Sniffer软件应用实验报告

一、简介：

Sniffer是一种强大的网络分析工具，它集成了很多可以有力解决网络问题的功能。Sniffer可以实时地列出流经多个网卡（包括Modem，ISDN，ADSL）的数据包，它还支持基于某些应用的数据包捕捉。通过它，你可以获得你所感兴趣的某个应用的所有网络流量。   

如今，Sniffer成为了网络监控器和网络分析器的专用名词，它通常还代表收集数据和信息的方法。ISS把它这样定义：Sniffer是一种利用自身网络接口来对目的地是其它计算机的数据包进行捕捉的一种工具。

二、实验目的：

了解并掌握在Linux系统下的Sniffer软件的应用及获取网络数据包。了解如何在Linux环境下实现一个Sniffer的详细过程，以及使用tcpdump命令的详细信息。

三、实验环境：

VirtualBox虚拟机，CentOS5.5系统，tcpdump

四、Tcpdump简介：

经过在网上的资料浏览，我知道了Linux下的Sniffer工具分软件，硬件两种，比如：NETMAN,SNIFFIT,TCPDUMP,EXPERT SNIFFER等等。而这次实验我决定采用TCPDUMP这个工具来进行实验。

Tcpdump是Linux平台下一个很重要的Sniffer工具，作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的工具之一。tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。普通情况下，直接启动Tcpdump将监视第一个网络界面上所有流过的数据包。基本上tcpdump总的的输出格式为：系统时间 来源主机.端口 > 目标主机.端口 数据包参数 。

五、实验内容：

1．默认启动：tcpdump，普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包：

按住Ctrl+C停止命令：

2．监视指定网络接口的数据包：tcpdump -i eth1，如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0 。因为我的只有一个网卡，也就是eth0，所以得到的结果和第一是命令是一样的。

3．监视指定主机的数据包：tcpdump host ip：

⒋使用tcpdump抓取http包，tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854，0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。我打开百度网页：

tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参数的。tcpdump 截获数据并保存到文件中，然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

按住ctrl+c停止获取：

六、心得体会：

经过本次实验，让我充分的了解了LINUX中TCPDUMP这个工具的使用方式，虽然我现在还不能十分熟练的把TCPDUMP操作中的每一个过程和结果都实现，或者是解读每一个截取数据操作所获得的数据包，但是让我可以初步的体会到了sniffer的强大之处。我一定会更加努力的去学习相关的操作，因为这些都是一个网络人士应该了解的基本知识。


------Right@wyy 2013/4/9