Sniffer Pro 抓包分析实验.doc.doc

Sniffer Pro 的基本使用和实例一、运行环境及安装 Sniffer Pro 可运行在局域网的任何一台机器上,如果是练****使用, 网络连接最好用交换机且在一个子网,这样能抓到连到交换机上每台机器传输的包。本文用的版本是 4. , Sniffer Pro 安装非常简单, 装完,需要重启电脑(所以必须装在虚拟机里,虚拟机系统装 XP 或者 Win2003 系统均可) 。第一次启动的时候,需要填写一些注册信息,可以乱写,但最后的序列号必须写对。提供的序列号: SR424-255RR-255OO-255RR 二、常用功能介绍( 下面介绍来自于百度, 版本是 的,界面可能与 稍有不同) 1、 Dashboard (网络流量表) 点击图 1中①所指的图标,出现三个表, 第一个表显示的是网络的使用率( Utilization ), 第二个表显示的是网络的每秒钟通过的包数量( Packets ),第三个表显示的是网络的每秒错误率( Errors )。通过这三个表可以直观的观察到网络的使用情况, 红色部分显示的是根据网络要求设置的上限。选择图 1中②所指的选项将显示如图 2 所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。在 TCP/IP 协议中,数据被分成若干个包( Packets )进行传输,包的大小跟操作系统和网络带宽都有关系,一般为 64、 128 、 256 、 512 、 1024 、 1460 等,包的单位是字节。很多初学者对 Kbps 、 KB 、 Mbps 等单位不太明白,B和b 分别代表 Bytes( 字节)和 bits (比特), 1 比特就是 0或1。1 Byte =8 bits 。 1Mbps (megabits per second 兆比特每秒), 亦即 1x 1024 /8= 128KB/sec ( 字节/秒), 我们常用的 ADSL 下行 512K 指的是每秒 512K 比特(Kb) , 也就是每秒 512/8=64K 字节( KB ) 图1图2 2、 Host table (主机列表) 如图 3 所示, 点击图 3中①所指的图标, 出现图中显示的界面, 选择图中②所指的 IP 选项, 界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看 这台机器的上网情况,只需如图中③所示单击该地址出现图 4 界面。图3 图4 中清楚地显示出该机器连接的地址。点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。图4 3、 Detail (协议列表) 点击图 5 所示的“ Detail ”图标, 图中显示的是整个网络中的协议分布情况, 可清楚地看出哪台机器运行了那些协议。注意,此时是在图 3 的界面上点击的,如果在图 4 的界面上点击显示的是那台机器的情况。图5 4、 Bar (流量列表) 点击图 6 所示的“ Bar ”图标,图中显示的是整个网络中的机器所用带宽前 10 名的情况。显示方式是柱状图,图 7 显示的内容与图 6 相同,只是显示方式是饼图。图6 图7 5、 Matrix (网络连接) 点击图 8 中箭头所指的图标, 出现全网的连接示意图, 图中绿线表示正在发生的网络连接, 蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大( zoom )此图。图8 三、抓包实例( 抓的是别人机器的数据, 不是本机) 1 、抓某台机器的所有数据包如图 9 所示,本例要抓 这台机器的所有数据包, 如图中①选择这台机器。点击②所指图标,出现图 10 界面,等到图 10 中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图 11 界面,选择箭头所指的 Decode 选项即可看到捕捉到的所有包。图9图 10 图 11 2 、抓 密码本例从 ( 这个地址是你本机地址) 这台机器 到 ( 这个地址都一样) ,用 Sniff Pro 抓到用户名和密码。步骤 1 :设置规则如图12 所示,选择 Captur e 菜单中的 Defind Filter , 出现图13 界面, 选择图13中的 ADDres s 项,在 station 1和2 中分别填写两台机器的 IP 地址,如图 14 所示选择 Advanced 选项,选择选 IP/TCP/ 。图 12 图 13 图 14 步骤 2 :抓包按 F10 键出现图 15 界面,开始抓包。图 15 步骤 3 :运行 命令本例使 到一台开有 服务的机器上。运行: cmd login: lab406 Pa