一、sniffer原理
sniffer是用于高级分组检错的工具。它可提供分组获取和译码的功能,它可以提供图形以确切的指出在你的网络中哪里正出现严重的业务拥塞。
在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,大多数系统使用48比特的地址,这个地址用来表示网络中的每一个设备,一般来说每一块网卡上的MFC地址都是不同的,每个网卡厂家得到一段地址,然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
在正常的情况下,一个网络接口应该只响应这样的两种数据帧:
1.与自己硬件地址相匹配的数据祯
2.发向所有机器的广播数据帧。
在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式:
广播方式:该模式下的网卡能够接收网络中的广播信息。
组播方式:设置在该模式下的网卡能够接收组播数据。
直接方式:在这种模式下,只有目的网卡才能接收该数据。
混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
总结一下,首先,我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,再次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理:让网卡接收一切他所能接收的数据。
二、网络监控的几种模式
1、moniteràhosttable
图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。本例以IP地址为测量基准。
2、monitoràmatrix
该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键àshowselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP地址
3、monitoràprotocoldistribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议
4、monitoràdashboard
该表显示各项网络性能指标包括利用率、传输速度、错误率
5、monitor-sizedistribution可以查看网络上传输包的大小比例分配。
6、monitoràapplicationresponsetime
该表显示了局域网内的通信其响应速度列表,并将本地网段的机器名以NETBIOS名的形式解析出来。
三、包的抓取与分析
1、过滤器的定制definefilter.Capture-definefilter
进入该界面后address指定以IP地址为类型,然后在下面的station1和station2中分别指定源和目的地地址。并将该设置指定为某settingprofile.
这个图中显示的是sniffer设置过滤条件的对话框。过滤条件可以用逻辑关系,比如像AND、OR、NOT等组合来设置。在这里可以设置的过滤条件有IP地址或者物理地址(一般我们说的都是在Internet之中,使用的是TCP/IP协议,所以选择Ip地址是比较合适的)、数据包、协议等。好,那就一下下来设置看看了。
第一、地址类型,选择IP了。选择模式,如果选包括,其意义就是指sniffer在捕获的时候就会只对你在Station1中和Station2中所列的节点包进行捕获。选择除外则恰恰相反。也就是说它在捕获的时候会过滤掉Station1和Station2中所列及的地址数据包的。
第二、在Station1和Station2以及DIR的设置中,你可以指定地址对,而我要对它截获的是与他连接的所有主机,也就是说这个Any代表的是任何主机的意思。至于Dir,则是要选择你要捕获的目标主机与其连接主机间的信息流向,这里选的是互流,即为要截获的是与之所连接的所有主机与它的信息数据.
2、captureàselectfilteràstart
在上图中的1部分,显示的是所监控的202.103.190.4与202.103.137.1主机间的应用层的协议以及对监控之后所得到的数据包的总结以及有效数据包的长度和整个数据包的长度、确认序列号的信息。上图中是我对OICQ的监控,所以它显示的端口是8000和4000。
而第2部分是对应1中的灰色区域里的数据包内容从协议的上进行的分析。这个图中所显示的是1中灰色部分的IP和TCP层的解释,从这里可以看出这个捕获到的数据包的组成以及数据包使用的端口、状态、时间等许多信息,用鼠标拉动滚动条可以看到更详细的对以太桢和应用层的解释。
第3部分是这次捕获的数据包的内容,能看到的是十六进制和ASCII两中显示形式。左边是用十六进制表示的包中每一个数据的位置,中间的部分是用十六进制表示的被截获的数据包中的内容,右边看到的则是ASCII形式。
|
· “熊猫烧香”病毒制造.. · 中国黑客超强X档案 第2.. · 中国黑客超强X档案 第2.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 · 年终岁末,注意病毒给.. |
· 中国黑客超强X档案 第2.. · 中国黑客超强X档案 第1.. · 中国黑客超强X档案 第1.. · 离校五周年的同学团聚.. · 快来帮帮忙 ..java中的.. · 为什么安装cisco模拟器.. |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · OSPF路由协议专栏 · 思科路由器产品 · 华为路由器产品 · 路由器模拟器 · AIX操作系统管理应用(.. · 思科路由器配置 · 路由器组网解决方案 · 路由器密码恢复 |
· 无线路由器故障处理 · 路由故障处理手册 · 路由器访问控制列表(AC.. · 路由器的安全配置与安.. · 无线路由器配置 · 路由器技巧 · 华为路由器配置 · 路由器配置基础 |
||
|
|||
| · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| hellen 的博客 |
|
| · 职场冲浪(之八):让感.. ·职场冲浪(之七):潜心.. |
·人生如鞋 ·职场冲浪(之六):从离梦最.. |
| 白璐 的博客 |
|
| ·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址.. |
·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介 |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind.. |
· 服务器基础知识入门 · Rambus第二?看全缓冲内.. · 服务器节能对比测试:AM.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
