以便达到更好的效果。

通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段就可以了。

sniffer工作原理
Sniffer是一种网络数据包捕捉工具，用于监控和分析网络通信的内容。

其工作原理如下：
1. 网络数据包捕获：Sniffer通过在网络接口上设置混杂模式（promiscuous mode），接收并记录通过网络传输的数据包。

在这种模式下，网卡将接收到的所有数据包都传递给操作系统，而不仅仅是针对该网卡的目的地地址或广播地址的数据包。

2. 数据包过滤与捕获：Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理，只保留满足规则要求的数据包。

这些规则可以是源/目的IP地址、端口号、协议类型等。

3. 数据包解析：Sniffer对捕获到的数据包进行解析，将网络数据包的各个部分进行拆解，并生成能够被阅读和分析的格式。

解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。

4. 数据包分析：Sniffer对解析后的数据包进行进一步的分析，包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。

通过分析这些信息，可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。

需要注意的是，由于Sniffer在网络上实时监控和捕获数据包，因此在使用过程中需要遵守法律法规，确保合法使用，并保护用户隐私与数据安全。

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

每一个在局域网（lan）上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器（这一点与internet地址系统比较相似）.当用户发送一个数据包时,这些数据包就会发送到lan上所有可用的机器.
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应（换句话说,工作站a不会捕获属于工作站b的数据,而是简单地忽略这些数据）.如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释）,那么它就可以捕获网络上所有的数据包与帧.
2．网络监听原理
sniffor程序是一种利用以太网的特性把网络适配卡（nic,一般为以太同卡）置为杂乱（promiscuous）模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包.
普通的情况下,阿卡只接收与自己的地址有关的信息包,即传输到本地主机的信息包.要使sniffer能接收并处理这种方式的信息,系统需要支持bpf,linux下需要支持socket一packet.但一般情况下,网络硬件与tcp／ip堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的tcp／ip堆栈,网卡就必须设置为我们刚开始讲的混杂模式.一般情况下,要激活这种方式,内核必须支持这种伪设备bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行sniffer.
现在人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击.但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用sniffer进行嗅探攻击.
sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具.使用这种工具,可以监视网络的状态.数据流动情况以及网络上传输的信息.当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击.将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获.黑客们常常用它来截获用户的口令.据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令.本文将详细介绍sniffer的原理与应用. 】

sniffer工作原理Sniffer是一种网络安全工具，它可以截获网络数据包并分析其中的内容。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的工作流程可以分为以下几个步骤：1. 捕获数据包Sniffer通过网络接口卡（NIC）截获网络数据包。

NIC是计算机与网络之间的接口，它可以将计算机发送的数据转换成网络数据包，并将网络数据包转换成计算机可以理解的数据。

Sniffer通过NIC截获网络数据包，然后将数据包传递给分析程序进行分析。

2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。

分析程序可以根据需要对数据包进行过滤、排序、统计等操作，并将分析结果输出到屏幕或保存到文件中。

分析程序可以根据需要对数据包进行深度分析，例如分析数据包中的协议、源地址、目的地址、端口号等信息。

3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。

分析结果可以以图形化界面或命令行方式呈现，用户可以根据需要选择不同的显示方式。

分析结果可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

例如，网络管理员可以使用Sniffer来监控网络流量，发现网络中的异常行为，及时采取措施保障网络安全；网络安全专家可以使用Sniffer来分析网络攻击行为，发现攻击者的攻击手段和目的，提高网络安全性；网络工程师可以使用Sniffer来排查网络故障，快速定位故障点，提高网络可靠性。

总之，Sniffer是一种非常实用的网络安全工具，它可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

此文章主要向大家讲述的是Sniffer攻击含义以及对其工作原理的描述，sniffers(嗅探器)几乎与internet有一样发展历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用"sniffer" 程序。

这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer攻击呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。

如果发现符合条件的包，就把它存到一个log文件中去。

通常设置的这些条件是包含字"username"或"password"的包。

今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单，需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件，但是它不能监测网络任意点的所有流量，sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。

在显示捕获信息的窗口中，包括：高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前，这个窗口不会显示任何信息，捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆：ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。

