SNIFFER相关教程下载： Sniffer使用教程.pdf|Sniffer用法.ppt

具体问题解决：

1.SNIFFER4.75无法使用，打开后提示

No adapter is binding to Sniffer driver

如下图

4.7.5 With SP5以上支持千兆以太 ,一般我们从 络上下载的4.75不支持千M 卡

4.7.5 With SP5下载：

微盘：   SNIFFER POR V4.7.5 SP5(中英文切换版).rar

CSDN：SNIFFER POR V4.7.5 SP5汉化版

2.如何导入导出snifferPro定义的过滤器的过滤文件r>
方法一、强行覆盖法
C:Program FilesNAISnifferNTProgram
下面有很多Local打头的目录，对应select settings里各个profile，
进入相应的local目录，用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤） 或者snifferdisplay.csf（显示过滤）

方法二、声东击西法
C:Program FilesNAISnifferNTProgram
下面有个文件Nxsample.csf，备份。
用Sniffer scan.csf替换nxsample.csf
启动Sniffer
新建过滤器
在新建过滤器对话框的sample选择里选择相应的过滤器，
建立新过滤。

反复新建，直到全部加入

3.sniffer的警 日志是些做什么用的br>
sniffer警 日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警 和日志.
比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.

4.利用ARP检测混杂模式的节点

文章很长,PDF查看：使用ARP分组检测处于混杂模式的 络节点.pdf

5.sniffer 中，utilization是按什么计算的r>Octect就是字节的意思。
Sniffer表盘的利用率是根据你的 卡的带宽来计算的，如果要监测广域 带宽的话，需要使用Sniffer提供的相应的广域 接口设备：比如 Snifferbook用来接入E1、T1、RS/V等链路，这时它所显示出的带宽就是正确的广域 带宽（如非信道化E1它会显示2.048Mbs）。

6.octets/s单位怎么计算的r>
octet=byte
7.expert分析系统分析的数据是定义capture所截取的数据呢还是分析所有流经镜像端口的数据r>sniffer的专家系统只对所捕获的数据进行分析

8.sniffer pro4.75 不现实仪表盘和alarm log 怎么回事strong>

请检查您的操作系统是否安装java~

9.sniffer能识别出notes协议么

需在Tools–Options–Protocol中将lotus所用端口定义进去。1352 是notes的端口
用什么软件是次要的，关键是要理解如何根据自身的实际情况进行定制

10.在sniffer中如何定义捕捉端口范围捕捉端口为8000-9000的数据包,请问在sniffer中如何定义过滤器r>
建议使用SNIFFER PRO 4.8及以上版本

11.[sniffer decode面板]为什么都是乱码啊r>
是这样的，这次你抓的都是小包，包头的ASCII没有实际含义，如果抓一些http/ftp之类，你可能就可以看到一些明文了

12.为何sniffer dashboard不会动的
Sniffer 4.7.5 sp5以前的版本需要Java Vitual Machine和JRE1.3.02，Java VM组件必须在安装Sniffer前检查IE里是否已存在，如果没有，就要重新安装IE组件。装完Sniffer后，第一次打开Sniffer时，会提示 安装JRE1.3.02，如果你的机器之前安装过更高版本的JRE，需要卸载然后再装JRE1.3.02，如果没有安装过，请安装JRE1.3.02。满 足了这两个条件，Dashboard就没有问题了。如果因为Java的问题无法运行Dashboard的话，不会影响Sniffer其它功能的运行，大不 了不要打开Dashboard就可以了。

13.对sniffer的疑问

Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此，在交换 络上，如果把上面例子中的HUB换为Switch，B就不会接收到A发送给C的数据包，即便设置 卡为混杂模式，也不能进行嗅探r>
answer:Ｓｎｉｆｆｅｒ什么都不是。。
这个自己再去想办法。。
Ｓｎｉｆｆｅｒ只负责抓包分析的事。。。其他的自己搞定

14:我这的交换机不支持端口镜像，请问我如何配置才能用sniffer pro分析 络r>
交换环境下的ARP欺骗和Sniffer,就这么简单

1、准备
win2000/xp ＋Etherpeek 。将自己的MAC修改为一个不存在的，具体步骤不再叙述。干坏事嘛，总得伪装一下。
2、将本机的 关设为非本 段的任一IP，比如设成其他 段的 关。制作一个批处理包含以下命令：
arp -s 关IP 本 段 关的MAC
这样做的目的是防止ARP欺骗时自己上 也困难
3、在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下增加：

Name:IPEnableRouter

Type:REG_DWORD

Value:0x01

重启系统即可。
目的是启用路由转发功能，以便在随后的ARP欺骗中本机充当MAN-IN-THE-MIDDLE(中间人）
4、启动Etherpeek,构造如图所示的包（图1），可以将这个包存盘，以备后用。
5、以每秒5个包的速度向外发送这个ARP欺骗包（图2）。
6、启动捕获，就可以抓到整个 段内的包。
7、注意：不要用此方法干坏事。被 管抓住别找我！

