(siffer抓包.docVIP

Sniffer 一 Sniffer介绍 Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类 　　如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer Pro - 功能 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 　(1) 监控Internet连接共享 　　如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。 　　如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口(连接 代理服务器或者路由器的端口)映射为另外一个端口，并将Sniffer Pro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将 A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个局域网中的数据了。 2. 设置监控网卡 　　如果计算机上安装了多个网卡，在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，Sniffer Pro就会自动选择同样的代理。 1 启动sniffer pro 在安装sniffer pro之前需要安装Win_cap（监听包），然后选择网络适配器如图1.1，如果没有出现则点击”新建”,如图1.2： （描述）Description：为该网卡设置一个名称，可以是关于该网卡的描述。 （网络适配器）Network：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。 （netpod类型）Netpod Configuration：在这里可以设置高速以太网Pod，为了使以太网可以以全双工模式工作，在“Netpod”下拉列表中选择“Full Duplex Pod(全双工Pod)”选项，在 “Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。例如，Sniffer Pro IP地址为，Netpod IP地址就必须设置为。全双工Pod要求有静态IP地址，所以应该禁用DHCP。 （拷贝设置从）Copy settings：在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。 　　设置完成以后单击“OK”按钮，添加到“Settings”对话框中，然后就可以选择监控该网卡了。 图1.1 选择网络适配器 图1.2 添加网络适配器 图1.3 Sniffer pro 协议分析器主界面 2.认识sniffer pro 界面 2.1 仪表盘 首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”， “Packets/s数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。 　　(1) Utilization%(利用率百分比) 　　用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表 示警戒值，表盘下方有两个数字，第一个数字代表当前利用率百分比，第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。但是，网络 数据流通常都是突发型的，一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率的理想方法要因网络不同而改变，而且很大 程度上要取决于网络的拓扑结构。在以太网端口，利用率到40%，效率可能已经很高了，但是在全双工可转换端口，80%的利用率才是高效的。