SNIFFER問題集錦

SNIFFER相關教程下載： Sniffer使用教程.pdf|Sniffer用法.ppt

具體問題解決：

1.SNIFFER4.75沒法使用，打開後提示

No adapter is binding to Sniffer driver

以下圖

4.7.5 With SP5以上支持千兆以太網,通常咱們從網絡上下載的4.75不支持千M網卡

4.7.5 With SP5下載：

微盤：   SNIFFER POR V4.7.5 SP5(中英文切換版).rar

CSDN：SNIFFER POR V4.7.5 SP5漢化版

2.如何導入導出snifferPro定義的過濾器的過濾文件?

方法1、強行覆蓋法
C:\Program Files\NAI\SnifferNT\Program\
下面有不少Local打頭的目錄，對應select settings裏各個profile，
進入相應的local目錄，用sniffer scan.csf 去覆蓋Sniffer.csf(捕獲過濾） 或者snifferdisplay.csf（顯示過濾）

方法2、聲東擊西法
C:\Program Files\NAI\SnifferNT\Program\
下面有個文件Nxsample.csf，備份。
用Sniffer scan.csf替換nxsample.csf
啓動Sniffer
新建過濾器
在新建過濾器對話框的sample選擇裏選擇相應的過濾器，
創建新過濾。

反覆新建，直到所有加入


3.sniffer的警報日誌是些作什麼用的??

sniffer警報日誌也是sniffer專家系統的一部分,一般不正常的TCP/IP通信會產生警報和日誌.
好比: ping 的反映時間太長, 某一個會話中丟包或者重傳數過多,單位時間產生的廣播/多播數過多等等.

4.利用ARP檢測混雜模式的節點

文章很長,PDF查看：使用ARP分組檢測處於混雜模式的網絡節點.pdf


5.sniffer 中，utilization是按什麼計算的？
Octect就是字節的意思。
Sniffer錶盤的利用率是根據你的網卡的帶寬來計算的，若是要監測廣域網帶寬的話，須要使用Sniffer提供的相應的廣域網接口設備：好比 Snifferbook用來接入E一、T一、RS/V等鏈路，這時它所顯示出的帶寬就是正確的廣域網帶寬（如非信道化E1它會顯示2.048Mbs）。

6.octets/s單位怎麼計算的?

octet=byte
7.expert分析系統分析的數據是定義capture所截取的數據呢仍是分析全部流經鏡像端口的數據？
sniffer的專家系統只對所捕獲的數據進行分析

 

8.sniffer pro4.75 不現實儀表盤和alarm log 怎麼回事?

請檢查您的操做系統是否安裝java~

9.sniffer能識別出notes協議麼

需在Tools--Options--Protocol中將lotus所用端口定義進去。1352 是notes的端口
用什麼軟件是次要的，關鍵是要理解如何根據自身的實際狀況進行定製

10.在sniffer中如何定義捕捉端口範圍?我想捕捉端口爲8000-9000的數據包,請問在sniffer中如何定義過濾器?

建議使用SNIFFER PRO 4.8及以上版本

11.[sniffer decode面板]爲何都是亂碼啊？

是這樣的，此次你抓的都是小包，包頭的ASCII沒有實際含義，若是抓一些http/ftp之類，你可能就能夠看到一些明文了

12.爲什麼sniffer dashboard不會動的
Sniffer 4.7.5 sp5之前的版本須要Java Vitual Machine和JRE1.3.02，Java VM組件必須在安裝Sniffer前檢查IE裏是否已存在，若是沒有，就要從新安裝IE組件。裝完Sniffer後，第一次打開Sniffer時，會提示 安裝JRE1.3.02，若是你的機器以前安裝過更高版本的JRE，須要卸載而後再裝JRE1.3.02，若是沒有安裝過，請安裝JRE1.3.02。滿 足了這兩個條件，Dashboard就沒有問題了。若是由於Java的問題沒法運行Dashboard的話，不會影響Sniffer其它功能的運行，大不 了不要打開Dashboard就能夠了。


13.對sniffer的疑問？？？

Switch不是把數據包進行端口廣播，它將經過本身的ARP緩存來決定數據包傳輸到那個端口上。所以，在交換網絡上，若是把上面例子中的HUB換爲Switch，B就不會接收到A發送給C的數據包，即使設置網卡爲混雜模式，也不能進行嗅探?