15:在监控端口和sniffer之间，可以级联交换机吗r>
可以，前提是要支持ＲＳＰＡＮ，并且正确配置！

16：Sniffer的非正常退出

我在使用Sniffer的过程中，会发生异常错误。Sniffer进程无法杀掉。
请问该如何解决r>
ntsd -c q -p PID
强制杀掉进程，pid为在任务管理器里看到的进程

17:在sniffer 的 source address这一栏下，为什么有的显示ip地址，有的却显示mac地址是因为显示mac地址的数据包没有包括ip层及以上的层的数据r>
有些协议用于链路协商，分配地址等等，是没有带ip地址的包头的，比如rapr,arp协议等。

19: 我单位使用的都是3com产品,不知能否通过Sniffer的Switch功能来能交换机进行管理呢.
我自己试了试,不行,请高手指点. r>
Sniffer只支持Cisco大部分交换机和北电的450，3Com的不支持。Sniffer Switch Expert可以收集交换机的RMON信息，可以设置交换机警告并自动触发抓包，可以设置镜像端口等。
如果要用Sniffer Switch Expert功能，最好是有两块 卡，一块用来与交换机通讯，一块用来捕捉包。

19:Sniffer的历史采样如何打开niffer里做了占用率等历史采集，保存成了.hst文件，现在想调出来看，如何做r>Q:打开History，将.hst文件拖进去

20: 用sniffer构建数据包时，建好了不能保存啊r>用sniffer构建数据包时，建好了不能保存啊都得重新构建数据包，这样很麻烦呀，可不可以保存下来，每次调用一下就OK了r>
Q:构造好之后发送出去，同时捕捉一次不就保存下来了，我以前常这么干，省得我自己计算ip_sum什么的。

21:如何在８１３９ 卡上设置，使其能在ＳＮＩＦＦＥＲ下看到小于６４大于１５１８的包r>
如果使用Sniffer提供的专用 卡（Sniffer Cardbus 卡），可以捕捉到许多数链层的错误：
1、CRC校验错误。
2、Collison（小于64字节，一般是中继器发Jam信 导致）。
3、Runt（小于64字节，但有正确的CRC）。
4、Fragment（小于64字节，但CRC错误）。
5、Aligment（有两种，一种是小于64字节，另一种大于64字节）。
6、Jabber（大于1514字节，一般可能是 卡或中继器问题引起）。
7、Oversize（大于1514字节，如果是VLAN的Trunk协议，如802.1Q协议（1518字节）和Cisco ISL协议（1540字节），它们都大于1514字节，Sniffer也会认为它们是Oversize。）

那么上面说了这么多种错误，实际上你在现在的 络环境当中，就算是使用了Sniffer专用的Cardbus 卡，也不见得会捕捉到这些错误，为什么呢因有二：一是因为我们现在的 络大多是交换 络，需要进行交换机镜像才能让Sniffer进行捕捉数据包，而交换机会把这些错误包给丢弃了，根本到达不 了Sniffer镜像的端口。二是因为这些错误基本上是因为中继设备和 卡设备的硬件故障导致的，而现在无论是交换机、集线器还是 卡，硬件制造的工艺都 很成熟和稳定，以上这些错误，基本上，很难再产生了。
如果你没有Sniffer专用 卡，可以有两种办法：一，按V大说的自开发驱动。二，到市场上买Xircom CBE2-100型 卡，Sniffer Cardbus 卡是它OEM的。

22:sniffer pro是不是只能监控同一交换机下的流量和Sniffer没有关系！

关键在于交换机
比如有些可以支持RSPAN，跨交换机的流量也可以看到啊

23: 使用Sniffer Portable 抓包的时候,在解码后发现”Frame too short”提示 的可能原因是什么strong>

硬件（ 线、 卡、端口等）有故障的症兆或存在双工、速率匹配问题。

24:请教一个sniffer的协议分析使用的问题

对比了一下，发现自己的sniffer在查看protocols分布情况时，未知的协议类型都为“others”，而别人的却能显示出具体的协议和端口 ，如下图，这是怎么回事是什么选项没选上具体的协议端口,下次你的也就不会是Other了.Tools ->Options->Protocols添加

25:sniffer pro ART 功能r>1、ART是应用响应时间，属于Sniffer的 Monitor功能，跟Capture和Packet Gen没有关系。
2、缺省情况下ART只监控HTTP应用，如果要监控其它协议，需要添加协议。这里要注意一点，添加协议完要重启ART应用才会生效，有时候需要重启Sniffer才行（个人经验）。
3、如果按第2步做了还是没有数据，你就要考虑是不是你添加的协议在你所能够监视到的流量里根本就不存在。（因为你说并没有做端口镜像）。
4、没有让你选择 卡，你可以手动来选，打开File-select setting－选择你需要的 卡。

26：怎么利用sniffer做一个流量的baseliner>
小弟我想用sniffer做一个流量的baseline，方便以后流量出现异常用来对比，可是我对baseline具体是什么内容还不清楚，也不知道到底 该怎么做，请各位能不能指点sniffer历史采样(history sample)其实就是软件默认定义的baseline
但根据 络的实际情况不同,需要制订符合实地情况的基准线

建立baseline的方法,个人认为:
捕获正常 络状态数据包,得出packet/s,utilization/s,broadcast/s等等的数据
然后修改其阈值及采样频率

以后学习到标准制订baseline方法,再改正!

