Sniffer 软件是 NAI 公司推出的功能强大的协议分析软件。Sniffer 技术被广泛地应用于网络故 障诊断、协议分析、应用性能分析和网络安全保障等各个方面。
Sniffer 软件是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱模式状 态的工具,一旦网卡设置为这种模式,它就能接收在网络上传输的每一个信息包。在某些操作系统 中,由于普通用户缺少相应的权限,所以必须以管理员身份进行安装,如 Linux 下就必须以 root 身份进行安装。
2.6.1 Sniffer 的启动和设置
1.启动 Sniffer
Sniffer 安装好后,启动 Sniffer 执行程序。进入 Sniffer 主界面后,要对 Sniffer 启动的网络适配 器进行选择,选择后就可以在该网络适配器上捕捉流量。单击“File”菜单下的“Select Settings”,
弹出“Settings”对话框,如图 2-26 所示,选择想要进行流量捕捉的适配器,选中“Log On”复选 框,单击“确定”按钮,Sniffer 变成“Log On”状态,如图 2-27 所示,此时 Sniffer 在选定的网络 适配器下就处于工作状态了。
图 2-26 “Settings”对话框
图 2-27 Sniffer 主界面(Log On 状态)
2.设置
设置过滤器:从 Capture 菜单启动 Define filter,弹出如图 2-28 所示的 Define Filter-Capture 对 话框,其中包括 Summary、Address、Data Pattern、Advanced、Buffer 五个选项卡,即摘要、地址、
数据模式、高级、缓冲五个选项卡。
(1)Summary 选项卡。显示摘要信息,显示过滤器的一些信息,如地址、选定的协议类型、
缓冲器信息等。
(2)Address 选项卡。可以选择地址类型并按相应的类型添加地址。若在“Address”下拉列 表框中选择“Hardware”,即在下面的“Station 1”和“Station 2”设备中填写 MAC 地址;若选择
“IP”,即填写 IP 地址。如图 2-28 所示,“Station1”处的源 MAC 地址为 0019213d7d44,“Station2”
不填写,默认为任意 MAC 地址。也可以选择 IP 层捕获,即按源 IP 和目的 IP 进行捕获。还可以对
“Include”、“Exclude”进行设定,即捕获是否包含选择条件的流量。
(3)Data Pattern 选项卡。自定义要过滤的数据模式。
图 2-28 “Define Filter-Capture”对话框
(4)Advanced 选项卡。如图 2-29 所示,可以在此选项卡中编辑数据包的大小、协议类型、
数据包的类型,并可以通过单击 Profiles 按钮将设置进行保存。
图 2-29 选择捕获协议、类型和长度
(5)Buffer 选项卡。对 Sniffer 的缓冲进行设置,即可以对缓冲大小、缓冲满后的处理方式、
数据包大小、保存文件位置等进行设置,如图 2-30 所示。
图 2-30 缓冲设置
过滤器编辑好后保存,以后可以随时通过在 Capture 菜单栏中选择过滤器来调用该设置从而启 用 Sniffer。
还可以设置触发器来设置捕获,选择 Capture 中的触发设置命令来进行触发器设置。可以定义 触发器的时间、警报类型来启用触发,也可以按捕获量或自定义条件定义停止触发器的条件。
3.报文捕获解析
(1)捕获面板。可以按已定义的捕获条件单击“开始捕获”图标按钮进行捕获;也可以在开 始捕获前重新定义捕获条件,进行捕获操作;在“选择捕获条件”下拉菜单中可以选择已保存的过 滤器设置对捕获条件进行编辑,如图 2-31 所示是处于开始状态的捕获面板。
图 2-31 捕获面板
(2)捕获过程报文统计。如图 2-32 所示的面板可以查看捕获报文数和捕获报文的数据缓 冲大小。
(3)捕获报文查看。提供专家分析系统、解码分析、矩阵分析和其他统计信息,如图 2-33 所示。
图 2-32 捕获报文统计
图 2-33 专家分析界面
2.6.2 解码分析
如图 2-34 所示是对捕获的报文进行解码分析的显示,此工具的使用要求对协议比较熟悉。如 图 2-35 和图 2-36 所示分别为 Sniffer 对 ARP 报文和 IP 协议首部的解码分析结构。
图 2-34 解码分析界面
图 2-35 通过 Sniffer 解码的 ARP 报文结构
图 2-36 Sniffer 对 IP 协议首部的解码分析结构