这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。

这里，我们会与一个流量受到限制的Novell NetWare 服务器进行通讯，这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题，原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时，经常会出现这条信息解码{Decode}：单击Decode选项，显示解码窗口，其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分：总结：给出了捕获的数据，源地址、目标地址、时间和长度详细资料：可以详细查看所捕获的协议信息HEX窗口：以十六进制表示的解码时间标记：绝对时间（Abs.Time）表明了数据包捕获的时间，和当前系统时间一样相对时间（Rel.Time）表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间（Delta Time）表明的是两个相邻数据包之间的时间差。

kingzai:sniffer中文翻译过来就是嗅探器，在当前网络技术中使用得非常得广泛。

sniffer既可以做为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具。

最近两年，网络监听(sniffer)技术出现了新的重要特征。

传统的sniffer技术是被动地监听网络通信、用户名和口令。

而新kingzai:sniffer中文翻译过来就是嗅探器，在当前网络技术中使用得非常得广泛。

sniffer既可以做为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具。

最近两年，网络监听(sniffer)技术出现了新的重要特征。

传统的sniffer技术是被动地监听网络通信、用户名和口令。

而新的sniffer技术出现了主动地控制通信数据的特点，把sniffer技术扩展到了一个新的领域。

Sniffer 技术除了目前在传统的网络侦测管理外，也开始被应用在资讯保全的领域。

可以这样说，sniffer技术是一把双刃剑，如何更好的利用它，了解它的一些特性，将能使这项技术更好的为我们带来便利。

sniffer的编程方法比较通用的有以下几种，1.winpcap 这是一个比较通用的库，相信做过抓包的工具大多数人都不会太陌生 2.raw socket 在2000以后的版本都支持此项功能，2000 server 有个网络监视器就是基于raw socket 3.tdi,ndis,spi,hook socket技术，这种技术比较大的不同是可以将包截取而不是仅仅获得包的一份拷贝。

总的说来，一般以前两者居多。

我这里提的都还比较片面，更多的需要大家来补充。

我办这个专题的目的是希望大家共同来了解，讨论sniffer技术，让更多的人参与进来，让大家知道，这个板块能够给大家带来真正想要的东西。

warton:libpcap是个好东西,linux,windows下都能用，很多入侵检测之类的安全系统都是以这为核心。

不过我一直没用过它，不知道它的跨平台性如何？要用spi的话，看看xfilter的代码和书，特别是那本书上讲得不错，可惜一直没用它做出什么东西来。

19
数据包构造和发送开发包Libnet 数据包构造和发送开发包
– 实现了对网络协议的数据包构造并把构造的网络数据包发送 到网络的功能 – 非常方便。只要掌握一种协议的构造方法，其他协议的构造 方法都类似 – 高层次的编程接口，实现了很多底层的功能，屏蔽了不同操 作系统的不同之处 – 提供了两种类型的构造数据包方式，一是基于原始套接字IP 层，一是基于链路层 – 使用默认的参数设置，简化了构造过程 – 提供自动计算校验和的功能 – 支持多种平台，Linux、DOS、Windows等 – 几乎支持所有的网络协议 – 支持二次开发，不仅可以构造Libnet支持的网络协议数据包， 还可以构造不支持的网络协议数据包，使其支持更多的协议 类型
15
关于libpcap 关于
• • • • 用户态下的packet capture 系统独立的接口，C语言接口 目前最新为1.0版本 广泛应用于：
– 网络统计软件 – 入侵检测系统 – 网络调试
• 支持过滤机制，BPF
16
关于libpcap 关于
– 几乎成为网络数据包捕获的标准接口 – 效率高，使用方便，跨平台 – 不仅实现数据包的捕获还具有快速的网络数据包过滤 功能 – 利用Libpcap开发的网络安全软件 • Tcpdump 著名的网络嗅探器。可以捕获网络上的所 有数据，也可以根据过滤规则捕获特定的数据 • Snort 轻量级的网络入侵检测系统。能够在IP网络上 进行实时的流量分析和数据包记录。它不仅能
10
网络数据包生成技术
• 指人工构造数据包，然后把数据包发送到网络上 • 应用：
– 网络安全扫描系统（构造数据包，探测远程主机，根 据返回信息检查远程主机的漏洞） – 网络安全测试系统（构造各种各样的数据包来检测防 火墙、入侵检测系统的性能） – 也是攻击者用的最多的一种技术（SynFlood、ping of death……）

Sniffer 数据报文解码详解本章主要对：数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE 协议、Radius 协议等的解码分析做了简单的描述，目的在于介绍Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。

对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。

数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。

每一层次有众多协议组成。

如上图所示在Sniffer 的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC ”；网络层对应“IP ”；传输层对应“UDP ”；应用层对对应的是“NETB ”等高层协议。

Sniffer 可以针对众多协议进行详细结构化解码分析。

并利用树形结构良好的表现出来。

以太报文结构EthernetII 以太网帧结构Ethernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

IP 网络来说Ethertype 字段承载的时上层协议的类型主要包括0x800为IP 协议，0x806为ARP 协议。

应用层传输层网络层链路层Telnet FTP 和e-mail 等TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡Ethernet_II DMAC SMAC Type DATA/PAD FCSIEEE802.3以太网报文结构IEEE802.3帧结构IP协议IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。

Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。

一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。

当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。

一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用"sniffer" 程序。

这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。

如果发现符合条件的包，就把它存到一个log文件中去。

通常设置的这些条件是包含字"username"或"password"的包。

它的目的是将网络层放到promiscuous模式，从而能干些事情。

Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。

根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时，它是对以太网进行广播的。

一个连到以太网总线上的设备在任何时间里都在接受数据。

实训报告一、sniffer的功能认知；1. 实时网络流量监控分析Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析，对每个链路上的网络流量根据用户习惯，可以提供以表格或图形（条形图、饼状图和矩阵图等）方式显示的统计分析结果,内容包括：·网络总体流量实时监控统计：如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。

·协议使用和分布统计：如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。

Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。

同时，Sniffer 也具有特有的灵活性允许增加自定义的应用。

一旦应用协议加入Sniffer，针对应用的所有的监控、报警和报告便自动生效；·包尺寸分布统计：如某一帧长的帧所占百分比，某一帧长的帧数等。

·错误信息统计：如错误的CRC校验数、发生的碰撞数、错误帧数等；·主机流量实时监控统计：如进出每个网络节点的总字节数和数据包数、前x个最忙的网络节点等；话节点对等；·Sniffer还提供历史统计分析功能，可以使用户看到网络中一段时间内的流量运行状况，帮助用户更好的进行流量分析和监控。

2.应用响应时间监控和分析Sniffer 在监控网络流量和性能的同时，更加关注在网络应用的运行状况和性能管理，应用响应时间(ART)功能是Sniffer中重要的组成部分，不仅提供了对应用响应时间的实时监控，也提供对于应用响应时间的长期监控和分析能力。

首先ART监控功能提供了整体的应用性能响应时间，让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况，如客户机/服务器响应时间、服务器响应时间，最快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。

惠州学院《计算机网络》实验报告实验08 Sniffer Pro数据包捕获与协议分析1。

实验目的（1）了解Sniffer的工作原理.(2）掌握SnifferPro工具软件的基本使用方法。

(3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。

2。

实验原理数据在网络上是以很小的被称为“帧"或“包”的协议数据单元（PDU)方式传输的.以数据链路层的“帧"为例，“帧"由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等.帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程.接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理.在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂"状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer.一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

3. 实验环境与器材本实验在虚拟机中安装SnifferPro4。

7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器,物理机充当工作站。

Sniffer 数据报文解码详解本章主要对：数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE 协议、Radius 协议等的解码分析做了简单的描述，目的在于介绍Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。

对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。

数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。

每一层次有众多协议组成。

如上图所示在Sniffer 的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC ”；网络层对应“IP ”；传输层对应“UDP ”；应用层对对应的是“NETB ”等高层协议。

Sniffer 可以针对众多协议进行详细结构化解码分析。

并利用树形结构良好的表现出来。

以太报文结构EthernetII 以太网帧结构Ethernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

IP 网络来说Ethertype 字段承载的时上层协议的类型主要包括0x800为IP 协议，0x806为ARP协议。

Telnet FTP 和e-mail 等TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡Ethernet_IIIEEE802.3以太网报文结构IEEE802.3帧结构上图为IEEE802.3SNAP帧结构，与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。

Sniffer报⽂捕获解析Sniffer报⽂捕获解析捕获⾯板报⽂捕获功能可以在报⽂捕获⾯板中进⾏完成，如下是捕获⾯板的功能图：图中显⽰的是处于开始状态的⾯板捕获过程报⽂统计在捕获过程中可以通过查看下⾯⾯板查看捕获报⽂的数量和缓冲区的利⽤率。

捕获报⽂查看Sniffer软件提供了强⼤的分析能⼒和解码功能。

如下图所⽰，对于捕获的报⽂提供了⼀个Expert专家分析系统进⾏分析，还有解码选项及图形和表格的统计信息。

专家分析专家分分析系统提供了⼀个只能的分析平台，对⽹络上的流量进⾏了⼀些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显⽰出在⽹络中WINS查询失败的次数及TCP重传的次数统计等内容，可以⽅便了解⽹络中⾼层协议出现故障的可能点。

对于某项统计分析可以通过⽤⿏标双击此条记录可以查看详细统计信息且对于每⼀项都可以通过查看帮助来了解起产⽣的原因。

解码分析下图是对捕获报⽂进⾏解码的显⽰，通常分为三部分，⽬前⼤部分此类软件结构都采⽤这种结构显⽰。

对于解码主要要求分析⼈员对协议⽐较熟悉，这样才能看懂解析出来的报⽂。

使⽤该软件是很简单的事情，要能够利⽤软件解码分析来解决问题关键是要对各种层次的协议了解的⽐较透彻。

⼯具软件只是提供⼀个辅助的⼿段。

因涉及的内容太多，这⾥不对协议进⾏过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进⾏了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解⽹络上各种相关设备的制造⼚商信息。

功能是按照过滤器设置的过滤规则进⾏数据的捕获或显⽰。

在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进⾏组合筛选。

统计分析对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，⽐较简单，可以通过操作很快掌握这⾥就不再详细介绍了。