27：用snifferpro如何抓printer（打印）的包呢r>
就是想用snifferpro监控打印机的使用，抓打印文件的路径和打印者的mac地址。
snifferpro的包过滤里面有tcp－printer选择，但是我怎么都抓不到东西。Q：用的是过滤中的netbios包。
又有新问题，是安装了sniffer之后，发现服务器工作不正常，我觉得可能是sniffer让服务器 卡处于混杂模式的缘故。删掉之后就好了。

我其实只是需要过滤 到通过服务器的包而已，请问如何设置sniffer关闭 卡的混杂模式r>
28：在线求助(sniffer的截图)。警 :WINS No ResponseWINS no reponse是指 络中WINS服务器对WINS请求没有响应，WINS是微软的Windows Name Service，你用 上邻居时看到机器名实际上就是WINS服务起的作用。

你Sniffer系统的专家告警并非误 ，是由于其没有抓获WINS Reponse数据包所造成的，可能是由于你在交换环境下抓包没有做镜像，只能抓到广播包，所以能够捕获到WINS请求，但无法捕获到回应包，所以会产生告警。

29:Sniffer Pro新版本4.8已经发布了，可以说有不少的好消息niffer Pro新版本4.8已经发布了，可以说有不少的好消息：

1、Dashboard不再使用Java了，呵呵，原先Sniffer使用Java是很多人深恶痛绝的（包括本人），一打开Sniffer不再是CPU和内存蹭蹭的往上串了。

2、地址过滤可以使用子 过滤了（不再需要用Data Pattern来做了）。

3、可以做端口范围的过滤（如TCP 1050-1052）。

4、Data Pattern的Offset里多了一个叫”Variable offset“的功能，也就是说你可以做不用管位偏移在哪里的模式匹配了，举个例子：你要捕捉所有访问Sina 页的数据，你可以在Data Pattern里填入”sina“的ASCII字符，然后把”Variable offset“选项打勾，这样不管”sina”这个字符出现在数据的哪一部分，Sniffer都可以捕捉。

5、支持802.11g无线协议。

6、支持通用10/100/1000M Ethernet 卡。

7、支持实时解码－－这点也是Sniffer以前常被人诟病的地方，俺喜欢这功能。

8、支持Sniffer Mobile 1.0和Sniffer Voice 2.5。

呵呵，前面举了这么多好的方面，当然也有坏的消息：不再是使用序列 注册的方式，而是采用跟收集硬件信息和Grand No的方式来授权使用，必须在安装Sniffer的机器上生成一个请求授权文件，然后把该文件电邮给NG公司，由它们授权返回一个文件再导入才能正常使 用，要不，只能试用15天。（谁要是有办法解决授权问题，不妨共享给俺俺会十分感谢的）

30: 请问:sniffer的dashboard中的”利用率”到底是什么意思r>
我的计算机级联的是10M以太 集线器,我也没有把 口插入交换机的镜像端口,就是直接运行SNIFFER,所以SNIFFER监测的流量及数据全是我的机器的,SNIFFER显示的是10M以太 卡.
这时我做了一个FTP测试,下载电影.每秒900多K,利用率怎么会显示百分之八十多呢不明白啦,我连的这个 段是10M,而现在才使用啦每秒900多K,利用率怎么会显示百分之八十多呢r> 不懂,请高手指教!!!
谢谢!!!下载时候的速度显示的是KB/S,而你的带宽单位是Kb/s,你下载的速度乘以8才是你对带宽的占用率,900多乘以8,可不是差不多接近10M的80%

31:Sniffer抓包时，为什么总是自己机器在流量最大r>
络环境：电信2M ADSL+宽带路由器+四口交换机，四个人通过交换机共享一个2M的ADSL，在的电脑接在交换机的端口之，然后在我的电脑安装Sniffer，然后看主 机列表中的数据包，为什么老是我的机器的数据流最大么比 关（路由器IP）的收发的数据包还多br>
Q: 他们说的对,主要是与你接入的位置有关.
取流量的三种方式:交换机镜象口HUBTAP32:我想的找一个SNIFFER4.8 有哪个大侠给一个连接ttp://www.networkgeneral.com/Eval.aspx
试用15days

