Sniffer嗅探、抓包实验

Sniffer嗅探、抓包实验

实验目的

通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。

建议实验工具

Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。

实验用时

3学时（约120分钟）

实验原理

Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。

实验步骤：

1、首先安装Sniffer软件。安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。安装完成后重新启动计算机。注意：需要重新启动才可以使用sniffer。

2、启动Sniffer。可以看到它的

界面如下：包括工具栏、网络监视面

板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。

3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。

4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图

显示相应主机的MAC地址、IP地址或IPX地址，每条线表示两台机器之间的通信连接。

5、单击Capture--Define Filter—Advanced，选中IP—TCP—FTP，然后单击OK。

6、回到Traffic Map视图，选中要捕捉的B主机IP地址，开始捕获数据包，这时，操作B机器的同学可利用任何途径向A 机器传送数据，最好为明文传送，A用户单击工具栏中的Capture Panel按钮，图中将显示捕捉的包数量。

7、单击Stop and Display，停止抓包，单击窗口左下角的Decode选项，显示所捕捉的数据，进行分析。相关图片如下：

图中的十六进制数据即

为所捕获的内容。一般来说，

如果中间有FTP数据，一般为

明文传输，如果是密文传输的内容，则截获后还要进行解密才能知道对方传输的具体内容。

实验报告要求

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告 （2011 / 2012 学年第一学期） 题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析 题目2：IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日

指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容，能准确有条理回答各 种问题，系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用 一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点：Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表） 点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告 题目：网络嗅探实验 指导老师： 学生姓名： 学生学号： 院系名称：信息科学与工程学院 专业班级： 2015年5月15日星期五

一、实验目的 掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP（FTP下载软件） ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组：其中学生A进行Http或者Ftp连接，学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后，互换角色重做一遍。 四、实验内容 任务一：熟悉Wireshark工具的使用 任务二：捕获FTP数据包并进行分析 任务三：捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）。 以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。 1．HTTP 协议简介 HTTP 是超文本传输协议（Hyper Text Transfer Protocol）的缩写，用于WWW 服务。 （1）HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议，但HTTP 协议是无状态的。也就是说，每个事务都是独立地进行处理。当一个事务开始时，就在web客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。此外，客户可以使用多个端口和和服务器（80 端口）之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80，以便发现是否有浏览器（客户进程）向它发出连接请求； ②一旦监听到连接请求，立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求，服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。

实验四--SnifferPro数据包捕获与协议分析上课讲义

实验四-- S n i f f e r P r o数据包捕获与协议分析

精品文档 实验四 SnifferPro数据包捕获与协议分析 一. 实验目的 1.了解Sniffer的工作原理。 2.掌握SnifferPro工具软件的基本使用方法。 3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。 二、实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。 在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。 三、实验内容及要求 要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。 内容： 1.监测网络中计算机的连接状况 2.监测网络中数据的协议分布 3.监测分析网络中传输的ICMP数据 4.监测分析网络中传输的HTTP数据 5.监测分析网络中传输的FTP数据 四、实验步骤 介绍最基本的网络数据帧的捕获和解码，详细功能。 1.Sniffer Pro 4.7的安装与启动 收集于网络，如有侵权请联系管理员删除

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应 2007-08-22 10:02 用sniffer抓icmp包来分析。 1。ping 192.168.1.1 -l 0 ping一个ip，指定携带的数据长度为0 抓包分析如图： 从图上的1处我们可以看到这个数据总大小是：60byte 从2处看到ip数据总长度：28byte ip数据为什么是28byte？ 因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即： 28＝20＋8 而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节 以太网帧头部＋ip数据总长度＝14＋28＝42 注意3处标记的，填充了18个字节。 42＋18＝60 刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加

上4字节尾部校验，正好等于64！ 64恰好是以太类型帧最小大小。 在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。第15个字节TOS的含义如下： 15 00 // TOS ( type of service, //bit 0 = 0, CE bit - no congestion; //bit1 = 0, ECT bit - transport protocol will ignore the CE bit; //bit 2 =0, normal reliability; //bit 3 = 0, normal throughtput; //bit 4 = 0, normal delay; //bit 5 ~ bit 7 = 000, routine. 再分析一个 ping 192.168.1.1 -l 64 数据大小106byte 106－14（以太类型帧头部）=92 刚好等于ip部分的显示大小 92－20（ip）－8（icmp头）＝64 刚好等于我们指定的64字节ping 包

