Sniffer_网络流量分析

Sniffer 功能简介
1、Dashboard （网络流量表）
第一个表显示的是网络的使用率（Utilization），
第二个表显示的是网络的每秒钟通过的包数量（Packets），
第三个表显示的是网络的每秒错误率（Errors）。

通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

2、Host table（主机列表）
显示所有在线的本网主机地址及连到外网的外网服务器地址。

点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。

3、Detail（协议列表）
显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。

4、Bar（流量列表）
显示的是整个网络中的机器所用带宽前10名的情况。

显示方式是柱状图或者是饼图。

5、Matrix （网络连接）
显示全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。

将鼠标放到线上可以看出连接情况。

鼠标右键在弹出的菜单中可选择放大（zoom）此图。

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

1、察看整体网络流量状态。

2、找出进包和出包异常的主机ip或mac地址3、对其进行协议分析。

找出异常的网络协议。

1、2步用sniffer pro的Host Table、Matrix3步用Sniffer的解码（Decode）功能cain 用于嗅探明文协议密码比较直观有效举例：1. 蠕虫病毒流量分析1.1. 环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer 进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。

1.2. 找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。

我们利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。

图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。

通过Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过Host Table来发现，如排在发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP 的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP 这种非连接的协议有可能。

同样，我们可以发现，如下IP地址存在同样的问题：IP地址发包数量收包数量22.96.76.155 300 021.202.96.250 243 3021.211.36.252 221 022.57.1.119 189 022.11.134.72 147 021.199.151.90 129 422.1.224.202 109 1321.204.80.42 109 0这样的主机还有很多。

sniffer pro的工作原理
Sniffer Pro是一种网络分析工具，用于在计算机网络上捕获、分析和解码网络数据包。

它的工作原理主要包括以下几个步骤：
1. 捕获数据包：Sniffer Pro通过网络接口卡或者网络设备，如交换机、路由器等，实时监听网络通信流量，并捕获经过的数据包。

2. 数据包过滤：Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。

例如，可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，以便只关注特定的网络流量。

3. 解析和重组数据包：Sniffer Pro对捕获到的数据包进行解析和重组，将二进制数据转换成可读的格式，显示出数据包的各个字段和内容。

它可以支持多种协议解析，如TCP/IP、HTTP、FTP、DNS等。

4. 分析网络流量：Sniffer Pro提供了丰富的分析功能，可以对网络流量进行统计、绘图和报表生成。

用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。

5. 高级功能：除了基本的捕获和分析功能，Sniffer Pro 还提供了一些高级功能，如会话重建、流量重放、协议模拟等。

这些功能可以帮助用户更深入地了解网络通信过程，并
进行相关的测试和调试工作。

总之，Sniffer Pro通过捕获、分析和解码网络数据包，提供了一个全面的工具集，用于帮助用户监控和分析计算机网络中的数据流量，以实现网络故障排查、网络性能优化和网络安全等目的。

sniffer 教程
Sniffer是一个网络流量分析工具，用于截获和分析网络数据包。

它可以用于网络管理、网络安全监测、漏洞分析等目的。

下面是一些关于使用Sniffer的基本教程：
1. 安装Sniffer软件：首先，您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。

安装过程通常与常规软件安装类似，您只需按照安装向导的指示进行操作。

2. 启动Sniffer：安装完成后，在您的计算机上找到Sniffer 的快捷方式或应用程序图标，双击打开Sniffer。

3. 设置网络接口：在Sniffer界面上，您需要选择要监测的网络接口。

通常，您可以选择您的计算机上的网络接口（如以太网、Wi-Fi等）。

选择要监测的网络接口后，单击“开始”或类似的按钮以开始捕获网络数据包。

4. 监测网络流量：一旦Sniffer开始捕获网络数据包，它将显示经过所选网络接口的流量。

您可以在Sniffer界面上查
看捕获的数据包，并从中提取关键信息，如源地址、目的地址、协议类型等。

5. 分析网络流量：Sniffer还提供了一些分析工具，如过滤器、统计数据、图形化界面等，以帮助您分析捕获的网络流量。

您可以使用这些工具来过滤特定类型的数据包，生成统计报告，可视化网络流量数据等。

需要注意的是，使用Sniffer工具需要具备一定的网络知识和技能，以有效地利用捕获的数据包进行分析。

此外，出于安全和合法性的考虑，在使用Sniffer时，请确保遵守相关法律和规定，并仅在授权范围内使用该工具。

局域网网络性能测试与分析网络运行情况一、实验目的通过使用Sniffer Pro软件的多种监测模式，掌握局域网运行状况和检测局域网，通过网络流量测试，获得网络的使用情况（利用率、碰撞、错误帧及广播四大参数) ，对网络物理层及数据链路层的健康状况进行评估。

