无线网络抓包不再愁 新版sniffer讲解

企业无线网络的实施往往都是请专业的无线网络系统集成商来完成，当然专业团队有专业的工具，很多都是硬件的，通过这些硬件设备实现无线信号的扫描与定位，帮助企业无线网络实现无盲点实施。然而当集成商将无线网络实施完毕后我们该如何维护呢？能够像维护有线网络一样进行管理呢？其实无线和有线在管理方面还是存在一定差别的，特别是在无线网络抓包方面，而下面笔者介绍的软件则可以将这种差别彻底消除。

一，无线网络后期维护为什么让网络管理员头疼：

企业内部无线网络建立后的后期维护也相当关键。以往网络管理员使用的网络管理工具大多都不支持无线网络的管理，例如sniffer这种数据包扫描和监听工具就只对有线网络有用，一旦无线网络出现时断时续，网络不稳定的故障时网络管理员将没有有效办法。不过最近这个问题被有效解决了。新版sniffer 可以支持针对无线网络数据包的扫描和监听了。下面我们就在第一时间体验下新版sniffer如何让我们无线网络抓包不再愁。

二，sniffer的安装：

我们可以到IT168的下载专区找到最新版sniffer 4.9英文版，接下来就是解压缩并安装。

第一步：运行sniffer 4.9安装程序，欢迎界面点“NEXT”下一步按钮继续。（如图1）

第二步：sniffer自解压缩完成安装工作。（如图2）

第三步：根据提示开始安装必须文件到本地硬盘，在这之前程序会扫描当前计算机硬件配置，如果符合要求才容许继续下面的安装操作。（如图3）

第四步：默认sniffer 4.9会安装到c:program filesnetworkgeneralsniffer portable目录中，我们可以通过浏览按钮修改，建议大家使用默认值。（如图4）

第五步：复制必须文件到本地硬盘。（如图5）

第六步：所有安装工作完成后系统提示要求重新启动计算机让软件生效。（如图6）

第七步：重新启动计算机后我们就可以通过开始程序中的sniffer启动图标来启动扫描程序了，使用上和之前的版本差不多。（如图7）

至此我们的sniffer安装工作就完成了，实际上他是支持802.11g无线协议的，我们可以通过他来扫描基于这些协议的无线网络，在目前802.11a和b非常少见而802.11n没有普及的情况下802.11g足够满足我们的实际需要。但是很多时候我们并不能够马上扫描无线网络，还需要针对无线网卡进行设置。

三，无线网卡的设置

有过无线网络数据包扫描的朋友一定都知道并不是所有无线网卡都能够实现这种扫描功能的，大多数品牌的无线网卡都无法进行监听和扫描工作。不过我们可以通过安装相关驱动的方法将其“升级”，从而支持无线网络的扫描。比如笔者使用的TP-LINK 310无线网卡就无法配合sniffer 4.9来实现扫描目的，我们需要将其“升级”。

第一步：访问https://www.sodocs.net/doc/da9448935.html,/net/soft/snifferpro_4_90_102.rar，这是下载升级所须驱动的地方。

第二步：在该页面中下方找到驱动下载区域，这里罗列出了大多数国内外知名品牌子可以使用的升级驱动，由于没有TP-LINK的名字，所以我们从other hardware models其他硬件类型处下载。（如图8）

小提示：

由于sniffer扫描时要根据无线网卡的芯片来完成，所以我们需要将自己的无线网卡升级为sniffer 可以辨别的芯片驱动，例如本文就是将tp-link无线网卡升级为atheros 4.2.2.9芯片的无线网卡。

第三步：下载完毕后我们解压缩，通过硬件管理器将当前的无线网卡进行升级，可以选择“重新安装该设备的驱动程序”，然后指定驱动程序到atheros 4.2.2.9驱动文件夹。（如图9）

第四步：确定完毕后开始安装atheros 4.2.2.9驱动到本地无线网卡。（如图10）

第五步：完成atheros 4.2.2.9的驱动安装工作，我们的无线网卡也摇身一变成为名为atheros ar5005g 的无线网络适配器，点“完成”按钮结束。（如图11）

