sniffer軟件的初步使用方法

1、使用Sniffer工具分析以太網(wǎng)幀和IP數(shù)據(jù)報(bào)一、實(shí)驗(yàn)?zāi)康?通過使用Sniffer Pro軟件掌握Sniffer(嗅探器)工具的使用方法，實(shí)現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包，以理解TCPIP協(xié)議中多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)。二、實(shí)驗(yàn)原理 Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。Sniffer主要用于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護(hù)，系統(tǒng)管理員通過Sniffer可以診斷出通過常規(guī)工具難以解決的網(wǎng)絡(luò)疑難問題，包括計(jì)算機(jī)之間的異常通信、不同網(wǎng)絡(luò)協(xié)議的通信流量、每個(gè)數(shù)據(jù)包的源地址和目的地址等，它將提供非常詳細(xì)的信息。 通常每個(gè)網(wǎng)絡(luò)接口都有一個(gè)互不相同的硬件地址(MAC地址)，同時(shí)，每個(gè)網(wǎng)

2、段有一個(gè)在此網(wǎng)段中廣播數(shù)據(jù)包的廣播地址(代表所有的接口地址)。一般情況下，一個(gè)網(wǎng)絡(luò)接口只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，并由操作系統(tǒng)進(jìn)一步進(jìn)行處理，同時(shí)丟棄不是發(fā)給自己的數(shù)據(jù)幀。 通過Sniffer工具，可以將網(wǎng)絡(luò)接口設(shè)置為“混雜”(promiscuous)模式。在這種模式下，網(wǎng)絡(luò)接口就處于一個(gè)對網(wǎng)絡(luò)進(jìn)行“監(jiān)聽”的狀態(tài)，它可以監(jiān)聽此網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀-而不管數(shù)據(jù)幀的目標(biāo)地址是廣播地址還是自己或者其它網(wǎng)絡(luò)接口的地址了。它將對遭遇的每一個(gè)數(shù)據(jù)幀產(chǎn)生硬件中斷交由操作系統(tǒng)對這個(gè)幀進(jìn)行處理，比如截獲這個(gè)數(shù)據(jù)幀，進(jìn)而實(shí)現(xiàn)實(shí)時(shí)分析數(shù)據(jù)幀中包含的內(nèi)容。 當(dāng)然，如果一個(gè)數(shù)據(jù)幀沒

3、有發(fā)送到目標(biāo)主機(jī)的網(wǎng)絡(luò)接口，則目標(biāo)主機(jī)將無法監(jiān)聽到該幀。所以Sniffer所能監(jiān)聽到的信息將僅限于在同一個(gè)物理網(wǎng)絡(luò)內(nèi)傳送的數(shù)據(jù)幀就是說和監(jiān)聽的目標(biāo)中間不能有路由(交換)或其它屏蔽廣播包的設(shè)備。因此。當(dāng)Sniffer工作在由集線器(hub)構(gòu)建的廣播型局域網(wǎng)時(shí)，它可以監(jiān)聽到此物理網(wǎng)絡(luò)內(nèi)所有傳送的數(shù)據(jù)；而對于由交換機(jī)(switch)和路由器(router)構(gòu)建的網(wǎng)絡(luò)中，由于這些網(wǎng)絡(luò)設(shè)備只根據(jù)目標(biāo)地址分發(fā)數(shù)據(jù)幀，所以在這種網(wǎng)絡(luò)中，Sniffer工具就只能監(jiān)測到目標(biāo)地址是自己的數(shù)據(jù)幀再加上針對廣播地址的數(shù)據(jù)幀了。Sniffer工作在OSI模型中的第2層，它一般在已經(jīng)進(jìn)入對方系統(tǒng)的情況下使用。實(shí)驗(yàn)中要注

4、意，雖然Sniffer能得到在局域網(wǎng)中傳送的大量數(shù)據(jù)，但是不加選擇的接收所有的數(shù)據(jù)包，并且進(jìn)行長時(shí)間的監(jiān)聽，那么你需要分析的數(shù)據(jù)量將是非常巨大的，并且會(huì)浪費(fèi)大量硬盤空間。Sniffer工具分為軟件和硬件兩大類，在這里我們主要以SnifferPro軟件為例對Sniffer工具的使用方法和功能進(jìn)行簡單的介紹。當(dāng)然，Sniffer軟件工具還有很多種，例如 SQLServerSniffer、FsSniffer等，它們的功能和使用的環(huán)境有所不同，如果讀者感興趣，可以自己進(jìn)行深入探索。 對于Sniffer工具的防范可以從以下幾個(gè)方面進(jìn)行：首先，如果通過網(wǎng)管工具發(fā)現(xiàn)在局域網(wǎng)內(nèi)存在長時(shí)間占用較大帶寬的計(jì)算機(jī)，