二、实验要求掌握Sniffer软件的功能和步骤来完成实验，在掌握基本功能的基础上，实现局域网监控应用，给出实验总结报告三、实验设备及软件Windows xp操作系统的计算机，局域网环境，Sniffer软件。

四、实验步骤1、Sniffer软件的安装及部署安装在代理服务器、要监控的应用服务器或接在交换机镜像口上的主机上。

五、实验中的问题及解决办法。

这次实验遇到的问题主要是，刚接触这个实验，有点无所是从，觉得奇怪的是，一开始什么都不用配置，就按钮就可以分析了，以前用惯了嗅探工具，都是先选择监听网卡，然后配置过滤器，最后点捕获，就可以抓取到信息了，不过sniffer这个不是这样，它不仅仅有抓包功能，更主要的是 sniffer具有网络流量的分析功能，这也是其最主要功能，因此比其他的嗅探工具强大多了。

六、实验思考题解答。

1、如何利用Sniffer Pro进行蠕虫病毒流量分析？答：可以通过下面的步骤进行分析：（1）利用Sniffer的Host Table功能，找出产生网络流量最大的主机。

（2）分析这些主机的网络流量流向，用Sniffer的Matrix查看发包目标。

（3）通过Sniffer的解码（Decode）功能，了解主机向外发出的数据包的内容。

六、实验心得体会。

通过这次实验，我发现懂得使用各种软件也是一门学问，只要你需要时联想到，就会对你有难以想象得作用。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

网络分析工具Sniffer Pro详解2008-08-16 20:01超级网络分析工具Sniffer Pro详解Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b 无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

因此，建议Sniffer系统应该有一个速度尽可能快的处理器，以及至少512MB的物理内存。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer 就不能正确抓取数据，而且有可能丢失重要的通信内容。

借助Sniffer分析网络流量 - 矩阵西点 - 51CTO技术博客借助Sniffer分析网络流量 - 矩阵西点 - 51CTO技术博客各位做维护的同事经常会听到用户对网速太慢的抱怨，但是网速慢的原因有很多，比如软件设置不当，网络设备故障，物理链路问题，感染病毒等，而单单从用户的故障描述里面很难有进一步的发现，所以也许大家一时也不知道从何下手。

Sniffer是一个非常好的流量分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。

下面是借助Sniffer对我某地市分公司出口流量做的一个简单的流量分析，没有什么很深的技术含量，也并不需要太深的专业知识，希望能对大家日常的维护工作有一定启发。

分析目标：了解目前带宽实际利用率，检查有无网络隐患。

分析方法：在核心交换机上做端口镜像，利用sniffer抓包。

测试时间：2021.5.17 10:00～10：10测试地点：中心机房抓包开始时间：5.17 10:20抓包持续时间：16s数据包个数：88865平均带宽利用率：7％1，首先我们了解一下网络中协议的分布情况，通过sniffer的ProtocolDistribution功能可以直观的看到当前网络流量中协议分布图：从上面可以很明显看出，HTTP应用流量最大占63％，其次就是NetBios流量占35％。

了解协议分布情况以后，我们再找到网络中流量最大的主机，因为流量越大也就意味着对网络的影响也就越大，利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器，如下图所示：可以看到219.72.238.88，219.72.237.201这两台主机在目前我们网络内部流量较大，分别占16.52%和15.97％。

