sniffer 网络嗅探器的使用

【运行环境】

安装Windows 2000/XP的PC两台：在其中一台（192.168.52.49）上安装Sniffer Pro4.75，记为A。

1.Sniffer Pro 的主要功能如下： 监视功能用于计算机并显示实时网络通信量数据。

捕获功能用于捕获网络通信量并将

当前数据包存储子缓冲（或文件）中，以便分析使用。

实时专家系统分析用在捕获过程中分析网络数据包，并对网络中潜在的问题发出警告。

显示功能用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。 2.监视功能介绍。 （1）Dashboard（仪表盘）

仪表盘是Sniffer Pro的可视化网络

性能监视器。在第一次启动Sniffer Pro时，仪表盘就会出现在屏幕上，如图17-2所示。如果关闭了仪表盘窗口，选择菜单Monitor（监控）→Dashboard（仪表盘）来启动它， 或者单击Sniffer Pro工具栏中的仪表盘图标。仪表盘窗口包括3个数字表盘，从左到右依次是：

利用率百分比（Utilization %） 说明路线使用带宽的百分比，是用传输量与端口能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。在表盘下方有2个数字，用破折号隔开。第一个 数字代表当前利用率百分比，破折号后面的数字代表最大的利用率百分比。 每秒传输的数据包（Packets/s） 说明当前数据包传输速度。表盘的红色区域表示警戒值，表盘下方显示的是当前的数据包传输速度及其峰值。

每秒产生的错误（Errors/s） 说明网络的出错率。表盘的红色区域表示警戒值，表盘下方的数值表示当前的出错率和最大出错率。图1-2

图1-2 Sniffer仪表窗口

Sinffer Pro 的很多网络分析结果都可以设定阈值。如果超出了阈值，报警记录就会生成一条信息。在仪表盘上，超过设定阈值的范围用红色标记。单击仪表盘上方Set Thresholds（设置阈值）按钮，会出现仪表盘属性对话框，如图17-3所示。在仪表盘属性对话框中，左边是名称栏，右边就是高阈值栏，底部是以秒 为单位计算的监控样本间隔。如果修正了一个参数，但是又想恢复默认值，首先

就要选中这个参数，然后单击Reset（重置）按钮。如果要把所有参数都重新设 定默认值，可以单击Reset All（全部重置）按钮。如图1-3

图1-3 仪表盘属性对话框

仪表盘左下方的Gauge（计量表）卷标实时显示利用率、数据包速率和错误率。单击仪表左下方Detail（详细资料）卷标，则以表格方式显示网络计数结果、规模分布和错误计数结果的详细情况，如图1-4所示。

图1-4 Sniffer仪表盘的详细资料卷标 单击Short Term （短期）或Long Term （长期）按钮，可以缩小或扩大网络、详细错误和规模分布图形的范围，短期范围大约是25分钟，长期范围是24小时。单击仪表盘左下方的Network（网 络）选择框，显示如图1-5所示的网络仪表盘图和网络事件选择框。仪表盘中的网络图根据每秒的统计结果，提供所有网络活动的视图。

图1-5 网络仪表盘图和网络事件选择框 单击仪表盘左下方的Size Distribution （规模分布）选择框，显示如图1-6所示的规模分布仪表盘图和规模分布事件选择框。仪表盘中的规模分布图是与Sniffer Pro系统相连的网络区段上所有活动按规模划分的一种实时视图。

图1-6 规模颁布仪表盘图和规模分布事件选择框

同样，用户也可以单击仪表盘左下方的Detail Errors （详细错误）选择框，查看仪表盘中的详细错误图以及详细错误的事件选择框。 （2）Host table （主机列表）

主机列表提供了被监视的所有主机正在与网络的通信情况。选择菜单Monitor（监控）→Host Table（主机列表）来启动它，或者单击图1-7中所指向的Sniffer Pro工具栏中的主机列表图标。 图1-7 主机列表大纲视图

在主机列表窗口底部，可以选择以MAC地址、IP地址或IPX地址查看足迹列表。如图1-7所示，选择所指向的IP 选项。主机列表支持4种不同的视图：大纲（Outline）、详细资料（Detail）、直方图（Bar）和饼图（Pie）。如图1-7所示，单击大纲图 标，显示出主机列表，以及经过这些主机的传输字节数量。在大纲视图中，如果想了解某一个特定工作站（例如192.168.0.119）的连网情况，只须单 击图1-7中所指向的IP地址，出现如图1-8所示的界面。

图1-8 流量映射图

图1-8中清楚地显示出该机器（192.168.0.119）连接的地址。单击左边主机列表工具栏中其他的图标，会弹出该机器连接情况的相关 数据界面。在图1-7所示的界面中单击Detail（详细资料）图标，将显示出整个网络中的协议分布情况，可清楚地看出网络中各台机器上正在运行的网络应 用层协议，如图1-9所示。

图1-9 详细资料视图

在图17-7所示的界面中单击Bar（直方图）图

标，出现以下直方图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图1-10所示。

1-10 传输量为前N位的主机直方图

同样，在图1-7所示的界面中单击Pie（饼图）图标，出现以饼图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图1-11所示。

（3）Matrix （矩阵）

主机列表提供了单击主机与网络的通信情况，而矩阵则提供了被监视到的主机对之间的网络通信情况，两者的操作界面和功能信息是完全类似的。选择 菜单Monitor（监控）→Matrix（矩阵）来启动它，或者单击Sniffer Pro 工具栏中的矩阵图标。图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接，将鼠标放到线上可以看出连接情况。单击鼠标右键，在弹出的快捷菜单中选择 Zoom可以放大此图。 接下以使用Sniffer Pro 捕获HTTP协议数据包中的账号密码信息为例介绍。 （1）设置规则

在主机A上运行Sniffer Pro程序。如图1-12所示，从主菜单选择Capture（捕获）→Define Filter（定义过滤器）命令。

图1-12 定义过滤器

在弹出的Define Filter （定义过滤器）对话框中选择Address（地址）选项，根据来源点和目的节点的地址集合建立过滤功能。如图1-13所示，在Station 1（工作站 1）的位置输入192.168.0.119，然后在Station 2 （工作站 2）的位置单击，出现Any （任何）域。

图1-13 定义过滤器对话框的地址卷标 在定义过滤器对话框中，选择Advanced（高级）选项。如图1-14所示，依次选中IP→TCP→HTTP，Packet Type （数据包类型）设置为Normal（正常）。

图1-14 定义过滤器的高级卷标窗口

在定义过滤器对话框中，选择Summary （总结）选项。如图1-15所示，显示过滤器的所有设定信息，如来源地势和目的地址、数据模式和高级选项。不能在总结卷标折哦只能够修改任何设定，但是可以重置

这些设定。

图1-15 定义过滤器总结卷标 （2）捕获数据包

如图1-16所示，从主菜单中选择Capture（捕获）→Start（开始）命令，或者按F10键，或者单击捕获报文快捷键中的Start（开始）按钮，Sniffer Pro开始捕捉制定IP地址主机的有关HTTP协议的数据包。

图1-16 开始捕获数据包

（3）通过HTTP访问邮箱

在主机B（192.168.0.119）上访问网站http://mail.sina.com.cn，并以用户名：

cykk2012@sina.com，密码：www.sans.org.cn新浪免费邮箱，如图1-17所示。

本文来源：https://www.bwwdw.com/article/r3m2.html