33:sniffer reporter怎么用啊r>
我下了一个sniffer reporter想专门用来做流量分析 告，可惜不会用啊，俺英文也不好，帮助也看不大懂，哪位用过的兄弟说说啊~Q: 倒，手册这么好的东西不看。
在装有Sniffer的机器上安装Reporter，然后启动Reporter Agent，再启动Console，添加你用Sniffer打开的那块 卡做为Agent。
打开Sniffer，在Database–Options里将所有你需要生成的数据项目都打上叉，最好调整默认的时间60分钟为5分钟，这样就可以比较快的生成 告。
一小时（比较好的时间，这样可以有更多点的数据）后就可以在Console上生成你需要的项目的 告了。

35:怎样用SNIFFER查找ARP欺骗r>
各位，现在的ARP欺骗问题是越来越多了，造成的影响也是越来越大，利用SNIFFER怎样才能发现ARP欺骗呢r> Q:从最近常见的欺骗来看，最明显的是ARP REQUEST包的目的的如果不是广播而是 关，那就基本可以确定有问题.

36:Sniffer打开trace file提示“unsupported file format”问题

很多.cap文件，使用sniffer打开提示“unsupported file format”错误

使用omnipeek打开,提示

有人研究过是怎么回事吗r> Q:不支持这种格式。

CAP是一种通用的格式，而不仅仅是Sniffer的CAP，不同CAP文件的内部结构是不一样的。
举个例，在Ethereal中，如果你将保存类型设为libpcap，然后保存为*.cap，这样Sniffer就打不开这个cap文件。

37:Sniffer抓包时，为什么总是自己机器在流量最大r>Q:没开镜像呀,抓的都是你自己的包.

38:sniffer pro提示有Local Routing是什么原因r>
络很简单
Harbor58423F是本地的三层交换
NortelF4CA0D是上级三层

1.在抓包后有很多的Local Routing是什么原因r> 2.为什么会出现Local Routingr> Qocal Routing”属于TCP层的告警，产生原因是检测到Packet本应在DLC层进行转发但却通过ROUTER转发，原因有以下三点：
1、路由器的路由表设置问题，使在同一段内能直接通信的设备不致通过路由器进行通信；
2、路由器出于安全考虑，防止访问 络的特定部分；
3、路由器实现 关类功能，在应用层执行协议转换功能；
4、新设备联入 络未识别到与其他设备有直接路由、或设备配置成使用指定路由器。

不知道问题的原因，请大家指点！！谢谢！
Q:修改IP的同时要修改checksum，其他协议也同样道理。

40.能否用Sniffer发包功能伪造数据包r>最近看了不少伪造数据包的文章。但是，都不是很详细。所以想亲自实战一下。发现Sniffer具有发包功能。于是就想到在Sniffer里改变一下源IP地址是否能达到IP欺骗呢！

环境：
找了两台电脑，每台电脑上运行Sniffer Pro 4.75
每台电脑各配一个真实的互联 IP （A、B），机器A、机器B不在一个 段里。
两台机器的 关做在一个路由器上，并能访问互联 。

操作：
1）首先把两台机器的Sniffer开启混杂模式抓包。
2）然后在机器A上访问任意一个互联 地址
3）停止机器A抓包，然后查看Decode，查找三次握手中的第一次握手“SYN SEQ=”
4）找到后进入发包模式，更改原IP地址为任意一个互联 IP地址，更改目的IP地址为机器B的IP地址，更改原、目的端口。发送此包n次。
5）稍后，在机器B上停止抓包，并产看Decode是否有伪造地址的“SYN SEQ=”

结果：
可惜的很呀！试验没有成功，如果机器A用伪造的地址进行SYN，在机器B上看不到。但是，用机器A自身真实的地址机器就能看到机器A的“SYN SEQ=“

问题：
为什么机器A伪造IP包在机器B上看不到，还有，互联 上说得伪造IP包是怎样通过本地DefaultRoute（ 关）。路由器是否更改机器A发送来的伪造的数据包br> 请各位高手详细解说一下伪造的IP包是怎样在互联 路由器上传送的r>
Q:很简单，改了IP包头，需要修改checksum，否则包发布出去

41:sniffer专用 卡的问题

据说专用 卡可以抓一些错包，到底哪一些是呢要安装专用驱动程序r>
那位兄弟能帮忙解答一下，多谢!Q: 找到答案了，专用 卡上面有SNIFFER的标记。安装一下SNIFFER的驱动即可。
鄙视一下sniffer，真的是衰落了， 站上的中国区电话根本没人接，想找一个专用 卡的列表，根本找不到（当然也有可能我的搜索技术不过关）。
: 用DEC211xx芯片的 卡即为专用 卡

42:请教关于sniffer请问NG与NAI是什么关系

两家公司都有自己的sniffer产品NAI是97年McAfee和Network General合并后的公司名称。
2004年NAI将NG卖给两家投资公司（Silver Lake Partners与Texas Pacific Group），NAI又分成两家公司：McAfee和Network General，从此，NAI不再是NAI，而是McAfee。