简述sniffer的工作原理Sniffer的工作原理Sniffer是一种网络工具，用于监控和分析网络数据流量。

它可以捕获网络数据包，并提取其中的信息，帮助网络管理员识别和解决网络问题。

本文将简述Sniffer的工作原理。

Sniffer工作的第一步是在网络上监听数据包的传输。

它可以通过多种方式进行监听，比如将网卡设置为混杂模式或者通过集线器进行监听。

一旦Sniffer开始监听，它就能够捕获通过网络传输的数据包。

捕获到的数据包包含了源IP地址、目标IP地址、源端口号、目标端口号以及数据内容等信息。

这些信息对于分析网络流量非常重要。

Sniffer通过解析数据包的各个字段，将其转化为可读的格式，并提取出关键信息。

这些信息可以帮助网络管理员识别网络中的异常情况，比如网络拥塞、安全漏洞等。

Sniffer的另一个重要功能是过滤数据包。

在大规模的网络环境中，网络流量非常庞大，有许多不相关的数据包。

为了减少分析的复杂性，Sniffer可以根据预先设定的规则对数据包进行过滤。

比如，可以只捕获来自特定IP地址或特定端口号的数据包。

通过过滤，Sniffer可以快速定位到用户感兴趣的数据包，提高分析的效率。

除了捕获和过滤数据包，Sniffer还可以对数据包进行分析和展示。

它可以统计数据包的数量、流量的大小、协议的分布等信息。

这些统计信息对于了解网络的使用情况非常有帮助。

此外，Sniffer还可以对数据包的内容进行解码，以便分析和审查。

它可以识别各种网络协议，比如TCP、UDP、HTTP等，并将其转化为易于阅读的形式。

Sniffer工作的最后一步是呈现分析结果。

它可以以文本或图形的形式展示分析结果。

文本形式可以提供详细的数据包信息，包括源IP 地址、目标IP地址、端口号、协议等。

图形形式可以以柱状图、饼状图等形式展示统计结果，使得分析结果更加直观和易于理解。

Sniffer是一种强大的网络工具，通过捕获、过滤和分析网络数据包，帮助网络管理员监控和解决网络问题。

网络嗅探：用Sniffer监控网络流量出处：硅谷动力作者：banker 时间：2007-09-28 10:28随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。

应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有于而力不足。

毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。

Sniffer Pro 著名网络协议分析软件。

本文利用其强大的流量图文系统Host Table来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P 终结者、网络执法官等网络监控软件。

这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。

这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。

这对于要求正常的网络来说，是不可思议的。

在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。

硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。

光纤10M接入，华为2620做为接入网关。

软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。

用sniffer pro进行网络流量扫描对我们网管员来说最头疼的恐怕就是复杂的网络故障了，一般的网络断开和连通对我们来说比较好解决，可以通过三步ping法来定位故障原因。

不过对于那些诸如网络时断时续，网络不稳定，网络速度缓慢与实际带宽严重不符以及众多病毒木马干扰网络浏览的情况就不那么容易解决了。

遇到这时，我们只能借助于专业的需要花费高额经费购买的网络管理工具，这些工具可以提供我们每台计算机的流量和连接情况，从而分析出问题所在。

不过说句实话，这些工具的核心都是网络嗅谈器，也就是我们常说的sniffer，通过将网卡切换到混杂模式，实现对网络中所有数据包的监听。

因此我们只要能够找到适合自己的sniffer程序就没有必要白花冤枉钱了。

本文介绍sniffer中的鼻祖——sniffer pro，他不属于付费工具，他是由NAI公司出品的可能是目前最好的网络协议分析软件之一，支持各种平台，性能优越，做为一名好网管员肯定需要有这么一套好的网络协议分析软件，今天笔者就将他推荐给各位读者。

sniffer pro小档案：软件版本：v4.7.530 特别版软件大小：33.02 MB软件语言：英文软件类别：共享软件运行环境：WinXP/Win2000/NT/WinME/Win9X/Win2003下载地址：/server/SnifferPro_4_70_530.rar软件安装：sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT 目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

(如图1)图1注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct conection to the internet。

6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

二、Sniffer功能Sniffer Pro主要包含4种功能组件（1）监视：实时解码并显示网络通信流中的数据。

（2）捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

（3）分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

（4）显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

网络监控是Sniffer的主要功能，其他功能都是为监控功能服务的，网络监控可以提供下列信息。

（1）负载统计数据，包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。

（2）出错统计数据，包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。

（3）按照不同的底层协议进行统计的数据。

（4）应用程序的响应时间和有关统计数据。

（5）单个工作站或会话组通信量的统计数据。

（6）不同大小数据包的统计数据。

三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。

本次以 IP 地址为测量基准。

1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接，也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接，如下图，表示出与192.168.0.250相连接的IP地址1.3、monitor protocol distribution查看协议分布状态，可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network：显示网络利用率等统计信息。

