sniffer软件的初步使用方法.pdf

sniffer软件的初步使用方法.pdfsniffer 软件的初步使用方法
使用 Sniffer 工具分析以太网帧和 IP 数据报
一、实验目的
通过使用 Sniffer Pro 软件掌握 Sniffer(嗅探器)工具的使用方法，实现捕捉 FTP、
HTTP 等协议的数据包，以理解 TCP／IP 协议中多种协议的数据结构。
二、实验原理
Sniffer 即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer
主要用于网络管理和网络维护，系统管理员通过 Sniffer 可以诊断出通过常规工具难以
解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数
据包的源地址和目的地址等，它将提供非常详细的信息。
通常每个网络接口都有一个互不相同的硬件地址(MAC 地址)，同时，每个网段有一
个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下，一个网络接
口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系
统进一步进行处理，同时丢弃不是发给自己的数据帧。
通过 Sniffer 工具，可以将网络接口设置为“混杂”(promiscuous)模式。在这种
模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的
所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。
它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获
这个数据帧，进而实现实时分析数据帧中包含的内容。
当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到
该帧。所以 Sniffer 所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就
是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当 Sniffer
工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的
数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只
根据目标地址分发数据帧，所以在这种网络中，Sniffer 工具就只能监测到目标地址是
自己的数据帧再加上针对广播地址的数据帧了。
Sniffer 工作在 OSI 模型中的第 2 层，它一般在已经进入对方系统的情况下使用。
实验中要注意，虽然 Sniffer 能得到在局域网中传送的大量数据，但是不加选择的接收
所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并
且会浪费大量硬盘空间。
Sniffer 工具分为软件和硬件两大类，在这里我们主要以 Sniffer　Pro 软件为例
对 Sniffer 工具的使用方法和功能进行简单的介绍。当然，Sniffer 软件工具还有很多
种，例如SQLServerSniffer、FsSniffer 等，它们的功能和使用的环境有所不同，如果
读者感兴趣，可以自己进行深入探索。
对于 Sniffer 工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现
在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探：其次，
Sniffer 的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；
最后，如果计算机的网络接口处于混杂模式下(在 Unix 环境下通过 ifconfig -a 命令查
看网络接口状态)，则它很可能运行了 Sniffer。通过上面的几种方法，可以对 Sniffer
进行分析监测。除了这些间接分析方法外，还可以利用 AntiSniff 工具，它具有直接检
测 Sniffer 的功能，从而可以对 Sniffer 进行有效防范。
三、实验环境
两台安装 Windows 2000／XP 的 PC 机，在其
中一台上安装 Sniffer Pro 软件。将两台 PC 机
通过 hub 相连，组成一个局域网。
四、实验内容和步骤
任务一 熟悉 Sniffer Pro 工具的使用
1 sniffer Pro 软件简介
Stuffer 软件是 NAI 公司推出的功能强大的协
议分析软件，实验中使用 Sniffer Pro 来截
获网络中传输的各种数据包，并进行分析。
2 使用说明
启动 Sniffer Pro 软件后可以看到它的主界面，
如 图 1 所 示
图 一 主
界面
网络监视面板简介，Dashboard 可以监控网
络的利用率、流量及错误报文等内容如图