第六步：在设备管理器中也可以看到网卡的升级情况。（如图12）

第七步：启动sniffer 4.9主程序，在登录时或者通过settings选项来选择扫描时使用的网卡，我们选择atheros ar5005g这个无线网卡。（如图13）

第八步：之后的操作就和在有线网络中针对网络进行扫描和监视控制一样了，我们可以监听到该无线网卡收到和发送的所有无线网络传输数据包。针对SSID进行管理，针对数据来判断网络故障根源。（如图14）

四，总结:

通过sniffer 4.9来扫描无线网络中传输的数据包关键是要完成无线网卡的升级工作，只有选择并找到合适的驱动程序才能够顺利完成升级工作并实现对无线网络数据的扫描和监听。当然如果升级后你依然

无法通过sniffer 4.9扫描，那么笔者只能够很遗憾的告诉你，你当前使用的无线网卡是不支持这种监听功能的。（如图15）

无线网络抓包不再愁新版sniffer讲解由华彩软件站为您最新收集整理,版权归原作者或公司所有。如有侵权，请与我联系删除。

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告 （2011 / 2012 学年第一学期） 题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析 题目2：IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日

指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容，能准确有条理回答各 种问题，系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用 一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点：Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表） 点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

sniffer软件的初步使用方法

使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。 通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。 当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层，它一般在已经进入对方系统的情况下使用。实验中要注意，虽然Sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类，在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然，Sniffer软件工具还有很多种，例如 SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探：其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态)，则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer 进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它具有直接检测Sniffer的功能，从而可以对Sniffer进行有效防范。

网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告 题目：网络嗅探实验 指导老师： 学生姓名： 学生学号： 院系名称：信息科学与工程学院 专业班级： 2015年5月15日星期五

一、实验目的 掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP（FTP下载软件） ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组：其中学生A进行Http或者Ftp连接，学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后，互换角色重做一遍。 四、实验内容 任务一：熟悉Wireshark工具的使用 任务二：捕获FTP数据包并进行分析 任务三：捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）。 以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。 1．HTTP 协议简介 HTTP 是超文本传输协议（Hyper Text Transfer Protocol）的缩写，用于WWW 服务。 （1）HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议，但HTTP 协议是无状态的。也就是说，每个事务都是独立地进行处理。当一个事务开始时，就在web客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。此外，客户可以使用多个端口和和服务器（80 端口）之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80，以便发现是否有浏览器（客户进程）向它发出连接请求； ②一旦监听到连接请求，立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求，服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应 2007-08-22 10:02 用sniffer抓icmp包来分析。 1。ping 192.168.1.1 -l 0 ping一个ip，指定携带的数据长度为0 抓包分析如图： 从图上的1处我们可以看到这个数据总大小是：60byte 从2处看到ip数据总长度：28byte ip数据为什么是28byte？ 因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即： 28＝20＋8 而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节 以太网帧头部＋ip数据总长度＝14＋28＝42 注意3处标记的，填充了18个字节。 42＋18＝60 刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加

上4字节尾部校验，正好等于64！ 64恰好是以太类型帧最小大小。 在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。第15个字节TOS的含义如下： 15 00 // TOS ( type of service, //bit 0 = 0, CE bit - no congestion; //bit1 = 0, ECT bit - transport protocol will ignore the CE bit; //bit 2 =0, normal reliability; //bit 3 = 0, normal throughtput; //bit 4 = 0, normal delay; //bit 5 ~ bit 7 = 000, routine. 再分析一个 ping 192.168.1.1 -l 64 数据大小106byte 106－14（以太类型帧头部）=92 刚好等于ip部分的显示大小 92－20（ip）－8（icmp头）＝64 刚好等于我们指定的64字节ping 包

sniffer使用及图解教程

sniffer使用及图解 注：sniffer使用及图解sniffer pro 汉化注册版下载 黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载 sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。（如图1） 图1 点击放大 注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。（如图2） 图2 接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。（如图3） 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。（如图4） 图4 第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utiliz ation%网络使用率”，“Packets/s 数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。（如图5） 图5

