Sniffer Pro的基本使用和实例

最新推荐文章于 2022-06-14 23:21:37 发布
最新推荐文章于 2022-06-14 23:21:37 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: 网络技术 文章标签: 网络 filter matrix linux 工具 tcp

Sniffer Pro的基本使用和实例

Posted at May 23, 2006 12:11 PM in 计算机网络 .

运行环境及安装

Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。
本文用的版本是4.6,Sniffer Pro软件的获取可在www.baidu.com或www.google.com 中输入Sniffer Pro 4.6,查找相应的下载站点来下载。 该版本是不要序列号的。
安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。
最好在win2000下运行,在win2003下运行网络流量表有问题。

常用功能介绍1、Dashboard (网络流量表)

点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。

选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。
在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。
很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表 Bytes(字节) 和 bits(比特),1比特就是0或1。1 Byte = 8 bits 。
1Mbps (megabits per second兆比特每秒),亦即 1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒 512K比特(Kb), 也就是每秒512/8=64K字节(KB)
200541825338434.gif
图1
200541825339386.jpg
图2

2、Host table(主机列表)

如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。
200541825339219.jpg
图3

图4中清楚地显示出该机器连接的地址。点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
200541825339108.jpg
图4

3、Detail(协议列表)

点击图5所示的“Detail”图标,图中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。注意,此时是在图3的界面上点击的,如果在图4的界面上点击显示的是那台机器的情况。
200541825340709.gif
图5

4、Bar(流量列表)

点击图6所示的“Bar”图标,图中显示的是整个网络中的机器所用带宽前10名的情况。显示方式是柱状图,图7显示的内容与图6相同,只是显示方式是饼图。
200541825340529.jpg
图6
200541825340347.jpg
图7

5、Matrix (网络连接)

点击图8中箭头所指的图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大(zoom)此图。
200541825340971.jpg
图8 抓包实例1、抓某台机器的所有数据包
如图9所示,本例要抓192.168.113.208这台机器的所有数据包,如图中①选择这台机器。点击②所指图标,出现图10界面,等到图10中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图11界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
200541825341253.gif
图9
200541825341691.gif
图10
200541825341243.jpg
图11

2、抓Telnet密码

本例从192.168.113.208 这台机器telnet到192.168.113.50,用Sniff Pro抓到用户名和密码。
步骤1:设置规则
如图12所示,选择Capture菜单中的Defind Filter,出现图13界面,选择图13中的ADDress项,在station1和2中分别填写两台机器的IP地址,如图14所示选择Advanced选项,选择选IP/TCP/Telnet ,将 Packet Size设置为 Equal 55, Packet Type 设置为 Normal.。
200541825341938.gif
图12
200541825341267.jpg
图13
200541825341434.gif
图14
步骤2:抓包
按F10键出现图15界面,开始抓包。
200541825342295.jpg
图15
步骤3:运行telnet命令
本例使telnet到一台开有telnet服务的Linux机器上。
telnet 192.168.113.50
login: test
Password:
步骤4:察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图17界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456。
200541825342749.gif
图16
200541825342665.jpg
图17
解释:
虽然把密码抓到了,但大家也许对包大小(Packet Size)设为55不理解,网上的数据传送是把数据分成若干个包来传送,根据协议的不同包的大小也不相同,从图18可以看出当客户端telnet到服务端时一次只传送一个字节的数据,由于协议的头长度是一定的,所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数据(一个字节)=55字节,这样将Packet Size设为55正好能抓到用户名和密码,否则将抓到许多不相关的包。
200541825342978.jpg
图18

