Sniffer軟件的功能和使用方法.doc

6.2.3 Sniffer軟件的功能和使用方法一、Sniffer基本概念Sniffer，中文可以翻譯為嗅探器，是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來截獲用戶的口令，據(jù)說某個骨干網(wǎng)絡(luò)的路由器網(wǎng)段曾經(jīng)被黑客攻入，并嗅探到大量的用戶口令。但實(shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個領(lǐng)域。二、Sniffer功能Sniffer Pro主要包含4種功能組件（1）監(jiān)視：實(shí)時解碼并顯示網(wǎng)絡(luò)通信流中的數(shù)據(jù)。（2）捕獲：抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并保存在緩沖區(qū)或指定的文件中，供以后使用。（3）分析：利用專家系統(tǒng)分析網(wǎng)絡(luò)通信中潛在的問題，給出故障癥狀和診斷報告。（4）顯示：對捕獲的數(shù)據(jù)包進(jìn)行解碼并以統(tǒng)計表或各種圖形方式顯示在桌面上。網(wǎng)絡(luò)監(jiān)控是Sniffer的主要功能，其他功能都是為監(jiān)控功能服務(wù)的，網(wǎng)絡(luò)監(jiān)控可以提供下列信息。（1）負(fù)載統(tǒng)計數(shù)據(jù)，包括一段時間內(nèi)傳輸?shù)膸瑪?shù)、字節(jié)數(shù)、網(wǎng)絡(luò)利用率、廣播和組播分組計數(shù)等。（2）出錯統(tǒng)計數(shù)據(jù)，包換CRC錯誤、沖突碎片、超長幀、對準(zhǔn)出錯、沖突計數(shù)等。（3）按照不同的底層協(xié)議進(jìn)行統(tǒng)計的數(shù)據(jù)。（4）應(yīng)用程序的響應(yīng)時間和有關(guān)統(tǒng)計數(shù)據(jù)。（5）單個工作站或會話組通信量的統(tǒng)計數(shù)據(jù)。（6）不同大小數(shù)據(jù)包的統(tǒng)計數(shù)據(jù)。三、 Sniffer Pro 網(wǎng)絡(luò)監(jiān)控的幾種模式 1.1 moniter host table 圖中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機(jī)相連接的通信量的多少。本次以 IP 地址為測量基準(zhǔn)。 1.2 monitor matrix 監(jiān)聽矩陣顯示 該蘭色圓中的各點(diǎn)連線表明了當(dāng)前處于活躍狀態(tài)的點(diǎn)對點(diǎn)連接，也可通過將鼠標(biāo)放在IP地址上點(diǎn)右鍵showselectnodes查看特定的點(diǎn)對多點(diǎn)的網(wǎng)絡(luò)連接，如下圖，表示出與192.168.0.250相連接的IP地址1.3、monitor protocol distribution查看協(xié)議分布狀態(tài)，可以看到不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議1.4、monitor dashboard該表顯示各項網(wǎng)絡(luò)性能指標(biāo)包括利用率、傳輸速度、錯誤率Network：顯示網(wǎng)絡(luò)利用率等統(tǒng)計信息。Detail Errors：顯示出錯統(tǒng)計信息。Size Distribution：顯示各種不同大小分組數(shù)的統(tǒng)計信息。1.5 Dashbord，它可以監(jiān)控網(wǎng)絡(luò)的利用率，流量及錯誤報文等內(nèi)容。1.6、monitor-size distribution可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配。1.7、monitor application response time該表顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表，并將本地網(wǎng)段的機(jī)器名以NETBIOS名的形式解析出來。三、包的抓取與分析1、過濾器的定制definefilter.Capture-definefilter進(jìn)入該界面后address指定以IP地址為類型，然后在下面的station1和station2中分別指定源和目的地地址。并將該設(shè)置指定為某settingprofile.這個圖中顯示的是sniffer設(shè)置過濾條件的對話框。過濾條件可以用邏輯關(guān)系，比如像AND、OR、NOT等組合來設(shè)置。在這里可以設(shè)置的過濾條件有IP地址或者物理地址（一般我們說的都是在Internet之中，使用的是TCP/IP協(xié)議，所以選擇Ip地址是比較合適的）、數(shù)據(jù)包、協(xié)議等。