43:sniffer如何跨 段管理r>
局域 的拓扑结构是，外 光纤接光纤交换机，光交接防火墙，防火墙连两台核心交换机，两台核心交换机互为热备，再分连各楼层交换机， 段按楼层划分，一共 20个 段。我想用sniffer可以监测各个 段的流量，但不知应该将监测电脑安在哪个位置。急迫请教高手赐教。Q: 好像不可以一下监控所有的VLAN ，只能一个一个做RSPAN，想看那个就配制那个VLAN！
监控外 的就到出口的地方放个HUB，呵呵方便。

44:ICMP Redirect for Host的告警信息，重定向主机r>
请教
ICMP Redirect for Host的告警信息，重定向主机。
这个重定向主机是什么意思，有什么用r> 我今天抓包，发现有ICMP Redirect for Host和 ICMP Redirect for NETWORK，这意味着什么呢。。。 路由/默认 关设置有问题

在 络分析版查找,有人讨论过这个话题..你抓外包上来看看。正常情况下不太可能出现这种 文。

在开启了IP路由功能的ARP欺骗中，中转机会发送这种 文。

在直接进行的ICMP重定向攻击中，也会出现这种 文。

提供一个CAP文件，再描述一下你的拓扑。

45:我想实现的一个协议分析功能看看能不能帮我实现。r>
我想要实现一个这样的功能：
通过流量分析建立一个出口路由器或着想要监视的 络设备的流量基线，比如：TCP、UDP、ARP、ICMP。。。等等包文占总体 文的百分之多少，然后 形成各自的曲线图。。。周统计，年统计等方式，一旦有 络堵塞或 络故障，就知道是那种包文导致的，然后在查具体是什么包文的什么端口，或什么类型，或者 是什么IP导致的 络流量异常。。。。

因为我认为抓包只对流量较少的企业有效，但对于一个小的ISP，或者大型企业，一旦有 络拥塞的故障，做镜像然后抓包，很短的时间都可能导致你的本本死机，然后是大量的 文（甚至100M），分析完都要类死了。。
Q: 你的设想都有现成的产品，Sniffer、Netscout都有相应的硬件产品，另外通过Netflow也可以做到。Sniffer针对大流量的抓包有 S6040或者Infinistream硬件探针设备，做流量趋势分析有Sniffer enterprise visualizer 表服务器。

46:sniffer BROADCAST及UTILIZATION 监测在清晨会自动停止工作的SNIFFER 4.75/4.9 .

运行monitor -> history sample -> broadcast /s 或者 UTilization 在清晨 时间轴停止在2:00 .程序没有死机.

请问这是什么原因Sniffer的History Sample历史采样的缓冲只有3600个采样点，你用默认的每隔15秒进行一次采样，这样只能采样15个小时其缓冲区就满了，所以你的采样就停止了。如 果你想采样时间长些，那只能加大采样间隔时间或者修改缓冲区满了覆盖数据（Wrap buffer when full)。

监听原理：为了监听B,需要用到ARP欺骗：即不停的向B发ARP响应包，告诉它 关的MAC是MAC_A(而不是正常的 关的MAC),这样当B向 关 发包时，所有的包都到了机器A；再不停的向 关发ARP响应包，告诉 关，机器B的MAC地址是MAC_A（而不是正常的MAC_B)，这样，当 关要向 B发数据时，就也发送到了A。

遇到的问题：但是，实验中发现，机器A收到 关至B或者B到 关的数据包后，没有再进行转发，直接丢弃了，这样就造成了一种现象：机器B无法上 了。（包倒是监听到了一些）

解决：这肯定是机器A的IP路由没有打开。经过努力，发现WINXP的系统服务里有一项 routing and remote acess service，将其启动就可以了。

48：使用SNIFFER监测QQ 码及获取IP地址的方法r>
昨天上 的时候，发现了这个论坛。我是在研究如何使用MRTG来监测华为路由器和交换机的CPU使用率时，无意间找到这个论坛的。这个问题目前还没有找到 解决方法。今天睡的早了点，半夜就起来了，一口气看了论坛的好多文章，的的确确是“ 络分析专家”，有好多概念模糊的问题都可以找到答案。很幸运没有错 过！希望有了解MRTG的朋友指点一下我所遇到的问题。

刚才看了本站劳模1259的一篇文章《使用SNIFFER PRO来进行监控BT协议的流量信息》，连接地址是：http://www.netexpert.cn/viewthread.phpd=354&fpage=3， 想到了去年公安局来我们这里查QQ 码的事，当时说正在搜捕一个持枪逃犯，现在知道他的QQ ，并且发现最近一天他的QQ 在本地上过 ，而且IP地址就 是我们的（通过显示IP的QQ版本，已经取得了该QQ的IP地址和端口 ）。刚开始领导以为又是来找什么麻烦，但是人家来了不能不配合。当时要求我们尽快 查找上 记录，找到究竟哪个用户在用这个QQ 码，不巧的是我们的计费管理系统正在升级，近一个月的都没有记录，这可怎么办呢先装装样子再说吧。顺 便说明一下，我们这里上 是NAT转换出去的，并不是每个用户一个公 IP。所以现在就是要找到这个QQ用的内部私有地址是什么，再进一步找到上 帐 。