使用用Sniffer_Pro网络分析器实验报告

使用Sniffer Pro网络分析器实验报告 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择网络适配器或网卡后才能正常工作。如下图所示： 选择好网络适配器或网卡后，即可进入主界面，如下图所示：

2、捕捉数据包 以抓FTP密码为例 步骤1：设置规则 选择Capture菜单中的Defind Filter出现图（1）界面，选择图（1）中的ADDress 项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图（2）所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset 为2F,方格内填入18，name可任意起。确定后如图（4）点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。 图（1）

图（2） 图（3）

图（4） 图（5） 图（6）步骤2：抓包 按F10键出现下图界面，开始抓包。

图（7） 步骤3：运行FTP命令 本例使FTP到一台开有FTP服务的Linux机器上 D:/>ftp 192.168.113.50 Connected to 192.168.113.50. 220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. User (192.168.113.50:(none)): test 331 Password required for test. Password: 步骤4：察看结果 当下图中箭头所指的望远镜图标变红时，表示已捕捉到数据 图（8） 点击该图标出现下图所示界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test和密码为123456789。 图（9） 3、分析捕捉的数据包 将图（1）中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的，图（9）可以看出口令的数据包长度为70字节，其中协议头长度为：14+20+20=54，与telnet的头长度相同。Ftp的数据长度为16，其中关键字PASS占4个字节，空格占1个字节，密码占9个

Sniffer抓包分析手册

Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中，经常会利用sniffer软件来分析网络中的数据包，从而为故障的解决及相关的部门（如研发）提供更有说服力的数据。应该来说，sniffer的包文对于解决问题确实起到了很大的作用，但很多时候有些人所提供的sniffer数据包什么数据都抓，很混，要花很大的力气才能对看明白该数据包，另外，很多时候没有给出相应的抓包的网络拓扑图，数据包中的源端口、目的端口、IP地址等方面的说明，这样不利于相关人员的分析和定位。为此，我做个这方面的case，供大家参考，望大家能够提供更有价值的数据给相关的人员。

认证客户端与NAS 设备（交换机）报文交互 一、捕获数据包拓扑图： 1、 捕获认证客户端电脑（192.168.0.241/24）与S2126G 交换机交互的报文； 2、 捕获S2126G 交换机与SAMII 服务器（192.168.0.232）交互的报文； 三、所捕获得到的sniffer 报文的文件命名：请尽可能采用一目了然的文件名，即从文件名即 可以大概知道该sniffer 的报文的内容；同时，对于每个sniffer 文件，请用一个readme.txt 简短地说明，这样便于相关的人员能够更好地知道sniffer 报文的内容； 四、交换机的配置： show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232

Sniffer嗅探、抓包实验

Sniffer嗅探、抓包实验 实验目的 通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。 实验用时 3学时（约120分钟） 实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。 实验步骤： 1、首先安装Sniffer软件。安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。安装完成后重新启动计算机。注意：需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下：包括工具栏、网络监视面 板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。 3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图

sniffer_Pro的使用大全

实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 【实验内容】 第一部分：学习sniffer 1．首先，打开Sniffer Pro程序，如果系统要求的话，还要选择一个适配器（使用哪个网卡）。打开了程序后，会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2．打开Sniffer Pro程序后，选择Capture（捕获）－Start（开始），或者使用F10键，或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。 3．下面，在Sniffer Pro程序中，会看到高级系统（Expert）被自动调用，如图2所示。打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。

图2 开始捕获过程时调用高级系统 4．浏览图2中的屏幕。高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图3所示。 5．你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节

信安实验报告1网络嗅探实验

实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast （接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous （目的硬件地址不检查，全部接收） 以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收 通过Sniffer工具，将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧，进而实现实时分析数据帧的内容。 数据传输有两种方式：主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后，要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式，一种是Port（主动模式），一种是Passive被动模式。这个主被动指的是服务器端。 主动，是指服务器端主动向客户端发起数据连接请求，那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的，客户端在最初会用一个端口3716向服务器端的21发起控制连接请求（应该是在握手后中确定的吧），连接成功后，在发送port 3716+1，告诉服务服务器端坚定3717，那么服务器端就会用数据端口，一般是20与3717建立连接（这就是主动进行数据连接）。服务器端利用自己的20与客户端 3717来文件的数据传送通信，利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式，是服务器端被动的接受客户端的数据连接请求，这个端口号是由客户端告知服务器端的，在本地随机生成（1025-65535）。 二、分别写出任务二、任务三中要求找出的有用信息，写出对应捕获的报文窗口中的summary（概要）代码，并推断出监测主机的系列行为。

sniffer功能和使用详解

Sniffer功能和使用详解 一Sniffer介绍 Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文 的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网 络Sniffer的分类 如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 二sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。 1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer

