sniffer之ARP报文分析.ppt

Sniffer是NAI公司推出的功能强大的协议分析软件 中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。 可以监视网络的状态、数据流动情况以及网络上传输的信息。 Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络环境 收集网络利用率及错误 捕获明文传送的USERID和password ARP报文结构 Sniffer之ARP 前3红色部分分属于二层帧头的内容，黑色部分分属于IP头内容。 下边看看各个字段的作用： Sniffer之ARP Sniffer之ARP Sniffer之ARP Sniffer之ARP 上图中看到协议类型是0806，说明是ARP协议。 字段4，硬件类型是0001，说明是10M以太网（实际是100M）。 字段5，0800说明是IP报文。 字段6，硬件地址06说明物理地址（MAC）的长度是6字节。 字段7，04说明协议地址（IP）长度是4字节。 字段8，0002，说明这个包为一个ARP响应。 特别需要注意一点的是：如果我们向对方发ARP包的话，字段2和字段9必须一致。以为字段2的源MAC，字段9是发送方MAC，二者是一个概念，不过不一致，遇到高手就露馅了。 * SNIFFER概述 SNIFFER功能 接受者IP 接受者MAC 发送者IP 发送者MAC 操作类型 协议地址 硬件地址 协议类型 硬件类型 协议类型 源MAC 目的MAC 4字节 6字节 4字节 6字节 2字节 1字节 1字节 2字节 2字节 2字节 6字节 6字节 12 11 10 9 8 7 6 5 4 3 2 1 Sniffer之ARP 我们来看一下捕获的这几个数据00 60 6e 30 15 55 00 d0 d0 46 0a 08 06 00 0108 00 06 04 00 02 00 d0 d0 46 0a c0 a8 01 0100 60 6e 30 15 55 c0 a8 01 64 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 目的MAC 源MAC 协议类型 硬件类型 依次类推我们可以知道发送方和接收方的MAC地址及IP地址 发送方MAC 发送方IP 接收方MAC 接收方IP *