3、抓FTP密码

本例从192.168.113.208 这台机器ftp到192.168.113.50,用Sniff Pro抓到用户名和密码。
步骤1:设置规则
如图12所示,选择Capture菜单中的Defind Filter出现图19界面,选择图19中的ADDress项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图20所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第二条规则,按图23所示设置好规则,确定后如图24所示。
200541825342287.jpg
图19
200541825343846.gif
图20
200541825343153.gif
图21
200541825343184.gif
图22
200541825343583.gif
图23
200541825343474.gif
图24
步骤2:抓包
按F10键出现图15界面,开始抓包。
步骤3:运行FTP命令
本例使FTP到一台开有FTP服务的Linux机器上
D:/>ftp 192.168.113.50
Connected to 192.168.113.50.
220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.
User (192.168.113.50:(none)): test
331 Password required for test.
Password:
步骤4:察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456789。
200541825343789.jpg
图25
解释:
虽然把密码抓到了,但大家也许设不理解,将图19中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的,图25可以看出口令的数据包长度为70字节,其中协议头长度为:14+20+20=54,与telnet的头长度相同。Ftp的数据长度为16,其中关键字PASS占4个字节,空格占1个字节,密码占9个字节,Od 0a(回车 换行)占2个字节,包长度=54+16=70。如果用户名和密码比较长那么Packet Size的值也要相应的增长。
Data Pattern中的设置是根据用户名和密码中包的特有规则设定的,为了更好的说明这个问题,请在开着图15的情况下选择Capture菜单中的Defind Filter,如图20所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图26界面,选择图中1所指然后点击2所指的Set Data按钮。OFFset、方格内、Name将填上相应的值。
同理图27中也是如此。
这些规则的设置都是根据你要抓的包的相应特征来设置的,这些都需要对TCP/IP协议的深入了解,从图28中可以看出网上传输的都是一位一位的比特流,操作系统将比特流转换为二进制,Sniffer这类的软件又把二进制换算为16进制,然后又为这些数赋予相应的意思,图中的18指的是TCP协议中的标志位是18。OFFset指的是数据包中某位数据的位置,方格内填的是值。
200541825343325.gif
图26
200541825343478.gif
图27
200541825343193.jpg
图28

4、抓HTTP密码

步骤1:设置规则
按照下图29、30进行设置规则,设置方法同上。
200541825343159.gif
图29
200541825343244.gif
图30
步骤2:抓包
按F10 键开始抓包。
步骤3:访问www.ccidnet.com网站
步骤4:察看结果
图16中箭头所 指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图31界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含有POST关键字的包,可以清楚地看出用户名为qiangkn997,密码为?,这可是我邮箱的真实密码!当然不能告诉你,不过欢迎来信进行交流。
200541825343413.jpg
图31
后记本文中的例子是网内试验,若捕捉全网机器的有关数据请将图13中的station设置为any<->any,作为学习研究可以,可别做坏事!如果要用好Sniff Pro必须有扎实的网络基础知识特别是TCP/IP协议的知识,其实Sniff Pro本身也是学习这些知识的好工具。
Sniffer Pro是个博大精深的工具,由于水平有限,本文这是介绍了其中的一小部分,希望能起到抛砖引玉的作用。  

