sniffer網(wǎng)絡(luò)嗅探器

1、sniffersniffer網(wǎng)絡(luò)嗅探器網(wǎng)絡(luò)嗅探器姓姓 名：名：學(xué)學(xué) 號(hào)：號(hào)：班班 級(jí)：級(jí)：陳述內(nèi)容陳述內(nèi)容 （一）（一）Sniffer軟件軟件簡(jiǎn)介簡(jiǎn)介 （二）（二）Sniffer功能模塊功能模塊 （三）報(bào)文捕獲與分析三）報(bào)文捕獲與分析 （四（四）數(shù)據(jù)包的過(guò)濾數(shù)據(jù)包的過(guò)濾 （五）（五）Sniffer Pro的其它工具的其它工具 （六）小組分工（六）小組分工 Sniffer，中文可以翻譯為嗅探器，是一種基于被動(dòng)偵聽(tīng)原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?Sniffer軟件是NAI公司推出的一款一流的便攜式網(wǎng)管和應(yīng)用故障診斷分析軟件，不管是在有線

2、網(wǎng)絡(luò)還是在無(wú)線網(wǎng)絡(luò)中，它都具有實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)視、數(shù)據(jù)包捕獲以及故障診斷分析的能力。 對(duì)于在現(xiàn)場(chǎng)進(jìn)行快速的網(wǎng)絡(luò)和應(yīng)用問(wèn)題故障診斷，基于便攜式軟件的解決方案具備最高的性價(jià)比，能夠讓用戶獲得強(qiáng)大的網(wǎng)管和應(yīng)用故障診斷功能。 硬件環(huán)境：Snffier pro 4.75僅支持10M、100M、10/100M網(wǎng)卡，對(duì)于千M網(wǎng)卡，需要安裝SP5補(bǔ)丁，或4.8及更高的版本。 軟件環(huán)境：操作系統(tǒng) Windows2003 Server企業(yè)標(biāo)準(zhǔn)版（Sniffer Pro4.5及以上版本均支持Windows2000 Windows-xp Windows2003）。 如果需要監(jiān)控全網(wǎng)流量，安裝有Sniffer Portab

3、le 4.7.5(以下簡(jiǎn)稱Sniffer Pro)的終端計(jì)算機(jī)，網(wǎng)卡接入端需要位于主交換鏡像端口位置。（監(jiān)控所有流經(jīng)此網(wǎng)卡的數(shù)據(jù)）p 捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析p 利用專家分析系統(tǒng)診斷問(wèn)題p 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)p 收集網(wǎng)絡(luò)利用率和錯(cuò)誤等p 在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。 1. 可以解碼至少450種協(xié)議。除了IP、IPX和其它一些“標(biāo)準(zhǔn)”協(xié)議外，Sniffer Pro還可以解碼分析很多由廠商自己開(kāi)發(fā)或者使用的專門協(xié)議，比如思科VLAN中繼協(xié)議(ISL)。 2. 支持主要的局域網(wǎng)(LAN)、城域網(wǎng)(WAN)等網(wǎng)絡(luò)技術(shù)。 3. 提供在位和字節(jié)水平上過(guò)濾數(shù)據(jù)

4、包的能力。 4. 提供對(duì)網(wǎng)絡(luò)問(wèn)題的高級(jí)分析和診斷，并推薦應(yīng)該采取的正確措施。 5. 可以離線捕獲數(shù)據(jù)，如捕獲幀。因?yàn)閹ǔ６际怯?位的分界數(shù)組來(lái)校準(zhǔn)，所以Sniffer Pro只能以字節(jié)為單位捕獲數(shù)據(jù)。但過(guò)濾器在位或者字節(jié)水平都可以定義。 報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行完成，如下是捕獲面板的功能圖：圖中顯示的是處于開(kāi)始狀態(tài)的面板。捕獲開(kāi)始捕獲暫停捕獲停止捕獲停止并查看捕獲查看捕獲條件編輯選擇捕獲條件捕獲開(kāi)始捕獲暫停捕獲停止捕獲停止并查看捕獲查看捕獲條件編輯選擇捕獲條件 Sniffer的界面通過(guò)工具欄和菜單欄就可以完成大部分操作，并在當(dāng)前窗口中顯示出所監(jiān)測(cè)的效果。 在Sniffer主窗口中