使用用Sniffer_Pro网络分析器实验报告

使用Sniffer Pro网络分析器实验报告 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择网络适配器或网卡后才能正常工作。如下图所示： 选择好网络适配器或网卡后，即可进入主界面，如下图所示：

2、捕捉数据包 以抓FTP密码为例 步骤1：设置规则 选择Capture菜单中的Defind Filter出现图（1）界面，选择图（1）中的ADDress 项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图（2）所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset 为2F,方格内填入18，name可任意起。确定后如图（4）点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。 图（1）

图（2） 图（3）

图（4） 图（5） 图（6）步骤2：抓包 按F10键出现下图界面，开始抓包。

图（7） 步骤3：运行FTP命令 本例使FTP到一台开有FTP服务的Linux机器上 D:/>ftp 192.168.113.50 Connected to 192.168.113.50. 220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. User (192.168.113.50:(none)): test 331 Password required for test. Password: 步骤4：察看结果 当下图中箭头所指的望远镜图标变红时，表示已捕捉到数据 图（8） 点击该图标出现下图所示界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test和密码为123456789。 图（9） 3、分析捕捉的数据包 将图（1）中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的，图（9）可以看出口令的数据包长度为70字节，其中协议头长度为：14+20+20=54，与telnet的头长度相同。Ftp的数据长度为16，其中关键字PASS占4个字节，空格占1个字节，密码占9个

Sniffer抓包分析手册

Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中，经常会利用sniffer软件来分析网络中的数据包，从而为故障的解决及相关的部门（如研发）提供更有说服力的数据。应该来说，sniffer的包文对于解决问题确实起到了很大的作用，但很多时候有些人所提供的sniffer数据包什么数据都抓，很混，要花很大的力气才能对看明白该数据包，另外，很多时候没有给出相应的抓包的网络拓扑图，数据包中的源端口、目的端口、IP地址等方面的说明，这样不利于相关人员的分析和定位。为此，我做个这方面的case，供大家参考，望大家能够提供更有价值的数据给相关的人员。

认证客户端与NAS 设备（交换机）报文交互 一、捕获数据包拓扑图： 1、 捕获认证客户端电脑（192.168.0.241/24）与S2126G 交换机交互的报文； 2、 捕获S2126G 交换机与SAMII 服务器（192.168.0.232）交互的报文； 三、所捕获得到的sniffer 报文的文件命名：请尽可能采用一目了然的文件名，即从文件名即 可以大概知道该sniffer 的报文的内容；同时，对于每个sniffer 文件，请用一个readme.txt 简短地说明，这样便于相关的人员能够更好地知道sniffer 报文的内容； 四、交换机的配置： show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232

sniffer_Pro的使用大全

实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 【实验内容】 第一部分：学习sniffer 1．首先，打开Sniffer Pro程序，如果系统要求的话，还要选择一个适配器（使用哪个网卡）。打开了程序后，会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2．打开Sniffer Pro程序后，选择Capture（捕获）－Start（开始），或者使用F10键，或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。 3．下面，在Sniffer Pro程序中，会看到高级系统（Expert）被自动调用，如图2所示。打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。

图2 开始捕获过程时调用高级系统 4．浏览图2中的屏幕。高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图3所示。 5．你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节

Sniffer嗅探、抓包实验

Sniffer嗅探、抓包实验 实验目的 通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。 实验用时 3学时（约120分钟） 实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。 实验步骤： 1、首先安装Sniffer软件。安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。安装完成后重新启动计算机。注意：需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下：包括工具栏、网络监视面 板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。 3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图

信安实验报告1网络嗅探实验

实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast （接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous （目的硬件地址不检查，全部接收） 以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收 通过Sniffer工具，将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧，进而实现实时分析数据帧的内容。 数据传输有两种方式：主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后，要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式，一种是Port（主动模式），一种是Passive被动模式。这个主被动指的是服务器端。 主动，是指服务器端主动向客户端发起数据连接请求，那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的，客户端在最初会用一个端口3716向服务器端的21发起控制连接请求（应该是在握手后中确定的吧），连接成功后，在发送port 3716+1，告诉服务服务器端坚定3717，那么服务器端就会用数据端口，一般是20与3717建立连接（这就是主动进行数据连接）。服务器端利用自己的20与客户端 3717来文件的数据传送通信，利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式，是服务器端被动的接受客户端的数据连接请求，这个端口号是由客户端告知服务器端的，在本地随机生成（1025-65535）。 二、分别写出任务二、任务三中要求找出的有用信息，写出对应捕获的报文窗口中的summary（概要）代码，并推断出监测主机的系列行为。

