超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。
实现对网络的监控,更深入地了解网络存在的问题,检测和修复网络故障和安全问题。
Sniffer可以监听到网上传输的所有信息,主要用来接收在网络上传输的信息。
Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等,还可以用来攻击与自己相临的网络。
Sniffer的功能主要包括如下几方面:捕获网络流量进行详细分析。
利用专家分析系统诊断问题。
实时监控网络活动情况。
监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。
支持主要的LAN、WAN和网络技术。
提供在位和字节水平过滤数据包的能力。
1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用:监视:实时解码并显示网络通信流中的数据。
捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。
分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。
显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。
3 学会sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。
环境:windows XP, windows 7,能访问INTERNET。
Sniffer pro主界面在默认情况下,Sniffer将捕获其接入的域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。
Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。
定义过滤规则的做法一般如下:(1) 在主界面选择【Capture】→【Define Filter】。
(2) 在“Define Filter”对话框中选择“Address”选项卡,这是最常用的定义。
其中包括MAC地址、IP地址和IPX地址的定义。
以定义IP地址过滤为例,如图3-20所示。
图3-20 定义IP地址过滤(3) 在“Define Filter”对话框中选择“Advanced”选项卡,定义希望捕获的相关协议的数据包,如图3-21所示。
图3-21 定义捕获的相关协议的数据包比如,想捕获使用FTP、NETBIOS、DNS和HTTP协议的数据包,那么首先展开“TCP”分支,再选择协议;其次展开“UDP”分支,再选择协议。
如果只选择了“TCP”分支下的相关协议,则将导致捕获的数据包不全。
如果不选任何协议,则捕获所有协议的数据包。
(4)“PacketSize”栏可以定义捕获包的大小。
如捕获包大小为64~128 b的数据包的设置如图3-22所示。
定义捕获的包大小2) 开始捕获数据包,观察相关信息在主界面中选择【Capture】→【Start】,启动捕获引擎。
Sniffer可以实时监控主机、协议、应用程序、不同包类型等的分布情况。
其【Monitor】菜单如图3-25所示。
图3-25 【Monitor】菜单(1) Dashboard:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。
(2) Host Table:可以查看通信量最大的前10台主机。
(3) Matrix:可以形象地看到不同主机之间的通信。
(4) Application Response Time:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。
(5) History Samples:可以看到历史数据抽样出来的统计值。
(6) Protocol Distribution:可以实时观察到数据流中不同协议的分布情况。
(7) Switch:可以获取Cisco交换机的状态信息。
在捕获过程中,同样可以对想观察的信息定义过滤规则,操作方式类似捕获前对过滤规则的定义。
3) 捕获数据包后的分析工作要停止Sniffer捕获包时,可选择【Capture】→【Stop】(停止捕获包)/【Stop and Display】(停止捕获包并把捕获的数据包进行解码和显示)。
Sniffer提供了两种模式对捕获到的数据包进行分析。
(1) Decode:对每个数据包进行解码,可以看到整个包的结构及从链路层到应用层的信息,事实上,使用Sniffer的大部分时间都花费在分析上面,这同时也对使用者在网络的理论及实践经验上提出较高的要求。
素质较高的使用者借助Sniffer便可看穿网络问题的症结所在。
(2) Expert:Sniffer提供的专家模式,系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。
其中Diagnoses能提供非常有价值的诊断信息。
2、Host table(主机列表)如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。
图3图4中清楚地显示出该机器连接的地址。
点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
图43、Detail(协议列表)点击图5所示的“Detail”图标,图中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。
注意,此时是在图3的界面上点击的,如果在图4的界面上点击显示的是那台机器的情况。
图54、Bar(流量列表)点击图6所示的“Bar”图标,图中显示的是整个网络中的机器所用带宽前10名的情况。
显示方式是柱状图,图7显示的内容与图6相同,只是显示方式是饼图。
图6图75、Matrix (网络连接)点击图8中箭头所指的图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。
将鼠标放到线上可以看出连接情况。
鼠标右键在弹出的菜单中可选择放大(zoom)此图。
图8抓包实例1、抓某台机器的所有数据包如图9所示,本例要抓192.168.113.208这台机器的所有数据包,如图中①选择这台机器。
点击②所指图标,出现图10界面,等到图10中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图11界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
图9图10图113、抓FTP密码本例从192.168.113.208 这台机器ftp到192.168.113.50,用Sniff Pro抓到用户名和密码。
步骤1:设置规则如图12所示,选择Capture菜单中的Defind Filter出现图19界面,选择图19中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。
如图20所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图21界面,按图设置OFFset 为2F,方格内填入18,name可任意起。
确定后如图22点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图23所示设置好规则,确定后如图24所示。
图20图22图24 步骤2:抓包按F10键出现图15界面,开始抓包。
步骤3:运行FTP命令本例使FTP到一台开有FTP服务的Linux机器上D:/>ftp 192.168.113.50Connected to 192.168.113.50.220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.User (192.168.113.50:(none)): test331 Password required for test.Password:步骤4:察看结果图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
可以清楚地看出用户名为test密码为123456789。
图25解释:虽然把密码抓到了,但大家也许设不理解,将图19中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的,图25可以看出口令的数据包长度为70字节,其中协议头长度为:14+20+20=54,与telnet的头长度相同。
Ftp的数据长度为16,其中关键字PASS 占4个字节,空格占1个字节,密码占9个字节,Od 0a(回车换行)占2个字节,包长度=54+16=70。
如果用户名和密码比较长那么Packet Size的值也要相应的增长。
Data Pattern 中的设置是根据用户名和密码中包的特有规则设定的,为了更好的说明这个问题,请在开着图15的情况下选择Capture菜单中的Defind Filter,如图20所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图26界面,选择图中1所指然后点击2所指的Set Data按钮。
OFFset、方格内、Name将填上相应的值。
同理图27中也是如此。
这些规则的设置都是根据你要抓的包的相应特征来设置的,这些都需要对TCP/IP协议的深入了解,从图28中可以看出网上传输的都是一位一位的比特流,操作系统将比特流转换为二进制,Sniffer这类的软件又把二进制换算为16进制,然后又为这些数赋予相应的意思,图中的18指的是TCP协议中的标志位是18。
OFFset指的是数据包中某位数据的位置,方格内填的是值。
图26图27图284、抓HTTP密码步骤1:设置规则按照下图29、30进行设置规则,设置方法同上。
图29图30步骤2:抓包按F10键开始抓包。
步骤3:访问网站步骤4:察看结果图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图31界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
在Summary中找到含有POST关键字的包,可以清楚地看出用户名为qiangkn997,密码为?。
图31。