网络分析专家sniffer之监控管理篇

责任编辑：张瑞霞作者：权心权意 2006-11-30

【内容导航】

第1页：开启混杂模式并监听网络流量
第2页：通过sniffer获取路由器登录密码

【IT168 专稿】上期笔者为各位IT168的读者介绍了一款强大的网络探测工具——sniffer pro，我们已经学会了通过sniffer pro检测本机网卡的流量，对自身的网络流量有一个清晰的了解。不过sniffer pro的功能强大并不在于此，之所以他是目前最好的网络协议分析软件之一，恰恰是因为他在监控网络数据包上有独到之处，通过将sniffer pro设置为混杂接听模式，可以接受到不光来自自身网卡的数据，其他计算机与网关甚至是其他站点的通讯都可以由sniffer pro查看出来。今天就请各位随我一起揭开sniffer pro的混杂监听模式的面纱。

开启混杂模式并监听网络流量：
默认情况下正如我们上篇所讲的sniffer pro只能监听自己本机的流量数据，只有开启了他的混杂模式后才能监听网络中的所有流量数据信息。

第一步：启动sniffer pro后通过菜单的“capture”选择“start”开始捕获，随着捕获的开始我们的sniffer pro将进入混杂模式。（如图1）

图1 点击放大

第二步：开始捕获后sniffer pro的界面将切换到混杂模式，该界面左边是监控出来的信息，从上到下依次为Service（服务类型），Application（应用程序），Session（会话），Connection（网络连接），Station（连接客户端），DLC（二层连接数信息），Global（综合数据）。

第三步：监控过程中我们只有点左下角的Objects按钮才能显示出具体信息。

第四步：在点击Objects后我们发现所有信息后都多了一个数字，这个数字就是我们监控出来的信息，首先在Service（服务类型）处我们会看到当前网络从监控开始到出现的服务，从这个图可以看到网络的流量走势，分析出网络中的网关地址。例如笔者所在网络就有10.91.30.255和10.91.31.255两个网关，如果自己的机器设置为自动获得IP的话只能获得网关地址为10.91.30.255，在网络访问上受到很大限制；而知道实情的用户可以把网关地址设置为10.91.31.255，从而突破(促销产品主营产品)上述限制。不过遇到这种情况我们用sniffer pro扫描一下就可以把所有网关地址都找出来，从而实现功能上的突破。（如图2）

图2 点击放大

第五步：接下来的Application（应用程序）标签我们可以看出一些数据流量走势，当然对于一个简单的网络来说大部分流量都是介于客户端和网关之间的，在Application（应用程序）标签笔者可以看到IP地址为10.91.30.63的计算机正在和u3.safeexpert.net这个地址进行HTTP通信，经过查询原来10.91.30.63这台计算机上安装了NOD32杀毒软件，正在到u3.safeexpert.net这个地址进行升级病毒库操作。（如图3）

图3 点击放大

第六步：当然在Application（应用程序）标签中我们选定一个连接还可以显示他的详细信息，例如刚刚的IP地址为10.91.30.63的计算机正在和u3.safeexpert.net这个地址进行的HTTP通信，查看详细信息后可以得知双方的IP地址，端口，传输的具体数据信息等，对我们分析网络流量和网络使用情况很有帮助。（如图4）

图4 点击放大

第七步：接下来的是Session（会话）标签，这个标签下显示的信息是最全面的，包括网络中的所有存活主机以及他们进行的一些会话连接，该界面显示的内容和很多网络管理工具扫描出来的网络主机类似，不过呈现的信息要详细得多，包括主机名，IP地址，使用的协议以及传入数据，传出数据包总和。（如图5）

图5 点击放大

第八步：接下来的是Connection（网络连接）标签，这里显示的信息和上面的Session（会话）标签差不多，也是包括主机名，IP地址，使用的协议以及传入数据，传出数据包总和。

第九步：其他的DLC（二层连接数信息）和Global（综合数据）标签在实际中使用不大，显示的信息是二层连接数和对所有数据的综合统计。

第十步：要查看具体数据包信息,我们只需要点快捷按钮中的红色方块来停止，之后点望远镜图标来查看具体数据。一般情况我们还需要点下面的Decode标签来查看，这样同一个会话的所有数据包都会呈现在我们眼前，窗口上方是数据的队列信息，下方是数据的具体内容，虽然数据包内容是以16进制显示的，我们不可能看得很清楚，不过在右边对这些数据进行一定的解密操作，能够多多少少看到一些内容，如果有的数据是以明文传输的话，可以查看到数据包中的明文内容。（如图6）