网络嗅探器实验报告

网络攻击与防御技术实验报告 实验目的： 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。 实验内容： 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境： 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计： 系统在设计过程中按照MVC的设计模式，整体分为三层。第一层为Control层即控制层，这里为简化设计，将Control层分为两个部分，一部分为网络报文输入，另一部分为用户输入；第二层是Model层即模型层；第三层为View层即显示层。 系统的整体运行过程为：从Control层得到数据，交到Model层进行处理，将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入；Model层主要用于分析数据包，处理用户的输入；View层主要用于对处理后的结果进行显示。 详细过程： 程序在执行过程中有两个核心的工作，一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法： 第一：初始化Winpcap开发库 第二：获得当前的网卡列表，同时要求用户指定要操作的网卡 第三：获得当前的过滤规则，可为空 第四：调用库函数，pcap_loop（），同时并指定其回调函数，其中其回调函数为数据包分析过程。 对应的相应核心代码为： I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)

sniffer软件的初步使用方法

使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。 通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的容。 当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层，它一般在已经进入对方系统的情况下使用。实验中要注意，虽然Sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类，在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然，Sniffer软件工具还有很多种，例如 SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。 对于Sniffer工具的防可以从以下几个方面进行：首先，如果通过网管工具发现在局域网存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探：其次，Sniffer 的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态)，则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它具有直接检测Sniffer的功能，从而可以对Sniffer进行有效防。

Sniffer抓包中文教程

1捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，

信息安全实验报告

信息安全实验报告

信息安全基础实验报告 姓名：田廷魁学号：201227920316 班级：网工1201班 ARP欺骗工具及原理分析（Sniffer网络嗅探器）一．实验目的和要求 实验目的： 1.熟悉ARP欺骗攻击有哪些方法。 2.了解ARP欺骗防范工具的使用。 3.掌握ARP欺骗攻击的实验原理。 实验要求： 下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer嗅探工具)。 二．实验环境（实验所用的软硬件） ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 三．实验原理 ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。

ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 四.实验内容与步骤 1、利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件，接着在arpsniffer.exe同一文件夹下新建记事本，输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式，下面的例子是其中的一种。 安装截图：

步骤一：运行cmd.exe,依次输入以下命令： "arpsf.exe -sniffall -o f:\sniffer.txt -g 192.168.137.1 -t 192.168.137.5"（其中IP地址：192.168.137.1是局域网网关的地址，192.168.137.5是被欺骗主机的IP地址，试验获取的数据将会被输入到F盘的sniffer.txt文件中。）按回车键运行，出现如下图所示的选项，选1，接着选0，回车，程序便开始监听了。 运行截图： 步骤二：停止运行，打开F盘的sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=wanglouanquan password=123456等。 捕获信息截图：

实验五 Sniffer工具安装与使用

信息科学技术学院信息安全专业 《电子商务安全》实验报告 实验目的： 1. 提高对网络入侵和入侵原理的认识。 2. 提高对网络协议的认识。 3. 用Sniffer网络嗅探器进行网络检测的能力。 实验内容： 1.运用Sniffer Pro工具进行网络流量监控、通信主机IP查询、实时监控网络活动、包分析等。 2.监测主机正在窃听（sniffed） 3.阻止sniffer 具体实验步骤： 1.在多宿主主机下应选择正确物理网卡 2.输入特定主机的IP地址，便于更有目的的监控该主机

3，网络流量监控 4，通信主机IP查询

5，实时监控网络活动 a) 抓取某台机器的所有数据包

b) 抓取某台机器的指定协议的所有数据包（icmp）

c)抓取TELNET密码 d)启动浏览器，在http协议下登录邮箱，试抓用户名与密码，并分析

e)启动浏览器，在https协议下登录邮箱，试抓用户名与密码，并分析 实验心得：网络监视功能能够时刻监视网络统计，网络上资源的利用率，并能够监视网络流量的异常状况。Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 基于Sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用 的扩大战果的方法，用来夺取其他主机的控制权。

实验三 网络数据包的捕获与分析

实验三 网络数据包的捕获与分析 一、实验目的和要求 通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。 二、实验内容 A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择 2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。 B ：设置捕获条件进行抓包 基本的捕获条件有两种： 1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP 层捕获，按源IP 和目的IP 进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。 任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑 获编辑 编辑 链路层捕获IP 层捕获 方向 地址条件 高级捕获条件