网络嗅探器实验报告

网络攻击与防御技术实验报告 实验目的： 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。 实验内容： 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境： 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计： 系统在设计过程中按照MVC的设计模式，整体分为三层。第一层为Control层即控制层，这里为简化设计，将Control层分为两个部分，一部分为网络报文输入，另一部分为用户输入；第二层是Model层即模型层；第三层为View层即显示层。 系统的整体运行过程为：从Control层得到数据，交到Model层进行处理，将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入；Model层主要用于分析数据包，处理用户的输入；View层主要用于对处理后的结果进行显示。 详细过程： 程序在执行过程中有两个核心的工作，一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法： 第一：初始化Winpcap开发库 第二：获得当前的网卡列表，同时要求用户指定要操作的网卡 第三：获得当前的过滤规则，可为空 第四：调用库函数，pcap_loop（），同时并指定其回调函数，其中其回调函数为数据包分析过程。 对应的相应核心代码为： I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)

Sniffer抓包中文教程

1捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，

信息安全实验报告

信息安全实验报告

信息安全基础实验报告 姓名：田廷魁学号：201227920316 班级：网工1201班 ARP欺骗工具及原理分析（Sniffer网络嗅探器）一．实验目的和要求 实验目的： 1.熟悉ARP欺骗攻击有哪些方法。 2.了解ARP欺骗防范工具的使用。 3.掌握ARP欺骗攻击的实验原理。 实验要求： 下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer嗅探工具)。 二．实验环境（实验所用的软硬件） ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 三．实验原理 ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。

ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 四.实验内容与步骤 1、利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件，接着在arpsniffer.exe同一文件夹下新建记事本，输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式，下面的例子是其中的一种。 安装截图：

步骤一：运行cmd.exe,依次输入以下命令： "arpsf.exe -sniffall -o f:\sniffer.txt -g 192.168.137.1 -t 192.168.137.5"（其中IP地址：192.168.137.1是局域网网关的地址，192.168.137.5是被欺骗主机的IP地址，试验获取的数据将会被输入到F盘的sniffer.txt文件中。）按回车键运行，出现如下图所示的选项，选1，接着选0，回车，程序便开始监听了。 运行截图： 步骤二：停止运行，打开F盘的sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=wanglouanquan password=123456等。 捕获信息截图：

实验三 网络数据包的捕获与分析

实验三 网络数据包的捕获与分析 一、实验目的和要求 通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。 二、实验内容 A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择 2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。 B ：设置捕获条件进行抓包 基本的捕获条件有两种： 1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP 层捕获，按源IP 和目的IP 进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。 任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑 获编辑 编辑 链路层捕获IP 层捕获 方向 地址条件 高级捕获条件

在“Advance ”页面下，你可以编辑你的协议捕获条件，如图： 选择要捕捕获帧长错误帧是保存过滤获的协议 度条件 否捕获 规则条件 高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。 在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。 C ：捕获报文的察看： Sniffer 软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析专家分析捕获报文的捕获报文的其他 系统 系统图形分析 统计信息 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的

网络监听实验报告

网络监听实验报告 一、实验目的 利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。通过实验，了解网络监听原理和过程。 二、实验环境及设备 硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干； 或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建 立三台虚拟机，要求能流畅运行。 软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。 三、实验内容 将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。 四、实验详细步骤 本实验内容分为三个过程： 1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。 （1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址 IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。如下图。 2、在A机上安装IIS，搭建并设置FTP服务器，以B机通过用户名和密码能访问A机FTP 服务为成功标志。 （1）安装IIS。 打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加/删除windows组件”→勾选“Internet信息服务（IIS）”→“详细信息”→勾选“文件传输协议（FTP）服务”→点击确定开始安装IIS，如下图。在安装过程中提示需要放入Windows系统光盘，请点击确定后选择IIS组件包所在位置，如下图。