好，那就一下下來設(shè)置看看了。例：第一、地址類型，選擇IP了。選擇模式,如果選包括，其意義就是指sniffer在捕獲的時候就會只對你在Station1中和Station2中所列的節(jié)點(diǎn)包進(jìn)行捕獲。選擇除外則恰恰相反。也就是說它在捕獲的時候會過濾掉Station1和Station2中所列及的地址數(shù)據(jù)包的。第二、在Station1和Station2以及DIR的設(shè)置中，你可以指定地址對，而我要對它截獲的是與他連接的所有主機(jī)，也就是說這個Any代表的是任何主機(jī)的意思。至于Dir，則是要選擇你要捕獲的目標(biāo)主機(jī)與其連接主機(jī)間的信息流向，這里選的是互流，即為要截獲的是與之所連接的所有主機(jī)與它的信息數(shù)據(jù).2、capture select filter start在上圖中的1部分，顯示的是所監(jiān)控的202.103.190.4與202.103.137.1主機(jī)間的應(yīng)用層的協(xié)議以及對監(jiān)控之后所得到的數(shù)據(jù)包的總結(jié)以及有效數(shù)據(jù)包的長度和整個數(shù)據(jù)包的長度、確認(rèn)序列號的信息。上圖中是對OICQ的監(jiān)控，所以它顯示的端口是8000和4000。而第2部分是對應(yīng)1中的灰色區(qū)域里的數(shù)據(jù)包內(nèi)容從協(xié)議的上進(jìn)行的分析。這個圖中所顯示的是1中灰色部分的IP和TCP層的解釋，從這里可以看出這個捕獲到的數(shù)據(jù)包的組成以及數(shù)據(jù)包使用的端口、狀態(tài)、時間等許多信息，用鼠標(biāo)拉動滾動條可以看到更詳細(xì)的對以太楨和應(yīng)用層的解釋。第3部分是這次捕獲的數(shù)據(jù)包的內(nèi)容，能看到的是十六進(jìn)制和ASCII兩中顯示形式。左邊是用十六進(jìn)制表示的包中每一個數(shù)據(jù)的位置，中間的部分是用十六進(jìn)制表示的被截獲的數(shù)據(jù)包中的內(nèi)容，右邊看到的則是ASCII形式。四、軟件中快捷鍵的位置五、報文捕獲解析5.1捕獲面板如圖顯示的是處于開始狀態(tài)的面板：5.2捕獲過程報文統(tǒng)計可查看捕獲報文的數(shù)量和緩沖區(qū)的利用率5.3捕獲報文查看5.4專家分析系統(tǒng)專家分析系統(tǒng)可對網(wǎng)絡(luò)上的流量進(jìn)行一些分析。下圖顯示出網(wǎng)絡(luò)中wins查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容，可方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對于某項統(tǒng)計分析可以通過用鼠標(biāo)雙擊此條記錄查看詳細(xì)統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的作用。5.5解碼分析六、基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：10.107.1.1。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。高級捕獲條件在“Advance”頁面下，你可以編輯你的協(xié)議捕獲條件，如圖：高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長度條件下，你可以捕獲，等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯誤時是否捕獲。在保存過濾規(guī)則條件按鈕“Profiles”，你可以將你當(dāng)前設(shè)置的過濾規(guī)則，進(jìn)行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實(shí)現(xiàn)復(fù)雜的報文過濾，但很多時候是得不償失，有時截獲的報文本就不多，還不如自己看看來得快七、報文放送編輯報文發(fā)送Sniffer軟件報文發(fā)送功能就比較弱，如下是發(fā)送的主面板圖：發(fā)送前，你需要先編輯報文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報文編輯按鈕?？傻玫饺缦碌膱笪木庉嫶翱冢菏紫纫付〝?shù)據(jù)幀發(fā)送的長度，然后從鏈路層開始，一個一個將報文填充完成，如果是NetXray支持可以解析的協(xié)議，從“Decode”頁面中，可看見解析后的直觀表示。捕獲編輯報文發(fā)送將捕獲到的報文直接轉(zhuǎn)換成發(fā)送報文，然后修修改改可也。如下是一個捕獲報文后的報文查看窗口：選中某個捕獲的報文，用鼠標(biāo)右鍵激活菜單，選擇“Send Current Packet”，這時