蔡逸竹

運行環境及安裝
Sniffer Pro可運行在局域網的任何一台機器上，如果是練習使用，網絡連接最好用Hub且在一個子網，這樣能抓到連到Hub上每台機器傳輸的包。
本文用的版本是4.7，Sniffer Pro軟件的獲取可在 訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。 相應的下載點來下載。
安裝非常簡單，setup後一路確定即可，第一次運行時需要選擇你的網卡。
最好在win2000下運行，在win2003下運行網絡流量表有問題。

常用功能介紹
1、Dashboard （網絡流量表）
點擊圖1中所指的圖標，出現三個表，第一個表顯示的是網絡的使用率（Utilization），第二個表顯示的是網絡的每秒鐘通過的包數量（Packets），第三個表顯示的是網絡的每秒錯誤率（Errors）。通過這三個表可以直觀的觀察到網絡的使用情況，紅色部分顯示的是根據網絡要求設置的上限。
選擇圖1中所指的選項將顯示如圖2所示的更為詳細的網絡相關數據的曲線圖。每個子項的含義無需多言，下面介紹一下測試網絡速度中的幾個常用單位。
在TCP/IP協議中，數據被分成若干個包（Packets）進行傳輸，包的大小跟操作系統和網絡帶寬都有關係，一般為64、128、256、512、1024、1460等，包的單位是字節。
很多初學者對Kbps、KB、Mbps 等單位不太明白，B 和 b 分別代表 Bytes(字節) 和 bits（比特），1比特就是0或1。1 Byte = 8 bits 。
1Mbps (megabits per second兆比特每秒)，亦即 1 x 1024 / 8 = 128KB/sec（字節/秒），我們常用的ADSL下行512K指的是每秒 512K比特(Kb)， 也就是每秒512/8=64K字節（KB）

圖1

圖2
2、Host table（主機列表）
如圖3所示，點擊圖3中所指的圖標，出現圖中顯示的界面，選擇圖中所指的IP選項，界面中出現的是所有在線的本網主機地址及連到外網的外網服務器地址，此時想看看192.168.113.88這台機器的上網情況，只需如圖中所示單擊該地址出現圖4界面。

圖3

圖4中清楚地顯示出該機器連接的地址。點擊左欄中其它的圖標都會彈出該機器連接情況的相關數據的界面。

圖4
3、Detail（協議列表）
點擊圖5所示的「Detail」圖標，圖中顯示的是整個網絡中的協議分佈情況，可清楚地看出哪台機器運行了那些協議。注意，此時是在圖3的界面上點擊的，如果在圖4的界面上點擊顯示的是那台機器的情況。

圖5
4、Bar（流量列表）
點擊圖6所示的「Bar」圖標，圖中顯示的是整個網絡中的機器所用帶寬前10名的情況。顯示方式是柱狀圖，圖7顯示的內容與圖6相同，只是顯示方式是餅圖。

圖6

圖7
5、Matrix （網絡連接）
點擊圖8中箭頭所指的圖標，出現全網的連接示意圖，圖中綠線表示正在發生的網絡連接，藍線表示過去發生的連接。將鼠標放到線上可以看出連接情況。鼠標右鍵在彈出的菜單中可選擇放大（zoom）此圖。

圖8

抓包實例
1、抓某台機器的所有數據包
    如圖9所示，本例要抓192.168.113.208這台機器的所有數據包，如圖中選擇這台機器。點擊所指圖標，出現圖10界面，等到圖10中箭頭所指的望遠鏡圖標變紅時，表示已捕捉到數據，點擊該圖標出現圖11界面，選擇箭頭所指的Decode選項即可看到捕捉到的所有包。

圖9  

圖10

圖11
2、抓Telnet密碼
本例從192.168.113.208 這台機器telnet到192.168.113.50，用Sniff Pro抓到用戶名和密碼。
步驟1：設置規則
如圖12所示，選擇Capture菜單中的Defind  Filter，出現圖13界面，選擇圖13中的ADDress項，在station1和2中分別填寫兩台機器的IP地址，如圖14所示選擇Advanced選項，選擇選IP/TCP/Telnet ,將 Packet Size設置為 Equal 55， Packet Type 設置為 Normal.。

圖12

圖13

圖14
步驟2：抓包
按F10鍵出現圖15界面，開始抓包。

圖15
步驟3：運行telnet命令
本例使telnet到一台開有telnet服務的Linux機器上。
telnet 192.168.113.50
login: test
Password:
步驟4：察看結果
圖16中箭頭所指的望遠鏡圖標變紅時，表示已捕捉到數據，點擊該圖標出現圖17界面，選擇箭頭所指的Decode選項即可看到捕捉到的所有包。可以清楚地看出用戶名為test密碼為123456。