开始的时候想，如果这个QQ 码在某一个时刻通过我们的宽带接入上 的话，那么只要刑警查看一下对方的IP地址和端口 ，这边立刻登陆到路由器上，通过查 看NAT地址转换的SESSION，就可以找到对方的内部私有地址了。于是一边假装配合着查找上 记录（其实都是以前的，最近一个月的记录根本没有），一 面说只要这个 码上 了，这边立刻就能找到（通过查看路由器的NAT session)。但是大家等了大半夜，也没等到。这下可苦了我了。那也没办法，只能一直目不转睛地等着。接下来我就琢磨，怎样才能做到，当这个QQ 码 上 之后，立刻就能用软件截取到信息，自然就想到了SNIFFER这个软件。

开始用自己的QQ 码作试验。思路很简单，先把自己的QQ 码换算成16进制的，就用WINDOWS自带的科学计算器就可以了。原本以为QQ的通讯过程会 把所有信息都加密，但是抱着瞎猫碰死耗子的想法试验一下。在SNIFFER里面设定至只抓取UDP协议的 文，因为一般情况下QQ使用UDP协议，再就是 把后台运行的其他 络软件关掉，避免抓到一些没用的干扰数据。呵呵！没想到这么顺利，一下子就在一个UDP包里面找到了自己的QQ 码的16进制，再一 看，好多包里都有，到处都是，而且固定在偏移量31H处开始的4个字节，就是你的QQ 码。接下来就很简单了，在几台 管设备上分别运行SNIFFER （已经在适当的节点配置了端口镜像），设定条件是第31H处是需要查找的QQ 码的16进制，只抓取UDP，并且目的端口等于8000。接下来就可以睡觉 了，只要有结果，就会被筛选出来。具体设定过滤条件时候需要设置Data Pattern请大家参考一下前面1259写的那篇文章，方法是一样的。

等被电话叫醒的时候，已经中午了。这时公安那边已经发现对方上QQ了，但是确看不到对方的IP地址和端口 （公安那边就是在用珊瑚虫QQ想看到对方的IP 和端口 ，我还以为有什么先进的软件或者设备呢），但是我们知道由于各种原因，类似的这种显示IP的QQ并不是总能看到对方的IP和端口 的。赶紧去查看 了一下几台正在运行SNIFFER的服务器，有一台服务器已经有数据筛选出来了，赶紧查看了一下，呵呵！要找的东西出来了，幸好提前想到了 SNIFFER，要不然那边公安的没看到对方的IP，这里就得抓瞎。进一步查了一下上 帐 ……

49：交换 络中的sniffer讨论r>
大家都知道在HUB的 络里面用sniffer很容易嗅探到 数据包的。
因为是 在一个冲突domain。学过CCNA都知道。hub只是一个电信 的转发。
当你的nic在 混合模式下。是可以听到所有的数据包的。

那么在Switch 的 络里面怎么样呢r> Switch是根据 MAC address 具体转发到某个端口的。
这样。用一般的sniffer软件是不能听到其他的端口的数据的。在物理上就被隔离了：）

怎么办r> 在switch 里面是根据mac-address-table来确定转发的。
如果我们把这个mac-address-table clear 不是可以了吗
但是设备我们不一定可以接触啊。还是郁闷。

switch 的 mac-address-table是存在cache 中的。是有一定的空间的。
如果我们把这个表用一些垃圾的数据把这个表给刷了。这样的那些直接接在switch 上的mac地址没有地方来放了。
因为mac表中没有这些数据。switch 只有象所有的端口去转发这些数据包。
这样我们就可以在其他的端口 听到这些数据包了 ：）
就实现了sniffer的功能。

当然还有一种正常的作法是在交换 络下面是用ＳＰＡＮ来进行ＳＮＩＦＦＥＲ的。

基于上面的论述，提出一个问题，在交换 络里用ＳＮＩＦＦＥＲ好，还是在共享式的ＨＵＢ下面用ＳＮＩＦＦＥＲ好呢让 友们拍拍砖。
转一篇贴子：基于交换 络的ARP spoofing sniffer

