Sniffer軟件的功能和使用方法.doc_第1頁
Sniffer軟件的功能和使用方法.doc_第2頁
Sniffer軟件的功能和使用方法.doc_第3頁
Sniffer軟件的功能和使用方法.doc_第4頁
Sniffer軟件的功能和使用方法.doc_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

6.2.3 Sniffer軟件的功能和使用方法一、Sniffer基本概念Sniffer,中文可以翻譯為嗅探器,是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式,可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時,便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式,便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來截獲用戶的口令,據(jù)說某個骨干網(wǎng)絡(luò)的路由器網(wǎng)段曾經(jīng)被黑客攻入,并嗅探到大量的用戶口令。但實(shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個領(lǐng)域。二、Sniffer功能Sniffer Pro主要包含4種功能組件(1)監(jiān)視:實(shí)時解碼并顯示網(wǎng)絡(luò)通信流中的數(shù)據(jù)。(2)捕獲:抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并保存在緩沖區(qū)或指定的文件中,供以后使用。(3)分析:利用專家系統(tǒng)分析網(wǎng)絡(luò)通信中潛在的問題,給出故障癥狀和診斷報告。(4)顯示:對捕獲的數(shù)據(jù)包進(jìn)行解碼并以統(tǒng)計表或各種圖形方式顯示在桌面上。網(wǎng)絡(luò)監(jiān)控是Sniffer的主要功能,其他功能都是為監(jiān)控功能服務(wù)的,網(wǎng)絡(luò)監(jiān)控可以提供下列信息。(1)負(fù)載統(tǒng)計數(shù)據(jù),包括一段時間內(nèi)傳輸?shù)膸瑪?shù)、字節(jié)數(shù)、網(wǎng)絡(luò)利用率、廣播和組播分組計數(shù)等。(2)出錯統(tǒng)計數(shù)據(jù),包換CRC錯誤、沖突碎片、超長幀、對準(zhǔn)出錯、沖突計數(shù)等。(3)按照不同的底層協(xié)議進(jìn)行統(tǒng)計的數(shù)據(jù)。(4)應(yīng)用程序的響應(yīng)時間和有關(guān)統(tǒng)計數(shù)據(jù)。(5)單個工作站或會話組通信量的統(tǒng)計數(shù)據(jù)。(6)不同大小數(shù)據(jù)包的統(tǒng)計數(shù)據(jù)。三、 Sniffer Pro 網(wǎng)絡(luò)監(jiān)控的幾種模式 1.1 moniter host table 圖中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機(jī)相連接的通信量的多少。本次以 IP 地址為測量基準(zhǔn)。 1.2 monitor matrix 監(jiān)聽矩陣顯示 該蘭色圓中的各點(diǎn)連線表明了當(dāng)前處于活躍狀態(tài)的點(diǎn)對點(diǎn)連接,也可通過將鼠標(biāo)放在IP地址上點(diǎn)右鍵showselectnodes查看特定的點(diǎn)對多點(diǎn)的網(wǎng)絡(luò)連接,如下圖,表示出與192.168.0.250相連接的IP地址1.3、monitor protocol distribution查看協(xié)議分布狀態(tài),可以看到不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議1.4、monitor dashboard該表顯示各項網(wǎng)絡(luò)性能指標(biāo)包括利用率、傳輸速度、錯誤率Network:顯示網(wǎng)絡(luò)利用率等統(tǒng)計信息。Detail Errors:顯示出錯統(tǒng)計信息。Size Distribution:顯示各種不同大小分組數(shù)的統(tǒng)計信息。1.5 Dashbord,它可以監(jiān)控網(wǎng)絡(luò)的利用率,流量及錯誤報文等內(nèi)容。1.6、monitor-size distribution可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配。1.7、monitor application response time該表顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表,并將本地網(wǎng)段的機(jī)器名以NETBIOS名的形式解析出來。三、包的抓取與分析1、過濾器的定制definefilter.Capture-definefilter進(jìn)入該界面后address指定以IP地址為類型,然后在下面的station1和station2中分別指定源和目的地地址。并將該設(shè)置指定為某settingprofile.這個圖中顯示的是sniffer設(shè)置過濾條件的對話框。過濾條件可以用邏輯關(guān)系,比如像AND、OR、NOT等組合來設(shè)置。在這里可以設(shè)置的過濾條件有IP地址或者物理地址(一般我們說的都是在Internet之中,使用的是TCP/IP協(xié)議,所以選擇Ip地址是比較合適的)、數(shù)據(jù)包、協(xié)議等。