圖16

圖17

解釋：
雖然把密碼抓到了，但大家也許對包大小（Packet Size）設為55不理解，網上的數據傳送是把數據分成若干個包來傳送，根據協議的不同包的大小也不相同，從圖18可以看出當客戶端telnet到服務端時一次只傳送一個字節的數據，由於協議的頭長度是一定的，所以telnet的數據包大小=DLC(14字節)+IP(20字節)+TCP(20字節)+數據（一個字節）=55字節，這樣將Packet Size設為55正好能抓到用戶名和密碼，否則將抓到許多不相關的包。

圖18
3、抓FTP密碼
本例從192.168.113.208 這台機器ftp到192.168.113.50，用Sniff Pro抓到用戶名和密碼。
步驟1：設置規則
如圖12所示，選擇Capture菜單中的Defind Filter出現圖19界面，選擇圖19中的ADDress項，在station1和2中分別填寫兩台機器的IP地址，選擇Advanced選項，選擇選IP/TCP/FTP ,將 Packet Size設置為 In Between 63 -71， Packet Type 設置為 Normal。如圖20所示，選擇Data Pattern項，點擊箭頭所指的Add Pattern按鈕，出現圖21界面，按圖設置OFFset為2F,方格內填入18，name可任意起。確定後如圖22點擊Add NOT按鈕,再點擊Add Pattern按鈕增加第二條規則，按圖23所示設置好規則，確定後如圖24所示。

圖19

圖20

圖21

圖22

圖23

圖24
步驟2：抓包
按F10鍵出現圖15界面，開始抓包。
步驟3：運行FTP命令
本例使FTP到一台開有FTP服務的Linux機器上

複製內容到剪貼板

代碼:

D:/>ftp 192.168.113.50
      Connected to 192.168.113.50.
      220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.
      User (192.168.113.50:(none)): test
      331 Password required for test.
      Password:

步驟4：察看結果
圖16中箭頭所指的望遠鏡圖標變紅時，表示已捕捉到數據，點擊該圖標出現圖25界面，選擇箭頭所指的Decode選項即可看到捕捉到的所有包。可以清楚地看出用戶名為test密碼為123456789。

圖25

解釋：
雖然把密碼抓到了，但大家也許設不理解，將圖19中Packet Size設置為 63 -71是根據用戶名和口令的包大小來設置的，圖25可以看出口令的數據包長度為70字節，其中協議頭長度為：14+20+20=54，與telnet的頭長度相同。Ftp的數據長度為16，其中關鍵字PASS占4個字節，空格占1個字節，密碼占9個字節，Od 0a(回車 換行)占2個字節，包長度=54+16=70。如果用戶名和密碼比較長那麼Packet Size的值也要相應的增長。
Data Pattern中的設置是根據用戶名和密碼中包的特有規則設定的，為了更好的說明這個問題，請在開著圖15的情況下選擇Capture菜單中的Defind Filter，如圖20所示，選擇Data Pattern項，點擊箭頭所指的Add Pattern按鈕，出現圖26界面，選擇圖中1所指然後點擊2所指的Set Data按鈕。OFFset、方格內、Name將填上相應的值。
同理圖27中也是如此。
這些規則的設置都是根據你要抓的包的相應特徵來設置的，這些都需要對TCP/IP協議的深入瞭解，從圖28中可以看出網上傳輸的都是一位一位的比特流，操作系統將比特流轉換為二進制，Sniffer這類的軟件又把二進制換算為16進制，然後又為這些數賦予相應的意思，圖中的18指的是TCP協議中的標誌位是18。OFFset指的是數據包中某位數據的位置，方格內填的是值。

圖26

圖27

圖28
4、抓HTTP密碼
步驟1：設置規則
    按照下圖29、30進行設置規則，設置方法同上。

圖29

圖30
步驟2：抓包
  按F10  鍵開始抓包。
步驟3：訪問訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。網站
步驟4：察看結果
圖16中箭頭所 指的望遠鏡圖標變紅時，表示已捕捉到數據，點擊該圖標出現圖31界面，選擇箭頭所指的Decode選項即可看到捕捉到的所有包。在Summary中找到含有POST關鍵字的包，可以清楚地看出用戶名為qiangkn997，密碼為?，這可是我郵箱的真實密碼！當然不能告訴你，不過歡迎來信進行交流。

圖31

後記
本文中的例子是網內試驗，若捕捉全網機器的有關數據請將圖13中的station設置為any<->any，作為學習研究可以，可別做壞事！如果要用好Sniff Pro必須有紮實的網絡基礎知識特別是TCP/IP協議的知識，其實Sniff Pro本身也是學習這些知識的好工具。
Sniffer Pro是個博大精深的工具，由於水平有限，本文這是介紹了其中的一小部分，希望能起到拋磚引玉的作用。

[ 本帖最後由 蔡逸竹 於 2006-9-8 20:57 編輯 ]