在“Advance ”页面下，你可以编辑你的协议捕获条件，如图： 选择要捕捕获帧长错误帧是保存过滤获的协议 度条件 否捕获 规则条件 高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。 在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。 C ：捕获报文的察看： Sniffer 软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析专家分析捕获报文的捕获报文的其他 系统 系统图形分析 统计信息 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的

网络监听实验报告

网络监听实验报告 一、实验目的 利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。通过实验，了解网络监听原理和过程。 二、实验环境及设备 硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干； 或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建 立三台虚拟机，要求能流畅运行。 软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。 三、实验内容 将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。 四、实验详细步骤 本实验内容分为三个过程： 1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。 （1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址 IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。如下图。 2、在A机上安装IIS，搭建并设置FTP服务器，以B机通过用户名和密码能访问A机FTP 服务为成功标志。 （1）安装IIS。 打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加/删除windows组件”→勾选“Internet信息服务（IIS）”→“详细信息”→勾选“文件传输协议（FTP）服务”→点击确定开始安装IIS，如下图。在安装过程中提示需要放入Windows系统光盘，请点击确定后选择IIS组件包所在位置，如下图。

sniffer实验报告

《网络安全基础》 实验报告 实验名称：sniffer的基本使用和实例 实验室：凌峰楼b503 专业班级：楼宇11301 组成员：胡征宇徐齐敏袁双龙李勇安鹏郭衍成指导教师：黄老师 成绩：______________________________________ 2012年9 月24 日

一、实验目的： 练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。 二、实验环境： 在同一台物理机上打开两台虚拟机，预装Windows 及windows sever2003操作系统。 三、实验前的准备： 两台虚拟机必须ping通，接入本地网络，然后把二者的ip 地址设在同一网段，因为vpc与vmc虚拟机环境不同，在vpc里必须手动将二者防火墙关闭，才能网络互通！之后，将sniffer 安装在xp的系统上，用2003系统做客户端。 四、常用功能介绍： 1、Dashboard （网络流量表） 点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

2. Host table（主机列表）如图所示，点击图中所指的图标，出现图中显示的界面，选择图中所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.5.20这台机器的上网情况，只需如图中所示单击该地址出现界面。

使用用Sniffer_Pro网络分析器实验报告

南京信息工程大学实验（实习）报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示： 选择好网络适配器或网卡后，即可进入主界面，如下图所示： 2、捕捉数据包

以抓FTP密码为例 步骤1：设置规则 选择Capture菜单中的Defind Filter出现图（1）界面，选择图（1）中的ADDress 项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图（2）所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset 为2F,方格内填入18，name可任意起。确定后如图（4）点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。 图（1） 图（2）

嗅探器实验报告

嗅探器实验报告 学院：通信工程 班级：011252 学号：01125118 姓名：寇天聪

嗅探器设计原理 嗅探器作为一种网络通讯程序，也是通过对网卡的编程来实现网络通讯的，对网卡的编程也是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。显然，要达到此目的就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。 网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见，嗅探器实际是一把双刃剑。虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其他黑软来完成的。而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用是有助于网络安全维护的。

本程序实现的基本功能：指定局域网内的任一ip地址，能分析包的类型，结构，流量的大小。 嗅探器工作原理 根据前面的设计思路，不难写出网络嗅探器的实现代码，下面就结合注释对程序的具体是实现进行讲解，同时为程序流程的清晰起见，去掉了错误检查等保护性代码。

计算机网络实验八 Sniffer Pro数据包捕获与协议分析汇编

惠州学院《计算机网络》实验报告 实验08 Sniffer Pro数据包捕获与协议分析 1. 实验目的 （1）了解Sniffer的工作原理。 （2）掌握SnifferPro工具软件的基本使用方法。 （3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。 2. 实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP 的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。 在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。 一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。 3. 实验环境与器材 本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器，物理机充当工作站。 物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。 4. 实验内容 介绍最基本的网络数据帧的捕获和解码，详细功能请参阅本教材辅助材料。 （1）Sniffer Pro 4.7的安装与启动 1）启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后，运行安装程序，按要求输入相关信息并输入注册码，若有汉化包请在重启计算机前进行汉化。完成后重启计算机，点击“开始”→“程序”→“Sniffer Pro”→“Sniffer”，启动“Sniffer Pro 4.7”程序。 2）选择用于Sniffer的网络接口。如果计算机有多个网络接口设备，则可通过菜单“File”→“Select Settings”，选择其中的一个来进行监测。若只有一块网卡，则不必进行此步骤。