sniffer工作的基本原理Sniffer工作的基本原理Sniffer，也被称为网络嗅探器或数据包嗅探器，是一种用于捕获和分析网络数据包的工具。

它可以监听网络上的数据流量，并提供一种方法来分析和识别通过网络传输的数据。

那么，Sniffer工作的基本原理是什么呢？我们需要了解数据包是什么。

数据包是计算机网络中传输的基本单位，它包含了发送和接收数据的相关信息。

数据包通常由首部和载荷组成。

首部包含了控制信息，如源IP地址、目标IP地址、协议类型等。

载荷则是实际传输的数据。

Sniffer工具通过嗅探网络接口上的数据包来进行工作。

它可以捕获网络上的所有数据包，无论是从本地主机发送还是接收的。

Sniffer 的工作原理可以分为以下几个步骤：步骤一：网络接口的监听Sniffer工具通过打开网络接口的监听模式，可以捕获经过该接口的所有数据包。

它可以监听以太网、无线网卡等不同类型的网络接口。

步骤二：数据包的捕获一旦网络接口处于监听模式，Sniffer工具就会开始捕获经过该接口的数据包。

它会将捕获到的数据包保存到缓冲区中，以便进行后续的分析和处理。

步骤三：数据包的分析捕获到数据包后，Sniffer工具会对数据包进行分析。

它会解析数据包的首部信息，提取出源IP地址、目标IP地址、协议类型等相关信息。

此外，Sniffer还可以解析传输层协议，如TCP和UDP，以及应用层协议，如HTTP和FTP。

步骤四：数据包的记录和展示分析完成后，Sniffer工具会将数据包的相关信息记录下来，并以易于阅读的方式展示给用户。

这包括了数据包的源IP地址、目标IP 地址、协议类型、传输层端口等信息。

此外，Sniffer还可以将数据包的载荷展示出来，用户可以查看传输的实际数据。

步骤五：过滤和筛选Sniffer工具通常提供了过滤和筛选功能，以便用户可以只关注特定的数据包。

用户可以根据源IP地址、目标IP地址、协议类型、传输层端口等条件进行过滤，只显示满足条件的数据包。

Wireshark, Sniffer and Omnipeek三款网络分析工具的比较一、网络分析软件概述自从网络出现以来，网络故障就没有停止过。

如何快速、准确地定位故障和保持网络的稳定运行一直是人们追求的目标。

为了分析网络故障的原因，一类专业的网络分析软件便产生了。

网络分析软件充当了网络程序错误的检修工具，开发人员使用它发现协议开发中的BUG，很多人使用它监听网络数据，同时也是检查安全类软件的辅助工具。

网络分析软件从产生到现在已经经历了三个阶段：第一阶段是抓包和解码阶段。

早期的网络规模比较小、结构比较简单，因此网络分析软件主要是把网络上的数据包抓下来，然后进行解码，以此来帮助协议设计人员分析软件通信的故障。

第二阶段是专家系统阶段。

网络分析软件通过抓下来的数据包，根据其特征和前后时间戳的关系，判断网络的数据流有没有问题，是哪一层的问题，有多严重。

专家系统不仅仅局限于解码，更重要的是帮助维护人员分析网络故障，专家系统会给出建议和解决方案。

第三阶段是把网络分析工具发展成网络管理工具。

网络分析软件作为网络管理工具，部署在网络中心，能长期监控，能主动管理网络，能排除潜在问题。

二、三款软件的特点1.Wireshark 0.99.4Wireshark是一款高效免费的网络抓包分析工具。

它可以捕获并描述网线当中的数据，如同使用万用表测量电压一样直观地显示出来。

在网络分析软件领域，大多数软件要么晦涩难懂要么价格昂贵，Wireshark改变了这样的局面，它的最大特点就是免费、开源和多平台支持。

Wireshark几乎可以运行于所有流行的操作平台，如MS Windows、Mac OS、Linux、FreeBSD、HP-UX、NetBSD、Solaris/i386、Solaris/sparc等等。

尽管Wireshark 可以在很多操作平台使用，但它支持的传输媒介主要是Ethernet。

只有Linux平台下Wireshark支持802.11及Token Ring、FDDI和ATM。

Sniffer Infinistream分析案例1. 概述用户业务的运行对网络的依赖性越来越强，网络特别是骨干网络的稳定健康运行直接关系到日常业务的正常运行。

对骨干网络的流量分析；对潜在隐患提前预警；对各种发生的故障进行及时定位、分析、处理；在此基础上合理利用网络资源；根据应用现状和发展趋势进行网络规划；保障网络安全、高效、稳定的运行就变得日趋重要。

用户现有的网络管理系统在长期的网络流量分析方面存在不足。

主要表现在如下方面：∙长期的网络和应用问题分析能力不足现有的网络管理系统无法长期的纪录网络和应用的运行状态，无法长期的保存网络流量信息，在出现网络或应用问题时，不能为网络技术人员提供有效的信息依据，问题往往是依靠网络技术人员通过推断来分析，这样网络问题的分析效率很低，同时很难得到确实的分析结论。

∙缺乏对网络和应用间歇性问题的分析能力网络或应用可能出现间歇性故障，这种故障的出现一般很难判断，在出现后很难分析其产生原因，而再次出现的时间无法确定，因此难以解决，好像网络中存在一个不定时的炸弹，使用户网络和应用时刻处于危险之中。

∙对网络安全问题的分析能力不足在发生网络安全问题时，缺乏有效的监控分析手段，导致网络的安全性降低，例如蠕虫病毒的爆发，应该能够对蠕虫病毒的传播情况进行有效的分析。

2. Sniffer Infinistream产品介绍Sniffer Infinistream 是Sniffer企业网络管理系统的重要组成部分，Sniffer Infinistream集成Sniffer业界领先的网络流量监控和解码分析能力以及专家系统，同时具备大容量的存储能力，为您提供了业界领先的的网络故障隔离和性能管理解决方案，Infinistream具备如下技术特点：∙千兆位网络流量数据捕获和存储Infinistream能够实现千兆网络流量的线速捕获，Infinistream采用了stream-to-disk技术，实现高达1800Mbps的捕获存储性能，能够有效地捕获、检索和存储网络中的所有数据包，并提供全面、明确的分析数据。