一、sniffer原理

sniffer是用于高級分組檢錯的工具。它可提供分組獲取和譯碼的功能，它可以提供圖形以確切的指出在你的網(wǎng)絡(luò)中哪里正出現(xiàn)嚴重的業(yè)務(wù)擁塞。

在以太網(wǎng)中，所有的通訊都是廣播的，也就是說通常在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個***的硬件地址，這個硬件地址也就是網(wǎng)卡的MAC地址，大多數(shù)系統(tǒng)使用48比特的地址，這個地址用來表示網(wǎng)絡(luò)中的每一個設(shè)備，一般來說每一塊網(wǎng)卡上的MFC地址都是不同的，每個網(wǎng)卡廠家得到一段地址，然后用這段地址分配給其生產(chǎn)的每個網(wǎng)卡一個地址。在硬件地址和IP地址間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換。

在正常的情況下，一個網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：

1．與自己硬件地址相匹配的數(shù)據(jù)禎

2.發(fā)向所有機器的廣播數(shù)據(jù)幀。

在一個實際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的，網(wǎng)卡接收到傳輸來的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收，認為該接收就接收后產(chǎn)生中斷信號通知CPU，認為不該接收就丟掉不管，所以不該接收的數(shù)據(jù)網(wǎng)卡就截斷了，計算機根本就不知道。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡的驅(qū)動程序設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。

而對于網(wǎng)卡來說一般有四種接收模式：

廣播方式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。
組播方式：設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。
直接方式：在這種模式下，只有目的網(wǎng)卡才能接收該數(shù)據(jù)。
混雜模式：在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的。

總結(jié)一下，首先，我們知道了在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)的，也就是說，所有的物理信號都要經(jīng)過我的機器，再次，網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠接收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是他。這實際上就是我們SNIFF工作的基本原理：讓網(wǎng)卡接收一切他所能接收的數(shù)據(jù)。

二、網(wǎng)絡(luò)監(jiān)控的幾種模式
1、moniteràhosttable

圖中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機相連接的通信量的多少。本例以IP地址為測量基準。
2、monitoràmatrix

該蘭色圓中的各點連線表明了當前處于活躍狀態(tài)的點對點連接，也可通過將鼠標放在IP地址上點右鍵àshowselectnodes查看特定的點對多點的網(wǎng)絡(luò)連接，如下圖，表示出與192.168.0.250相連接的IP地址

3、monitoràprotocoldistribution查看協(xié)議分布狀態(tài)，可以看到不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議

4、monitoràdashboard
該表顯示各項網(wǎng)絡(luò)性能指標包括利用率、傳輸速度、錯誤率

5、monitor-sizedistribution可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配。

6、monitoràapplicationresponsetime
該表顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表，并將本地網(wǎng)段的機器名以NETBIOS名的形式解析出來。

三、包的抓取與分析

1、過濾器的定制definefilter.Capture-definefilter
進入該界面后address指定以IP地址為類型，然后在下面的station1和station2中分別指定源和目的地地址。并將該設(shè)置指定為某settingprofile.

這個圖中顯示的是sniffer設(shè)置過濾條件的對話框。過濾條件可以用邏輯關(guān)系，比如像AND、OR、NOT等組合來設(shè)置。在這里可以設(shè)置的過濾條件有IP地址或者物理地址（一般我們說的都是在Internet之中，使用的是TCP/IP協(xié)議，所以選擇Ip地址是比較合適的）、數(shù)據(jù)包、協(xié)議等。好，那就一下下來設(shè)置看看了。

***、地址類型，選擇IP了。選擇模式,如果選包括，其意義就是指sniffer在捕獲的時候就會只對你在Station1中和Station2中所列的節(jié)點包進行捕獲。選擇除外則恰恰相反。也就是說它在捕獲的時候會過濾掉Station1和Station2中所列及的地址數(shù)據(jù)包的。

第二、在Station1和Station2以及DIR的設(shè)置中，你可以指定地址對，而我要對它截獲的是與他連接的所有主機，也就是說這個Any代表的是任何主機的意思。至于Dir，則是要選擇你要捕獲的目標主機與其連接主機間的信息流向，這里選的是互流，即為要截獲的是與之所連接的所有主機與它的信息數(shù)據(jù).

2、captureàselectfilteràstart

在上圖中的1部分，顯示的是所監(jiān)控的202.103.190.4與202.103.137.1主機間的應(yīng)用層的協(xié)議以及對監(jiān)控之后所得到的數(shù)據(jù)包的總結(jié)以及有效數(shù)據(jù)包的長度和整個數(shù)據(jù)包的長度、確認序列號的信息。上圖中是我對OICQ的監(jiān)控，所以它顯示的端口是8000和4000。

而第2部分是對應(yīng)1中的灰色區(qū)域里的數(shù)據(jù)包內(nèi)容從協(xié)議的上進行的分析。這個圖中所顯示的是1中灰色部分的IP和TCP層的解釋，從這里可以看出這個捕獲到的數(shù)據(jù)包的組成以及數(shù)據(jù)包使用的端口、狀態(tài)、時間等許多信息，用鼠標拉動滾動條可以看到更詳細的對以太楨和應(yīng)用層的解釋。

第3部分是這次捕獲的數(shù)據(jù)包的內(nèi)容，能看到的是十六進制和ASCII兩中顯示形式。左邊是用十六進制表示的包中每一個數(shù)據(jù)的位置，中間的部分是用十六進制表示的被截獲的數(shù)據(jù)包中的內(nèi)容，右邊看到的則是ASCII形式。

【編輯推薦】

1. Sniffer pro 使用輔助說明
2. 用sniffer pro進行網(wǎng)絡(luò)流量掃描