原文出处:http://cs.cuc.edu.cn/linweiguo/archives/000251.html

wangjiwei2010
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络嗅探教程:使用Sniffer Pro监控网络流量 2
hlzhs的专栏
11-04 2086
步骤二:Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别,在安装过程中需要注意的是:①Sniffer Pro 安装大约占用70M左右的硬盘空间。②安装完毕Sniffer Pro后,会自动在网卡上加载Sniffer Pro 特殊的驱动程序(如图5)。③安装的最后将提示填入相关信息及序列号,正确填写完毕,安装程序需要重新启动计算机。④对于英文不好
Sniffer pro
weixin_34233856的博客
02-24 147
Sniffer pro是一款功能强大的网络分析工具,可以用于发现漏洞、病毒、等异常数据,也可以生成网络基准线,提供网络质量趋势分析数据,还可以用于故障快速定位,我在工作中经常用到,在此把使用中的体会写出来,希望对其他使用者能有一点用处。 转载于:https://blog.51cto.com/zhizhuo51/499459...
Sniffer Pro
05-14
Sniffer Pro抓包工具,可以轻松的获取别人的信息
Sniffer Pro基本使用实例[图文]
happy5856的专栏
10-26 1918
导读:   运行环境及安装   Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。   本文用的版本是4.6,Sniffer Pro软件的获取可在www.baidu.com或www.google.com中输入Sniffer Pro 4.6,查找相应的下载站点来下载。 该版本是不要序列号的。   安
利用SNIFFER PRO学习TCP/IP(一)
10-29 881
 利用SNIFFER PRO学习TCP/IP(一)2003/10/28ydzqw 注:Sniffer Pro应该大家都知道,不知道的到GOOGLE搜索J最好手头有本详解卷1:协议>> 这两天在看详解>>,总觉得有些地方理解的不够深。于是写了个小程序,再加上Sniffer,慢慢咀嚼。程序如下: ---------------------Server----------
sniffer pro
MyDriverC
07-06 1904
Sniffer Pro 最新版本为Sniffer Portable Professional 3.0,是取代Sniffer Pro 4.8/4.9的最新版本。最新版本提供了64位操作系统的支持和无线网络解码和专家分析系统(802.11a/b/g/n)、CDMA 2000、WCDMA解码和专家分析系统以及大量的细节化协议定制的更新。2009年,NetScout在中国设立了专门的Sniffer中文
SnifferPro
09-21
NAI公司出品的可能是目前最好的网络协议分析软件之一了,支持各种平台,性能优越,做为一名合格的网络管理员肯定需要有这么一套好的网络协议分析软件 4.9是5.0推出前的一个过渡版本,也是经典Sniffer Pro(我个人认为4.X版本是Sniffer Pro经典版)的最后一个版本了我估计,老实说我也对其需要大量资源感到头疼,对资源的需要主要是为了运行Appintell,原来该模块只在分布式Sniffer上运行,该模块对应用的数据流进行智能分析,通过分析应用的整个交易处理过程对应用运行进行评估,这在应用性能分析方面完全是创新性的。 通过Appintell,我们不是得到一个简单的应用响应时间(ART的功能),我们得到的是应用服务交易处理所用的时间,同时能够对交易处理过程中服务器的响应时间(Server Time),交易处理过程在网络中传输的时间(Transaction Xfer Time),网络的延迟(Network Time)进行分析,使我们非常容易的了解应用性能的瓶颈,是服务器响应慢还是网络延迟,还是带宽问题造成的应用性能下降。同时Appintell对应用访问过程中出现的TCP重传、TCP Zero Window进行监控,对应用的New Connection数量进行监控,以及应用的流量趋势进行监控,几方面数据的对比分析为技术人员分析应用性能问题提供有效的数据,我们可以直观的看到连接数量、流量、重传、以及交易处理时间之间的关系,有效分析应用服务质量。 目前的Appintell 为1.0版本,期待Appintell 2.0提供更强的应用分析功能。 以下是网友提供SNIFFER 4。8版本的使用心得,供大家参考: Sniffer Pro新版本4.8,4月就已经发布了,但站上一直没有公开发布。 1、Dashboard不再使用Java了,呵呵,原先Sniffer使用Java是很多人深恶痛绝的(包括本人),一打开Sniffer不再是CPU和内存蹭蹭的往上串了。 2、地址过滤可以使用子网过滤了(不再需要用Data Pattern来做了)。 3、可以做端口范围的过滤(如TCP 1050-1052)。 4、Data Pattern的Offset里多了一个叫”Variable offset“的功能,也就是说你可以做不用管位偏移在哪里的模式匹配了,举个例子:你要捕捉所有访问Sina网页的数据,你可以在Data Pattern里填入”sina“的ASCII字符,然后把”Variable offset“选项打勾,这样不管"sina"这个字符出现在数据的哪一部分,Sniffer都可以捕捉。 5、支持802.11g无线协议。 6、支持通用10/100/1000M Ethernet网卡。 7、支持实时解码--这点也是Sniffer以前常被人诟病的地方,俺喜欢这功能。 8、支持Sniffer Mobile 1.0和Sniffer Voice 2.5。前面举了这么多好的方面, 9、不再是使用序列号注册的方式,而是采用跟收集硬件信息和Grand No的方式来授权使用,必须在安装Sniffer的机器上生成一个请求授权文件,然后把该文件电邮给NG公司,由它们授权返回一个文件再导入才能正常使用,要不,只能试用15天。
Sniffer_Pro基本使用实例
03-30
"Sniffer_Pro基本使用实例" Sniffer_Pro是一款功能强大的网络嗅探工具,能够捕获和分析网络中的数据包,从而帮助网络管理员和安全专家分析网络流量、诊断网络问题和监控网络安全。本文将对Sniffer_Pro基本...
sniffer pro(sniffer抓包工具) V4.7.5 中文特别版(附注册码)@156_141559.exe