5、，默認(rèn)會(huì)顯示Dashboard(儀表盤)窗口，共顯示了三個(gè)儀表盤，即“Utilization%”、“Packets/s” 和“Errors/s”，分別用來(lái)顯示網(wǎng)絡(luò)利用率、數(shù)據(jù)傳輸速率和錯(cuò)誤統(tǒng)計(jì)。 在儀表盤窗口中，單擊“Detail(詳細(xì))”，顯示如圖5所示窗口，以表格的形式顯示了關(guān)于利用率、數(shù)據(jù)包傳輸速度和出錯(cuò)率的詳細(xì)統(tǒng)計(jì)結(jié)果。 Sniffer Pro的很多網(wǎng)絡(luò)分析結(jié)果都可以設(shè)定閥值，若超出閥值，報(bào)警記錄就會(huì)生成一條信息，并在儀表盤上以紅色來(lái)標(biāo)記超過(guò)設(shè)定閥值的范圍。單擊儀表盤上的“Set Thresholds(設(shè)定閥值)”按鈕，顯示 “Dashboard Properties”對(duì)話框，可查看或

6、者修改這些值。 在工具欄上單擊“Start”按鈕，或者選擇“Capture”菜單中的“Start”選項(xiàng)，顯示如圖所示“Expert”對(duì)話框，此時(shí)，Sniffer便開(kāi)始捕獲局域網(wǎng)與外部網(wǎng)絡(luò)所傳輸?shù)乃袛?shù)據(jù)。 在首次運(yùn)行Sniffer Pro時(shí)，需要選擇要監(jiān)控的網(wǎng)卡，應(yīng)該選擇代理網(wǎng)卡或者連接交換機(jī)端口的網(wǎng)卡。 當(dāng)緩沖器中積累了一定流量后，可以單擊“Stop and display”停止并查看所捕獲的數(shù)據(jù)。 單擊窗口下方的“Decode(解碼)”選項(xiàng)卡，如圖所示，該窗口共分為三個(gè)部分，由上到下依次為：總結(jié)、詳細(xì)資料和Hex窗口的內(nèi)容， 可以查看所捕獲的每個(gè)幀的詳細(xì)信息。 Sniffer可以在全部七層

7、OSI協(xié)議上進(jìn)行解碼，目前沒(méi)有任何一個(gè)系統(tǒng)可以做到對(duì)協(xié)議有如此透徹的分析；它采用分層方式，從最低層開(kāi)始，一直到第七層，每一層用不同的顏色加以區(qū)別。 “Decode”窗口中間的窗口部分顯示所選擇的協(xié)議的詳細(xì)資料，如圖所示。最上面顯示的就是DLC文件頭信息，包括幀到達(dá)時(shí)間、幀大小(以字節(jié)計(jì))、目標(biāo)、源MAC地址、以及Ethertype(以太網(wǎng)類型)。在這里，以太網(wǎng)類型值為0800，表示為IPv4協(xié)議。 IP文件頭下面為TCP或者UDP文件頭。 “Decode”窗口最下方為“Hex窗口”，這里顯示的內(nèi)容最直觀，但也難以理解，如圖所示?！癏ex窗口”中的信息是16進(jìn)制代碼的信息集合。在“Hex窗口”中

8、查看數(shù)據(jù)時(shí)，看到的就是處于傳輸狀態(tài)的原始ASC格式的數(shù)據(jù)。 主機(jī)列表視圖。 在默認(rèn)情況下，Sniffer會(huì)接收網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)包，但我們?cè)诜治鼍W(wǎng)絡(luò)協(xié)議查找網(wǎng)絡(luò)故障時(shí)，有許多數(shù)據(jù)包不是我們需要的，這就要對(duì)捕獲的數(shù)據(jù)進(jìn)行過(guò)濾，只接收與分析的問(wèn)題或者事件相關(guān)的數(shù)據(jù)。Sniffer提供了捕獲數(shù)據(jù)包前的過(guò)濾 規(guī)則和定義，過(guò)濾規(guī)則包括二、三層地址的定義和幾百種協(xié)議的定義。 ICMP協(xié)議即Internet控制信息協(xié)議，而且是TCP/IP協(xié)議的一部分，它是網(wǎng)絡(luò)設(shè)備間報(bào)告錯(cuò)誤的基于控制的協(xié)議。ICMP是一種非常強(qiáng)大的工具，允許我們報(bào)告20種以上不同的網(wǎng)絡(luò)狀況。 在Sniffer Pro主窗口中，選擇“Capture”菜單中的“Start”選項(xiàng)開(kāi)始捕獲過(guò)程，向默認(rèn)網(wǎng)關(guān)發(fā)送ping命令。選擇“Stop”選項(xiàng)則可停止捕獲。 當(dāng)捕獲數(shù)據(jù)完成以后，在“Expert”對(duì)話框中選擇下面的“Decode”標(biāo)簽，展開(kāi)“ICMP”列表。 Type=8(Echo)：ICMP Echo有兩種類型，類型8是請(qǐng)求，而類型0是響應(yīng)。 Code：該代碼現(xiàn)在在ICMP Echo信息中并不常用，經(jīng)常設(shè)定為0。 Sniffer Pro內(nèi)置了一些其它的網(wǎng)絡(luò)工具，可以對(duì)網(wǎng)絡(luò)管理起到輔助作用