sniffer功能和使用详解

1Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。二snifferproSniffer软件是NAI公司推出的功能强大的协议分析软件。SnifferPro-功能捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。1.SnifferPro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。(1)监控Internet连接共享如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将SnifferPro安装在代理服务器上，这样，Sniffer2Pro就可以非常方便地捕获局域网和Internet之间传输的数据。如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口，并将SnifferPro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个局域网中的数据了。2.设置监控网卡如果计算机上安装了多个网卡，在首次运行SnifferPro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，SnifferPro就会自动选择同样的代理。1启动snifferpro在安装snifferpro之前需要安装Win_cap（监听包），然后选择网络适配器如图1.1，如果没有出现则点击”新建”,如图1.2：（描述）Description：为该网卡设置一个名称，可以是关于该网卡的描述。（网络适配器）Network：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。（netpod类型）NetpodConfiguration：在这里可以设置高速以太网Pod，为了使以太网可以以全双工模式工作，在“Netpod”下拉列表中选择“FullDuplexPod(全双工Pod)”选项，在“NetpodIP”框中输入SnifferPro系统的网络适配器的IP地址再加1。例如，SnifferProIP地址为192.168.1.1，NetpodIP地址就必须设置为192.168.1.2。全双工Pod要求有静态IP地址，所以应该禁用DHCP。（拷贝设置从）Copysettings：在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。设置完成以后单击“OK”按钮，添加到“Settings”对话框中，然后就可以选择监控该网卡了。图1.1选择网络适配器3图1.2添加网络适配器图1.3Snifferpro协议分析器主界面2.认识snifferpro界面2.1仪表盘仪表盘，点击后显示如图1.14首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。在Sniffer主窗口中，默认会显示Dashboard(仪表盘)窗口，共显示了三个仪表盘，即“Utilization%”“Packets/s”“Errors/s”，分别用来显示网络利用率、传输的数据和错误统计。(1)Utilization%(利用率百分比)用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表示警戒值，表盘下方有两个数字，第一个数字代表当前利用率百分比，第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。但是，网络数据流通常都是突发型的，一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率的理想方法要因网络不同而改变，而且很大程度上要取决于网络的拓扑结构。在以太网端口，利用率到40%，效率可能已经很高了，但是在全双工可转换端口，80%的利用率才是高效的。(2)Packets/s(每秒传输的数据包)显示当前数据包的传输速度。同样，红色区域表示警戒值，下方的数字显示当前的数据包传输速度及其峰值。根据数据包速率可以得出网络上流量类型的一些重要信息。例如，如果网络利用率很高，而数据包传输速度相对较低，则说明网络上的帧比较大;而如果网络利用率很高，数据包传输速率也很高，说明帧比较小。通过查看规模分布的统计结果，可以更详细的了解帧的大小。(3)Errors/s(每秒产生的错误)该表盘可显示当前出错率和最大出错率。不过，并非所有的错误都产生故障。例如，以太网中经常会发生冲突，并不一定会对网络造成影响，但过多的冲突就会带来问题。如果要重新设定仪表盘的值，可以单击仪表盘窗口上方的Reset(重置)按钮。2.2主机表。对单个主机进行分析5图2.2主机显示表通过这个表我们可以对网络内的单个工作站进行数据捕获，排序可以按照MAC地址、IP地址和IPX协议。实际上在大部分的情况下一旦网络出现异常，可以在第一时间直观的通过HostTable功能找到问题的根源，在这个表种显示了每台计算机的上行速率和下行速率，用来分析各主机的通信量。在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。主机表：显示主机表如图2.26图2.3查看捕获面板图2.4显示面板统计信息捕获面板能够显示捕获保温的大小，以及显示缓冲器的使用率，2.3矩阵矩阵如图2.3捕获报文数缓冲器使用率7图2.3局域网正常数据传输矩阵用于直观的显示整个网络的数据传输情况。上图位局域网正常的数据传输，当出现异常情况时出现下图2.3.1，一台主机跟多台计算机在通信，如果发生在服务器上，是正常的，但是这种情况发生在其它非服务器的计算机上就有可能是攻击行为了。图2.3.1局域网内主机异常通信点击查看“饼图”可以查看那台计算机的流量最大（如下图）。8图5.2饼图显示各主机通信量3ART监控请求响应时间图3.14历史取样请求响应时间如图：3.1历史取样，查看以前某个时间段的数据信息，如图4.19图4.1历史取样图5.协议分布图5.1协议分布图此试图能够检测网络当中各计算机使用的网络协议，包括FTP、HTTP、ICMP、DNS等，并监测其数据流量。6定义过滤器，设置缓冲大小选择捕获—定义过滤器协议分布，列出局域网内计算机使用协议的分布图，如图5.110图6.1选择定义过滤器图6.2设置缓冲器大小二捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。11专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太12多，这里不对协议进行过多讲解，请参阅其他相关资料。对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture-DefineFilter和Display-DefineFilter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。在最上面的窗口中显示了捕获的帧和捕获的顺序、“SourceAddress(源地址)”、“DestAddress(目的地址)”、“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框，然后就可以保存为新的捕获文件。选择“Display”菜单中的“SaveSelect”选项，即将选择的帧保存为新的捕获文件;选择“SelectRange(选择范围)”选项可以选择全部帧、取消对全部范围的选择，或者选择和取消任何一个范围的选择。13UDP文件头信息以太报文结构EthernetII以太网帧结构Ethernet_II以太网帧类型报文结构为：目的MAC地址（6bytes）＋源MAC地址＋（6bytes）上层协议类型（2bytes）＋数据字段（46-1500bytes)＋校验（4bytes）Ethernet_II14DMACSMACTypeDATA/PADFCSSniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议，0x806为ARP协议。IP协议IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。版本：4——IPv4首部长度：单位为4字节，最大60字节TOS：IP优先级字段总长度：单位字节，最大65535字节标识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF（MoreFragment）MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF（Don'tFragment）DF=1，不允许分片DF=0，允许分片段偏移：分片后的分组在原分组中的相对位置，总共13