[注]在阅读这篇文章之前，我假设你已经知道TCP/IP协议，ARP协议，知道什么是sniffer等基本 络知识。
在一般的局域 里面，经常会有两种接入方式，一种是HUB接入（这里的HUB是指普通HUB），一种是交换机直接接入（这里的交换机是比较高级的交换机， 老式交换机不在此列）。采用HUB方式接入的 络，数据传送的时候，是采用广播的方式发送，这个时候，只要一台主机将自己的 卡设置成混杂模式 （promiscuous mode），就可以嗅探到整个 络的数据。 此篇文章不打算讨论这种 络环境的嗅探(sniffer)和反嗅探(anti sniffer)方法，主要是想就交换机方式直接接入的 络环境如何sniffer以及如何anti sniffer做一个比较粗浅的分析。
我们知道，一台计算机想要接入到 络中，必须要有两个地址。一个是 卡的地址，我们称之为MAC地址，它是固化在 卡中的。在以太 中，我们通过MAC地 址来进行数据传送和数据交换。在以太 环境中，数据会分帧传送，每一个数据帧都会包含自己的MAC和目的MAC地址信息； 另外一个地址是平时所说的IP地址，定义在 络层，每一台 络计算机都会有一个或者多个IP地址，这是一个虚拟的数据，并且可以随时更改。
IP地址和MAC地址是同时使用的，在数据传送过程中，一个完整的TCP/IP包需要由以太 进行数据封装，数据分帧，最后再通过物理层传输到目标计算 机。在以太 封装上层的TCP/IP包的时候，它需要知道源MAC地址和目的MAC地址，但是我们只能给出一个对方的IP地址，这个时候就需要一个协议来 支持IP到MAC的转换，这就是ARP,Address Resolution Protocol.
在局域 中，ARP是通过广播的方式来发送的，比如，我的机器IP是192.168.7.110(A),需要知道192.168.7.119(B)机器的 MAC地址，那从A机器就会广播一个ARP包，这个包里带有B机器的IP，如果B机器收到了此ARP包，那么他就会同样返回一个ARP包，里面带有响应的 MAC地址。A收到这个ARP包后，得到B的MAC地址，这个时候以太 就可以开始封装TCP/IP包了，可以开始正常的数据传送了。比如：
d:>arp -a

Interface: 192.168.7.110 on Interface 0x1000003
Internet Address Physical Address Type
192.168.7.1 00-90-0b-01-a0-61 dynamic

d:>ping 192.168.7.119

Pinging 192.168.7.119 with 32 bytes of data:

Reply from 192.168.7.119: bytes=32 time Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Control-C
^C
d:>arp -a

Interface: 192.168.7.110 on Interface 0x1000003
Internet Address Physical Address Type
192.168.7.1 00-90-0b-01-a0-61 dynamic
192.168.7.119 00-d0-59-26-df-1a dynamic

可以清楚的看到，在未和192.168.7.119通讯之前，本机是没有该IP对应MAC地址的，但一旦通讯后，我们就知道了对方的MAC地址，windows会将对方MAC地址存在自己的ARP cache里面。
为了节省 络资源以及通讯时间，多数操作系统会保留一张ARP缓存表，里面记录曾经访问的IP和MAC地址影射记录，一旦局域 中有一个新的ARP广播， 对应一个IP到MAC的记录，这个ARP缓存表就会被刷新，MAC地址会更换成新的广播包里定义的MAC地址，这个时候就存在一个问题，在更新的时候，系 统并没有去检查是否真的是由该机器广播出来的，局域 中的恶意用户就会利用欺骗的方式来更改 络途径，将真正的MAC地址替换成自己的MAC地址，这种方 法称之为：ARP spoofing。
交换机在处理数据的时候，它会根据自己机器内部的一个MAC到端口的数据表来查询符合要求的MAC地址数据包该发往哪个端口。这张表从交换机开机的时候就 存在，在每个端口第一次数据传送的时候就会记录对应的端口的MAC地址. 通过发送我们伪造的MAC地址数据包到交换机，就可以欺骗交换机刷新自己的MAC地址到端口的数据表，假设A主机连接在2口，假设我在4口，要 sniffer A主机的数据，那么我就需要伪造一个ARP数据包，告诉交换机A主机MAC地址是在4口，那么交换机就会将本来发送到A主机的数据会转送到4口上，这个时 候我就可以监听到了A主机的数据传送了，这个就是基于交换 络的arp欺骗sniffer过程。
通过arp 欺骗，一般sniffer有几个方法：
1. 就是上面介绍的欺骗MAC进行数据窃听，但由于A收不到数据，这样它会重新发布ARP包，这样导致sniffer很容易暴露，而且效果不好，A会丢包，同样你的sniffer 一样不会抓到全部的数据。
2. 发起”中间人”窃听。攻击者可以在两台通讯主机之间插入一个中转回路，这样，攻击者既可以sniffer到两机的数据，同样还可以不影响两机的通讯。我们假设X是攻击者的机器，A和B是目标机器。
X如果想发起攻击，首先在向A主机发送一个ARP包，让A认为B机器IP对应的MAC地址是X主机的，同时再向B机器发送一个ARP包，让B机器认为A机器IP对应的MAC地址是X主机的，如下图：

