Sniffer功能和使用详解
一 Sniffer介绍
Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类 
  如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二 sniffer pro
    Sniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能
捕获网络流量进行详细分析
利用专家分析系统诊断问题
实时监控网络活动
收集网络利用率和错误等
使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装 Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死 机或者崩溃。因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接
  要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重 要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数 据,而且有可能丢失重要的通信内容。一
般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。 当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
 (1) 监控Internet连接共享
  如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。
  如果核心交换机为智能交换机,那么最好的方式是采用端口映射的方式,将局域网出口(连接 代理服务器或者路由器的端口)映射为另外一个端口,并将Sniffer Pro计算机连接至该映射端口。例如,在交换机上,与外部网络连接的端口设为A,连接笔记本电脑的端口设置为B,将笔记本电脑的网卡与B端口连接,然后将 A和B做端口映射,使得A端口传输的数据可以从B端口监测到,这样,Sniffer就可以监测整个局域网中的数据了。
2. 设置监控网卡
  如果计算机上安装了多个网卡,在首次运行Sniffer Pro时,需要选择要监控的网卡,应该选择代理网卡或者连接交换机端口的网卡。当下次运行时,Sniffer Pro就会自动选择同样的代理。
1 启动sniffer pro
    在安装sniffer pro之前需要安装Win_cap(监听包),然后选择网络适配器如图1.1,如果没有出现则点击新建,如图1.2:
(描述)Description:为该网卡设置一个名称,可以是关于该网卡的描述。
仪表盘标志
(网络适配器)Network:该下拉列表中列出了本地计算机上的所有网卡,可以选择要使用的网卡。
(netpod类型)Netpod Configuration:在这里可以设置高速以太网Pod,为了使以太网可以以全双工模式工作,在“Netpod”下拉列表中选择“Full Duplex Pod(全双工Pod)”选项,在 “Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。例如,Sniffer Pro IP地址为192.168.1.1,Netpod IP地址就必须设置为192.168.1.2。全双工Pod要求有静态IP
地址,所以应该禁用DHCP。