一、Sniffer Pro 网络监控的集中模式
1.传输地图:该蓝色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在 IP 地址上点右键show select nodes查看特定的点对多点的网络连接。图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。
2.细节显示
可看出各主机之间数据传输流量
3.protocol distribution
查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议。
4.host table
图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。本例以 IP地址为测量基准
二、sniffer 抓包使用说明
在我们抓包的过程中,我们可以设置过滤器过滤出制定ip地址的数据,因分析问题的不同,我们可能需要捕获的数据包是不同的,那么我们可以指过滤捕获制定数据包的数据,以便分析。过滤方法如下
1.选择ip捕获的地址或hardware
2.选择过滤的数据包
在捕获数据包前,我们要知道TCP/IP数据包格式如下所示
| 目的MAC(48) | 源MAC(48) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 类型(16) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
首先我们捕获ICMP数据包
欲捕获ICMP数据包,我们便要用本机ping局域网内其他ip地址,ping后,变捕获到了ICMP数据包,保存后解码分析,下表为ICMP报文格式
| 类型 8位 | 代码 8位 | 校验和 16位 |
| 首部其余部分 | ||
| 数据部分 |
||
其中类型为8为回送请求,为0为回答
如下图所示回送与回答报文
ARP数据包:
首先将过滤监视器地址改为hardware,我们知道某台机器的IP地址,即可以知道其物理地址。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。计算机会先发送一个包含一个IP地址信息的ARP请求包(广播包),当那台符合条件IP的计算机接受到广播包的时候,就会给那台发送广播包的计算机会送一个响应,同时把自己的MAC地址附带得告诉了那太发送ARP广播包的计算机。
| 硬件地址(16位) |
协议类型(16位) |
|
| 硬件长度 |
协议长度 |
操作(请求1,回答2) |
| 发送站硬件地址(例如:对以太网是6字节) |
||
| 发送站协议地址(例如:对IP是4字节) |
||
| 目标硬件地址(例如:对以太网6字节,在请求中不填入) |
||
| 目标协议地址(例如:对IP是4字节) |
||
HTTP数据包:我们通过搭建一个apache服务器,使用本机访问http服务器,从而捕获到http数据包
下面为访问http服务器
http数据包如下
ftp捕获:制作ftp服务器,在本机访问ftp服务器进行文件下载,从而捕获到ftp数据包
访问ftp服务器
FTP数据包:
UDP数据包:以DNS为例,搭建DNS服务器,本机nslookup DNS服务器的ip,进行捕获UDP数据包
UDP数据包:
以上便是捕获的数据包真容,我试图捕获邮件数据包,捕获失败,若有大神捕获到了,劳烦留言说一下怎么捕获到了,感激不尽
实训报告详见:https://download.csdn.net/download/ljh_laura_li/10586992