siffer抓包分析和总结.docxVIP

PAGE PAGE 10 Sniffer — Sniffer 介 绍 Sniffer ，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以 明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置 在监听模式，便可以将网上传输的源源不断的信息截获。 Sniffer 技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用 户口令。但实际上 Sniffer 技术被广泛地应用于网络故障诊断、协议分析、应用性能分析 和网络 Sniffer 的分类 如果 Sniffer 运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 二 sniffer pro Sniffer 软件是 NAI 公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 使用 Sniffer 捕获数据时，由于网络中传输的数据量特别大，如果安装 Sniffer 的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内 存来执行捕获功能，就很容易造成 Sniffer 系统死 机或者崩溃。因此，网络中捕获的流量越多，建议 Sniffer 系统应该有一个速度尽可能快的计算机。 Sniffer Pro 计算机的连接 要使 Sniffer 能够正常捕获到网络中的数据， 安装 Sniffer 的连接位置非常重 要， 必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随 意安装在网络中的任何一个地址段， Sniffer 就不能正确抓取数 据，而且有可能丢失重要的通信内容。一般来说， Sniffer 应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。 当哪个网段出现问题时，直接带着该笔记本 电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。 监控 Internet 连接共享 如果网络中使用代理服务器，局域网借助代理服务器实现 Internet 连接共享， 并且交换机为傻瓜交换机时， 可以直接将 Sniffer Pro 安装在代理服务器上， 这样，Sniffer Pro 就可以非常方便地捕获局域网和 Internet 之间传输的数据。 如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局 域网出口 (连接 代理服务器或者路由器的端口 )映射为另外一个端口， 并将 Sniffer Pro 计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为 A，连接笔记本电脑的端口设置为 B，将笔记本电脑的网卡与 B 端口连接，然后将 A 和 B 做端口映射，使得 A 端口传输的数据可以从 B 端口监测到，这样， Sniffer 就可以监测整个局域网中的 数据了。 设置监控网卡 如果计算机上安装了多个网卡， 在首次运行 Sniffer Pro 时，需要选择要监控的网卡， 应该选择代理网卡或者连接交换机端口的网卡。当下次运行时， Sniffer Pro 就会自动选择同样的代理。 1 启动 sniffer pro 在安装 sniffer pro 之前需要安装 Win_cap （监听包），然后选择网络适配器如图 1.1 ，如果没有出现则点击 ”新建”,如图 1.2 ： （描述） Description ：为该网卡设置一个名称，可以是关于该网卡的描述。 （网络适配器） Network ：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。 （netpod 类型） Netpod Configuration ：在这里可以设置高速以太网 Pod，为了 使以太网可以以全双工模式工作，在“ Netpod ”下拉列表中选择“ Full Duplex Pod( 全双工 Pod) ”选项，在 “Netpod IP ”框中输入 Sniffer Pro 系统的网络适配器的 IP 地址再加 1。例如， Sniffer Pro IP 地址为 ，Netpod IP 地址就必须设置为 。全双工 Pod 要求有静态 IP 地址，所以应该禁用DHCP 。 （拷贝设置从） Copy settings ：在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。 设置完成以后单击“ OK”按钮，添加到“ Settings ”对话框中，然后就可以选择监控该网卡了。 图 1.1 选择网络适配器 图 图 1.2 添加网络适配