使用用Sniffer_Pro网络分析器实验报告

南京信息工程大学实验（实习）报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示： 选择好网络适配器或网卡后，即可进入主界面，如下图所示： 2、捕捉数据包

以抓FTP密码为例 步骤1：设置规则 选择Capture菜单中的Defind Filter出现图（1）界面，选择图（1）中的ADDress 项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图（2）所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset 为2F,方格内填入18，name可任意起。确定后如图（4）点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。 图（1） 图（2）

虚拟机安装及Sniffer配置实验报告

①虚拟机安装： 实验环境： 操作系统Microsoft Windows 8 专业版(64位) CPU (英特尔)Intel(R) Core(TM) i7-3517U CPU @ 1.90GHz(2401 MHz) 主板华硕S400CA 内存12.00 GB ( 1600 MHz) 主硬盘500 GB (希捷ST500LT012-9WS142 已使用时间: 2715小时) 显卡Intel(R) HD Graphics 4000 (2112 MB) 显示器LG LG Display 32位真彩色60Hz 声卡High Definition Audio 设备 网卡Qualcomm Atheros AR9485WB-EG Wireless Network Adapter 虚拟机版本：Vmware 9.0 一.下载XP系统的光盘镜像(可在内网下载浙师大版的XP) 二.虚拟机软件的安装 桌面上下载完的文件 解压得到 先运行setup，将软件安装到电脑上，注册码可以在注册机中生成，然后汉化，汉化需要先将VM相关的服务停止才可以，右击计算机-管理-服务与应用程序-服务

将VMware的相关服务的启动类型改为停用，然后将汉化文件覆盖到安装目录中，汉化就完成了，下面是汉化好的VMware 9.0：(网上最新有10.0，支持原生中文) VM的图标： 系统托盘的图标： 主界面：

三.虚拟系统的安装与配置选择文件-新建虚拟机 选择自定义，下一步

兼容性选择9.0就行，下一步 选择安装盘的位置，软件会自动识别操作系统版本，然后下一步

从网上找一个XP系统的密钥，然后下一步 设定虚拟机的名称和位置，下一步

嗅探器实验报告

嗅探器实验报告 学院：通信工程 班级：011252 学号：01125118 姓名：寇天聪

嗅探器设计原理 嗅探器作为一种网络通讯程序，也是通过对网卡的编程来实现网络通讯的，对网卡的编程也是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。显然，要达到此目的就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。 网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见，嗅探器实际是一把双刃剑。虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其他黑软来完成的。而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用是有助于网络安全维护的。

本程序实现的基本功能：指定局域网内的任一ip地址，能分析包的类型，结构，流量的大小。 嗅探器工作原理 根据前面的设计思路，不难写出网络嗅探器的实现代码，下面就结合注释对程序的具体是实现进行讲解，同时为程序流程的清晰起见，去掉了错误检查等保护性代码。

网络抓包--sniffer pro的使用

实验二 网络抓包——sniffer pro 的使用 实验目的： 1. 了解网络嗅探的原理； 2. 掌握Sniffer Pro 嗅探器的使用方法； 实验学时：2课时 实验形式：上机 实验器材： 联网的PC 机 实验环境：操作系统为Windows2000/XP 实验内容： 任务一 熟悉Sniffer Pro 工具的使用 任务二 使用Sniffer Pro 抓获数据包 实验步骤： 任务一 熟悉Sniffer Pro 工具的使用 1. Sniffer Pro 工具简介 Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。 2. 使用说明 在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。 Sniffer Pro 运行后的主界面如图2所示。 （1 ）工具栏简介如图3所示。 图1 网卡设置 图2 sniffer pro 主界面 图3工具栏

快捷键的含义如图4所示。 （2 ）网络监视面板简介 在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图 5所示。 （3）捕获数据包窗口简介 Sniffer 软件提供了强大的分析能力和解码功能。如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 捕获停止 捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口