5、這臺(tái)計(jì)算機(jī)可能在進(jìn)行嗅探：其次，Sniffer的記錄文件增長很快，通過分析文件系統(tǒng)大小的變換情況，可以找到這個(gè)文件；最后，如果計(jì)算機(jī)的網(wǎng)絡(luò)接口處于混雜模式下(在Unix環(huán)境下通過ifconfig -a命令查看網(wǎng)絡(luò)接口狀態(tài))，則它很可能運(yùn)行了Sniffer。通過上面的幾種方法，可以對Sniffer進(jìn)行分析監(jiān)測。除了這些間接分析方法外，還可以利用AntiSniff工具，它具有直接檢測Sniffer的功能，從而可以對Sniffer進(jìn)行有效防范。三、實(shí)驗(yàn)環(huán)境 兩臺(tái)安裝Windows 2000XP的PC機(jī)，在其中一臺(tái)上安裝Sniffer Pro軟件。將兩臺(tái) PC機(jī)通過hub相連，組成一個(gè)局域網(wǎng)。四、實(shí)驗(yàn)

6、內(nèi)容和步驟任務(wù)一 熟悉Sniffer Pro工具的使用 1 sniffer Pro軟件簡介 Stuffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件，實(shí)驗(yàn)中使用Sniffer Pro 4.7來截獲網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)包，并進(jìn)行分析。 2使用說明啟動(dòng)Sniffer Pro軟件后可以看到它的主界面，如圖1所示圖一主界面 網(wǎng)絡(luò)監(jiān)視面板簡介，Dashboard可以監(jiān)控網(wǎng)絡(luò)的利用率、流量及錯(cuò)誤報(bào)文等內(nèi)容如圖2所示。 圖2 Dashboard界面從Host table可以直觀地看出連接的主機(jī)，如圖3所示，顯示方式為IP 圖3 Host table界面可以通過點(diǎn)擊左下角的MAC,IP,IPX來改變顯示格式

7、，如圖4是MAC地址 圖4MAC地址界面任務(wù)二 捕獲IP數(shù)據(jù)包并進(jìn)行分析 (1)假設(shè)A主機(jī)監(jiān)視B主機(jī)的活動(dòng)，首先A主機(jī)要知道B主機(jī)的IP地址，B主機(jī)可以在命令符提示下輸入ipconfig查詢自己的IP地址并通知A主機(jī)。 (2)選中Monitor菜單下的Matrix或直接點(diǎn)擊網(wǎng)絡(luò)性能監(jiān)視快捷鍵，此時(shí)可以看到網(wǎng)絡(luò)中的Traffic Map視圖，如圖5所示，可以單擊左下角的MAC、IP或IPX使Traffic Map視圖顯示相應(yīng)主機(jī)的MAC地址、IP地址或IPX地址。圖5顯示的是IP地址，每條連線表明兩臺(tái)主機(jī)間的通信。 圖5(3)單擊菜單中的CaptureDefine FilterAdvanced，

8、再選中IPTCPFTP，如圖6所示，然后單擊OK。 圖6 (4)回到Traffic Map視圖中，用鼠標(biāo)選中要捕捉的B主機(jī)IP地址，選中后IP地址以白底高亮顯示。此時(shí)，單擊鼠標(biāo)右鍵，選中Capture或者單擊捕獲報(bào)文快捷鍵中的開始按鈕，Sniffer則開始捕捉指定IP地址主機(jī)的有關(guān)FTP協(xié)議的數(shù)據(jù)包，如圖7所示。 圖7(5)開始捕捉后，單擊工具欄中的Capture Panel按鈕，如圖8所示，圖中顯示出捕捉的Packet的數(shù)量。 圖8(6)此時(shí)，從Capture Panel中看到捕獲數(shù)據(jù)包已達(dá)到一定數(shù)量，單擊Stop and Display按鈕，停止抓包，單擊窗口左下角的Decode選項(xiàng)窗中會(huì)顯示所捕捉的數(shù)據(jù)，并分析捕獲的數(shù)據(jù)包，如圖9所示 圖9從捕獲的數(shù)據(jù)包中，可以分析以太網(wǎng)幀頭部和IP數(shù)據(jù)報(bào)頭部的格式，了解這兩種頭部格式中各種字段的含義。在報(bào)文解碼窗口中進(jìn)行分析時(shí)，在窗口2中選中一項(xiàng)，在窗口3(十六進(jìn)制內(nèi)容)中都會(huì)有相應(yīng)的數(shù)據(jù)與之對應(yīng)，如圖10所示。 圖10根據(jù)分析的結(jié)果，如下面的圖中，能看到IP數(shù)據(jù)報(bào)的頭部長度為20字節(jié)，版本是IPV4版本，數(shù)據(jù)報(bào)總長度外為64字節(jié)，生存時(shí)間為64跳，以及源地址與目的地址等信息。五試驗(yàn)結(jié)論IP數(shù)據(jù)報(bào)包含頭部和數(shù)據(jù)內(nèi)容，頭部包含了源IP、目的IP以及類型域。數(shù)據(jù)報(bào)是