Sniffer軟件的功能和使用方法.doc

6.2.3 Sniffer軟件的功能和使用方法一、Sniffer基本概念Sniffer，中文可以翻譯為嗅探器，是一種基于被動(dòng)偵聽(tīng)原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來(lái)截獲用戶的口令，據(jù)說(shuō)某個(gè)骨干網(wǎng)絡(luò)的路由器網(wǎng)段曾經(jīng)被黑客攻入，并嗅探到大量的用戶口令。但實(shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域。二、Sniffer功能Sniffer Pro主要包含4種功能組件（1）監(jiān)視：實(shí)時(shí)解碼并顯示網(wǎng)絡(luò)通信流中的數(shù)據(jù)。（2）捕獲：抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并保存在緩沖區(qū)或指定的文件中，供以后使用。（3）分析：利用專家系統(tǒng)分析網(wǎng)絡(luò)通信中潛在的問(wèn)題，給出故障癥狀和診斷報(bào)告。（4）顯示：對(duì)捕獲的數(shù)據(jù)包進(jìn)行解碼并以統(tǒng)計(jì)表或各種圖形方式顯示在桌面上。網(wǎng)絡(luò)監(jiān)控是Sniffer的主要功能，其他功能都是為監(jiān)控功能服務(wù)的，網(wǎng)絡(luò)監(jiān)控可以提供下列信息。（1）負(fù)載統(tǒng)計(jì)數(shù)據(jù)，包括一段時(shí)間內(nèi)傳輸?shù)膸瑪?shù)、字節(jié)數(shù)、網(wǎng)絡(luò)利用率、廣播和組播分組計(jì)數(shù)等。（2）出錯(cuò)統(tǒng)計(jì)數(shù)據(jù)，包換CRC錯(cuò)誤、沖突碎片、超長(zhǎng)幀、對(duì)準(zhǔn)出錯(cuò)、沖突計(jì)數(shù)等。（3）按照不同的底層協(xié)議進(jìn)行統(tǒng)計(jì)的數(shù)據(jù)。（4）應(yīng)用程序的響應(yīng)時(shí)間和有關(guān)統(tǒng)計(jì)數(shù)據(jù)。（5）單個(gè)工作站或會(huì)話組通信量的統(tǒng)計(jì)數(shù)據(jù)。（6）不同大小數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)。三、 Sniffer Pro 網(wǎng)絡(luò)監(jiān)控的幾種模式 1.1 moniter host table 圖中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機(jī)相連接的通信量的多少。本次以 IP 地址為測(cè)量基準(zhǔn)。 1.2 monitor matrix 監(jiān)聽(tīng)矩陣顯示 該蘭色圓中的各點(diǎn)連線表明了當(dāng)前處于活躍狀態(tài)的點(diǎn)對(duì)點(diǎn)連接，也可通過(guò)將鼠標(biāo)放在IP地址上點(diǎn)右鍵showselectnodes查看特定的點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)連接，如下圖，表示出與192.168.0.250相連接的IP地址1.3、monitor protocol distribution查看協(xié)議分布狀態(tài)，可以看到不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議1.4、monitor dashboard該表顯示各項(xiàng)網(wǎng)絡(luò)性能指標(biāo)包括利用率、傳輸速度、錯(cuò)誤率Network：顯示網(wǎng)絡(luò)利用率等統(tǒng)計(jì)信息。Detail Errors：顯示出錯(cuò)統(tǒng)計(jì)信息。Size Distribution：顯示各種不同大小分組數(shù)的統(tǒng)計(jì)信息。1.5 Dashbord，它可以監(jiān)控網(wǎng)絡(luò)的利用率，流量及錯(cuò)誤報(bào)文等內(nèi)容。1.6、monitor-size distribution可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配。1.7、monitor application response time該表顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表，并將本地網(wǎng)段的機(jī)器名以NETBIOS名的形式解析出來(lái)。三、包的抓取與分析1、過(guò)濾器的定制definefilter.Capture-definefilter進(jìn)入該界面后address指定以IP地址為類型，然后在下面的station1和station2中分別指定源和目的地地址。并將該設(shè)置指定為某settingprofile.這個(gè)圖中顯示的是sniffer設(shè)置過(guò)濾條件的對(duì)話框。過(guò)濾條件可以用邏輯關(guān)系，比如像AND、OR、NOT等組合來(lái)設(shè)置。在這里可以設(shè)置的過(guò)濾條件有IP地址或者物理地址（一般我們說(shuō)的都是在Internet之中，使用的是TCP/IP協(xié)議，所以選擇Ip地址是比較合適的）、數(shù)據(jù)包、協(xié)議等。