3． MAC flood攻击
通过快速(比如超过1000线程) 发送大量伪造MAC地址数据包，会造成交换机的MAC-端口表塞满，但为了正常数据不被丢弃，大多数交换机会采取类似HUB一样方式：广播的方式发送数 据。这个时候，再在 络中任何一台机器设置 卡为混杂模式，就可以sniffer到任何想要监听的数据了。
*注: 以上方法我并没有正式测试过，理论上可行，实际上还有待验证。
上面介绍了几种常见的基于switch 络的arp spoofing sniffer方法，那么对于一个管理员来说，如何防范这种方式的数据嗅探呢r> 严格来说，没有一种通用的方法来解决arp欺骗造成的问题，最大的可能就是采用静态的ARP缓存表，由于静态的ARP表不可以刷新，那么伪造的ARP包将 会被直接丢弃。但这样造成的问题就是，整个 络中的所有机器，都必须要建立一个静态的MAC表，在大型 络中，会增加交换机的负担，造成效率下降。如果机 器更换，那么就要手工去更改MAC地址表，很显然，在大型 络中这种方式是不适用的。
在这里需要注意的是，windows下即使你建立了静态的MAC到IP的影射表，但是在收到了强制更新的ARP包后，依然会刷新机器的影射表，一样会被sniffer到。
高级交换机还提供了MAC绑定功能，指定交换机某个端口和某个MAC绑定，这种方法可以很有效的防止MAC克隆（clone）方式的窃听，但是对于上述的arp 欺骗攻击效果不大。
最可靠的方法就是采用第三方软件来解决，Arpwatch是一个运行在Unix平台下的免费工具，他可以检测到 络中所有MAC地址的变化，一旦 络中的MAC地址有变化，它就会发送一封email到指定地点。

后记：这篇小文写的很简短，其实在交换 络中还有其他几种攻击方法，比如MAC clone等，而且交换 络中的sniffer方法还不止这一种，我这里只是介绍最常见，容易发生和编程实现的sniffer方法，希望对大家有所帮助。本人水平有限，如有错误，请不吝指责.

参考文摘：
1． An Introduction to ARP Spoofing(Sean Whalen)
2． Sniffing (network wiretap, sniffer) FAQ
50：如何利用Sniffer过滤非BT类下载软件的流量r>

现在的下载软件例如影音传送带、FlashGet、迅雷等全部支持断点续传和多线程下载的功能。而且下载软件安装后默认的下载线程数均〉1。由此我们可以做出对该类软件的下载监控。
首先要了解断点续传的原理。
所谓断点续传，就是要从文件已经下载的地方开始继续下载。所以在客户端浏览器传给Web服务器的时候要多加一条信息——从哪里开始。这个信息在HTTP协议中由请求头Range来实现。例如：
GET /non-cgi/usr/1/1_3483_10.mp3 HTTP/1.1
Host: new.schoolmusic.net
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Range: bytes=975782-4878912
Connection: Keep-Alive
“Range”行告诉服务器1_3483_10.mp3这个文件从975782字节开始下载，前面的字节可以不用再传了。
服务器收到请求后，返回如下代码
HTTP/1.1 206 Partial Content
Content-Length: 3903131
Content-Type: audio/mpeg
Content-Range: bytes 975782-4878912/4878913
Last-Modified: Wed, 19 Jan 2005 04:05:33 GMT
Accept-Ranges: bytes
ETag: “90c27e1fdcfdc41:d6a5”
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2005 13:42:19 GMT
接着，客户端就开始续传了。
多线程的下载正是根据这个原理，先将文件标识成若干个块，然后每一个线程下载一个文件块。这个标识正是通过HTTP请求头中的Range来实现。
以下是RFC2616的一段说明：
The semantics of the GET method change to a “partial GET” if the request message includes a Range header field. A partial GET requests that only part of the entity be transferred, as described in section 14.35. The partial GET method is intended to reduce unnecessary network usage by allowing partially-retrieved entities to be completed without transferring data already held by the client。
因此我们初步得到的结论是根据HTTP请求头Range来标识出是否用下载软件下载。可实际上，作过滤器需要找出偏移量，而Range的偏移量并不是一个固定值。这样就无法达成了。
换个方向，看看HTTP的响应帧。
HTTP/1.1 206 Partial Content
返回的代码是206，说明是Partial Content。
根据RFC2616对206相应码的说明，
The server has fulfilled the partial GET request for the resource.
The request MUST have included a Range header field indicating the desired range, and MAY have included an If-Range header field to make the request conditional。
也就是说，当HTTP请求中包含了Range的请求头的时候，HTTP响应码总是206。因此就根据这个就可以设置过滤器了

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树 络编程 络编程基础93660 人正在系统学习中 相关资源：arp欺骗工具arpspoof.pdf_了解ARP欺骗和防范ARP欺骗的软件有哪些…