好,那就一下下來設(shè)置看看了。例:第一、地址類型,選擇IP了。選擇模式,如果選包括,其意義就是指sniffer在捕獲的時候就會只對你在Station1中和Station2中所列的節(jié)點(diǎn)包進(jìn)行捕獲。選擇除外則恰恰相反。也就是說它在捕獲的時候會過濾掉Station1和Station2中所列及的地址數(shù)據(jù)包的。第二、在Station1和Station2以及DIR的設(shè)置中,你可以指定地址對,而我要對它截獲的是與他連接的所有主機(jī),也就是說這個Any代表的是任何主機(jī)的意思。至于Dir,則是要選擇你要捕獲的目標(biāo)主機(jī)與其連接主機(jī)間的信息流向,這里選的是互流,即為要截獲的是與之所連接的所有主機(jī)與它的信息數(shù)據(jù).2、capture select filter start在上圖中的1部分,顯示的是所監(jiān)控的202.103.190.4與202.103.137.1主機(jī)間的應(yīng)用層的協(xié)議以及對監(jiān)控之后所得到的數(shù)據(jù)包的總結(jié)以及有效數(shù)據(jù)包的長度和整個數(shù)據(jù)包的長度、確認(rèn)序列號的信息。上圖中是對OICQ的監(jiān)控,所以它顯示的端口是8000和4000。而第2部分是對應(yīng)1中的灰色區(qū)域里的數(shù)據(jù)包內(nèi)容從協(xié)議的上進(jìn)行的分析。這個圖中所顯示的是1中灰色部分的IP和TCP層的解釋,從這里可以看出這個捕獲到的數(shù)據(jù)包的組成以及數(shù)據(jù)包使用的端口、狀態(tài)、時間等許多信息,用鼠標(biāo)拉動滾動條可以看到更詳細(xì)的對以太楨和應(yīng)用層的解釋。第3部分是這次捕獲的數(shù)據(jù)包的內(nèi)容,能看到的是十六進(jìn)制和ASCII兩中顯示形式。左邊是用十六進(jìn)制表示的包中每一個數(shù)據(jù)的位置,中間的部分是用十六進(jìn)制表示的被截獲的數(shù)據(jù)包中的內(nèi)容,右邊看到的則是ASCII形式。四、軟件中快捷鍵的位置五、報文捕獲解析5.1捕獲面板如圖顯示的是處于開始狀態(tài)的面板:5.2捕獲過程報文統(tǒng)計可查看捕獲報文的數(shù)量和緩沖區(qū)的利用率5.3捕獲報文查看5.4專家分析系統(tǒng)專家分析系統(tǒng)可對網(wǎng)絡(luò)上的流量進(jìn)行一些分析。下圖顯示出網(wǎng)絡(luò)中wins查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容,可方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對于某項統(tǒng)計分析可以通過用鼠標(biāo)雙擊此條記錄查看詳細(xì)統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的作用。5.5解碼分析六、基本捕獲條件基本的捕獲條件有兩種:1、鏈路層捕獲,按源MAC和目的MAC地址進(jìn)行捕獲,輸入方式為十六進(jìn)制連續(xù)輸入,如:00E0FC123456。2、IP層捕獲,按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式,如:10.107.1.1。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。高級捕獲條件在“Advance”頁面下,你可以編輯你的協(xié)議捕獲條件,如圖:高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件,如果什么都不選,則表示忽略該條件,捕獲所有協(xié)議。在捕獲幀長度條件下,你可以捕獲,等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄,你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯誤時是否捕獲。在保存過濾規(guī)則條件按鈕“Profiles”,你可以將你當(dāng)前設(shè)置的過濾規(guī)則,進(jìn)行保存,在捕獲主面板中,你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下,你可以編輯任意捕獲條件,如下圖:用這種方法可以實(shí)現(xiàn)復(fù)雜的報文過濾,但很多時候是得不償失,有時截獲的報文本就不多,還不如自己看看來得快七、報文放送編輯報文發(fā)送Sniffer軟件報文發(fā)送功能就比較弱,如下是發(fā)送的主面板圖:發(fā)送前,你需要先編輯報文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報文編輯按鈕??傻玫饺缦碌膱笪木庉嫶翱冢菏紫纫付〝?shù)據(jù)幀發(fā)送的長度,然后從鏈路層開始,一個一個將報文填充完成,如果是NetXray支持可以解析的協(xié)議,從“Decode”頁面中,可看見解析后的直觀表示。捕獲編輯報文發(fā)送將捕獲到的報文直接轉(zhuǎn)換成發(fā)送報文,然后修修改改可也。如下是一個捕獲報文后的報文查看窗口:選中某個捕獲的報文,用鼠標(biāo)右鍵激活菜單,選擇“Send Current Packet”,這時

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論