好，那就一下下來(lái)設(shè)置看看了。例：第一、地址類型，選擇IP了。選擇模式,如果選包括，其意義就是指sniffer在捕獲的時(shí)候就會(huì)只對(duì)你在Station1中和Station2中所列的節(jié)點(diǎn)包進(jìn)行捕獲。選擇除外則恰恰相反。也就是說(shuō)它在捕獲的時(shí)候會(huì)過(guò)濾掉Station1和Station2中所列及的地址數(shù)據(jù)包的。第二、在Station1和Station2以及DIR的設(shè)置中，你可以指定地址對(duì)，而我要對(duì)它截獲的是與他連接的所有主機(jī)，也就是說(shuō)這個(gè)Any代表的是任何主機(jī)的意思。至于Dir，則是要選擇你要捕獲的目標(biāo)主機(jī)與其連接主機(jī)間的信息流向，這里選的是互流，即為要截獲的是與之所連接的所有主機(jī)與它的信息數(shù)據(jù).2、capture select filter start在上圖中的1部分，顯示的是所監(jiān)控的202.103.190.4與202.103.137.1主機(jī)間的應(yīng)用層的協(xié)議以及對(duì)監(jiān)控之后所得到的數(shù)據(jù)包的總結(jié)以及有效數(shù)據(jù)包的長(zhǎng)度和整個(gè)數(shù)據(jù)包的長(zhǎng)度、確認(rèn)序列號(hào)的信息。上圖中是對(duì)OICQ的監(jiān)控，所以它顯示的端口是8000和4000。而第2部分是對(duì)應(yīng)1中的灰色區(qū)域里的數(shù)據(jù)包內(nèi)容從協(xié)議的上進(jìn)行的分析。這個(gè)圖中所顯示的是1中灰色部分的IP和TCP層的解釋，從這里可以看出這個(gè)捕獲到的數(shù)據(jù)包的組成以及數(shù)據(jù)包使用的端口、狀態(tài)、時(shí)間等許多信息，用鼠標(biāo)拉動(dòng)滾動(dòng)條可以看到更詳細(xì)的對(duì)以太楨和應(yīng)用層的解釋。第3部分是這次捕獲的數(shù)據(jù)包的內(nèi)容，能看到的是十六進(jìn)制和ASCII兩中顯示形式。左邊是用十六進(jìn)制表示的包中每一個(gè)數(shù)據(jù)的位置，中間的部分是用十六進(jìn)制表示的被截獲的數(shù)據(jù)包中的內(nèi)容，右邊看到的則是ASCII形式。四、軟件中快捷鍵的位置五、報(bào)文捕獲解析5.1捕獲面板如圖顯示的是處于開(kāi)始狀態(tài)的面板：5.2捕獲過(guò)程報(bào)文統(tǒng)計(jì)可查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率5.3捕獲報(bào)文查看5.4專家分析系統(tǒng)專家分析系統(tǒng)可對(duì)網(wǎng)絡(luò)上的流量進(jìn)行一些分析。下圖顯示出網(wǎng)絡(luò)中wins查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的作用。5.5解碼分析六、基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：10.107.1.1。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。高級(jí)捕獲條件在“Advance”頁(yè)面下，你可以編輯你的協(xié)議捕獲條件，如圖：高級(jí)捕獲條件編輯圖在協(xié)議選擇樹(shù)中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下，你可以捕獲，等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤幀是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“Profiles”，你可以將你當(dāng)前設(shè)置的過(guò)濾規(guī)則，進(jìn)行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候是得不償失，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來(lái)得快七、報(bào)文放送編輯報(bào)文發(fā)送Sniffer軟件報(bào)文發(fā)送功能就比較弱，如下是發(fā)送的主面板圖：發(fā)送前，你需要先編輯報(bào)文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報(bào)文編輯按鈕?？傻玫饺缦碌膱?bào)文編輯窗口：首先要指定數(shù)據(jù)幀發(fā)送的長(zhǎng)度，然后從鏈路層開(kāi)始，一個(gè)一個(gè)將報(bào)文填充完成，如果是NetXray支持可以解析的協(xié)議，從“Decode”頁(yè)面中，可看見(jiàn)解析后的直觀表示。捕獲編輯報(bào)文發(fā)送將捕獲到的報(bào)文直接轉(zhuǎn)換成發(fā)送報(bào)文，然后修修改改可也。如下是一個(gè)捕獲報(bào)文后的報(bào)文查看窗口：選中某個(gè)捕獲的報(bào)文，用鼠標(biāo)右鍵激活菜單，選擇“Send Current Packet”，這時(shí)