06-19
中文版下载,snifffer抓包工具,中文特别版
Sniffer Pro 4.9
11-08
由于上传文件大小的限制,我将该Software分成了四卷……(二)
Sniffer_pro4.9下载
01-03
Sniffer_pro4.9下载
SnifferPro网络抓包工具(带注册码)
02-06
绿色版,带注册码。snifferprosniffer抓包工具是一个功能强大的网络抓包和协议分析工具,它的功能非常强大且使用方便,此为中文版,使用更加方便。
Sniffer Pro 4.9下载 part3
03-18
您现在下载的是最新的SNIFFER 4.8版本。赶快体验一下SNIFFER 4.8带来的强大分析能力吧! 沿着Sniffer Pro的传统功能,大致浏览了一下4.9,决定从以下几个方面以帖图式展现其新的风采: 1.安装与硬件支持增减 2.监视 3.捕获 4.显示 5.定义过滤器 (这里将不细分过滤器类型,如监视/捕获/显示/触发事件过滤器等) 6.无线网络支持 7.其他 1.安装与硬件支持增减 与以前不同的是,Sniffer Portable 4.9在安装之前,竟然弹出了一个安装环境的检测报告 关于硬件的支持,以前都不曾关注,这次例外是因为我在测试的这台机器上的网卡为Broadcom NetXtreme Gigabit,某些网卡不需要安装Network General的增强驱动,Sniffer Portable也会支持. Sniffer Portable 4.9对网络卡支持的增删情况大致如下: 新增支持看得出来,在无线网络支持方面有所增强) Netgear Double 108Mbps Wireless PC Card WG511U D-Link AirPremier™ AG DWL-AG660 以下网卡将不再支持: Sniffer Pro WAN及相关硬件,包括SnifferBook, SnifferBook Ultra, ATMbook, ATM SAR, LM2000 WAN, and WAN HSSI Full Duplex 10/100 Ethernet PCI或者Fast Ethernet Full Duplex Pod Xyratex Gigabit SX and LX FDDI Token Ring 等 2.监视 在监视菜单下的第一栏迎入眼帘的是不曾相识的Application Intelligence,这对我们的应用性能分析增添了新的助手 (关于Application Intelligence如果有必要的话,以后可以再开新帖,这里只是让大家感性认识一下) Host Table监视控制栏增加"添加到最后过滤器"按扭,使用这一功能,可以方便的将选中的对方新增到过滤器中 同样,矩阵监视器也有增加此项功能 ART中可选显示协议有原来的几十项达到了380项 新增VLAN统计功能 (这里需要说明的是,经管我的测试主机网卡是无需增强驱动的Broadcom NetXtreme Gigabit,但这项依旧显示灰色,不可使用. 因为VLAN统计功能只有在安装了Sniffer Portable 4.9支持的网卡及安装了增强驱动的网卡才可以使用,很遗憾没有睹其庐山面目) 3.捕获 在Sniffer Pro4.7以前捕获数据报时,专家系统不支持实时解码功能,自从4.8以后及以后版本具以增添,不过,如果你使用管了诸如Omnipeek等网络分析系统的实时解码功能,Sniffer Portable的real-time decode也许会令你感觉不爽,本来抓取了一张图,这里免传了.因为我发现在这样上传下去,打开这个帖子的网友可能能在等待期间睡一小觉 但有2个地方不能不说 a.专家系统增加了multicast layer b.当定义完过滤器后,不用再像以前一样点击确定就可以直接捕获数据 4.显示 在专家系统捕获后辅助分析解码标签中,左上角出现了了行令人骄傲的工具栏,过滤显示/定义过滤器等从此不在枯燥 其实该工具栏最左侧2个按扭,two station format和show/hide all layers在Sniffer Pro 4.7中早已存在 大家可以通过Display/display setup/option下找到,只是默认没有选择而已 同时,事后分析工具Matrix中的分类显示中增加了VOIP,稍觉可惜的就是图片主题左中下地方那熟悉的Overflow 5.定义过滤器 感觉Sniffer Portable 4.9最大最多最集中的改善是增加了过滤器创建的多样性及过滤支持的丰富度,所以,这部分贴图稍微有点多, 6.无线网络支持 由于没有现成的无线网络环境,所以这部分只给出Sniffer Portable 4.9 Readme.htm中的E文描述: Wireless Enhancements Wireless Channel Surfing Setup: Applying the Surf Time Interval Revising Channel Surfing Settings Button Layout Quick Scan Surf Mode Wireless Monitoring: Host Table: View Access
Sniffer Pro使用详解
weixin_33775572的博客
09-06 1701
当一个网络出现故障时,就需要由网络管理员查找故障并及时进行修复。但局域网一般都有几十台到几百台计算机,以及多个服务器、交换机、路由器等设备,管理员需要检查这些设备,检查各个端口的连接等,检查是否是***或者***所为,工作量非常大,而且排除故障也非常麻烦。有了Sniffer Pro,就可以很容易的找出问题所在。Sinffer Pro是美国Network Associates...
关于Sniffer Pro
fangyong2008的专栏
03-13 477
1.1 简介                                假设现在是下午4点,你正坐在书桌旁,桌上摊开了3本书。你正在努力工作着,试图找出过去的8个小时中,你公司的文件服务器性能突然下降的原因。在你公司的200名用户中,有将近100人已经打电话到公司投诉,抱怨连接速度太慢,总是处于等待状态。你现在压力很大,因为今天公司的首席执行官(CEO)也打电话过来了。公司的主要文件服务器(N
sniffer Pro对ARP协议的分析、捕获与模拟攻击
懂进攻知防守
06-14 1399
sniffer Pro对ARP协议的分析、捕获与模拟攻击过程学习记录!
sniffer_pro教程
02-13
可以帮助了解网络的简单教程,应该对大家有帮助

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值