answer:Ｓｎｉｆｆｅｒ什麼都不是。。
這個本身再去想辦法。。
Ｓｎｉｆｆｅｒ只負責抓包分析的事。。。其餘的本身搞定

14:我這的交換機不支持端口鏡像，請問我如何配置才能用sniffer pro分析網絡？

交換環境下的ARP欺騙和Sniffer,就這麼簡單

一、準備
win2000/xp ＋Etherpeek 。將本身的MAC修改成一個不存在的，具體步驟再也不敘述。幹壞事嘛，總得假裝一下。
二、將本機的網關設爲非本網段的任一IP，好比設成其餘網段的網關。製做一個批處理包含如下命令：
arp -s 網關IP 本網段網關的MAC
這樣作的目的是防止ARP欺騙時本身上網也困難
三、在註冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增長：

Name:IPEnableRouter

Type:REG_DWORD

Value:0x01

重啓系統便可。
目的是啓用路由轉發功能，以便在隨後的ARP欺騙中本機充當MAN-IN-THE-MIDDLE(中間人）
四、啓動Etherpeek,構造如圖所示的包（圖1），能夠將這個包存盤，以備後用。
五、以每秒5個包的速度向外發送這個ARP欺騙包（圖2）。
六、啓動捕獲，就能夠抓到整個網段內的包。
七、注意：不要用此方法幹壞事。被網管抓住別找我！


15:經過Packet Generator如何定向發包？

Q:的意思是往指定的主機發包嗎？本身造包比較麻煩，你能夠先截取一段數據包，而後編輯包，修改目的地址

15:在監控端口和sniffer之間，能夠級聯交換機嗎?

能夠，前提是要支持ＲＳＰＡＮ，而且正確配置！

16：Sniffer的非正常退出

我在使用Sniffer的過程當中，會發生異常錯誤。Sniffer進程沒法殺掉。
請問該如何解決？

ntsd -c q -p PID
強制殺掉進程，pid爲在任務管理器裏看到的進程號

17:在sniffer 的 source address這一欄下，爲何有的顯示ip地址，有的卻顯示mac地址？是否是由於顯示mac地址的數據包沒有包括ip層及以上的層的數據？

有些協議用於鏈路協商，分配地址等等，是沒有帶ip地址的包頭的，好比rapr,arp協議等。

18:[原創]在Sniffer Pro中建立基於子網掩碼的過濾器?

初爲作的一個說明，解釋如何在Sniffer Pro中實現基於子網掩碼的過濾，
（默認功能只能提供基於主機IP地址的過濾）
之後再介紹介紹在OmniPeek裏實現的快捷方式，對比一下就知道Sniffer Pro這隻大笨象有多笨拙了

19: 我單位使用的都是3com產品,不知可否經過Sniffer的Switch功能來能交換機進行管理呢.
我本身試了試,不行,請高手指點. ?

Sniffer只支持Cisco大部分交換機和北電的450，3Com的不支持。Sniffer Switch Expert能夠收集交換機的RMON信息，能夠設置交換機警告並自動觸發抓包，能夠設置鏡像端口等。
若是要用Sniffer Switch Expert功能，最好是有兩塊網卡，一塊用來與交換機通信，一塊用來捕捉包。



19:Sniffer的歷史採樣如何打開？在sniffer裏作了佔用率等歷史採集，保存成了.hst文件，如今想調出來看，如何作？
Q:打開History，將.hst文件拖進去

20: 用sniffer構建數據包時，建好了不能保存啊？
用sniffer構建數據包時，建好了不能保存啊？每次都得從新構建數據包，這樣很麻煩呀，可不能夠保存下來，每次調用一下就OK了?

Q:構造好以後發送出去，同時捕捉一次不就保存下來了，我之前常這麼幹，免得我本身計算ip_sum什麼的。

21:如何在８１３９網卡上設置，使其能在ＳＮＩＦＦＥＲ下看到小於６４大於１５１８的包？

若是使用Sniffer提供的專用網卡（Sniffer Cardbus網卡），能夠捕捉到許多數鏈層的錯誤：
一、CRC校驗錯誤。
二、Collison（小於64字節，通常是中繼器發Jam信號致使）。
三、Runt（小於64字節，但有正確的CRC）。
四、Fragment（小於64字節，但CRC錯誤）。
五、Aligment（有兩種，一種是小於64字節，另外一種大於64字節）。
六、Jabber（大於1514字節，通常多是網卡或中繼器問題引發）。
七、Oversize（大於1514字節，若是是VLAN的Trunk協議，如802.1Q協議（1518字節）和Cisco ISL協議（1540字節），它們都大於1514字節，Sniffer也會認爲它們是Oversize。）

那麼上面說了這麼多種錯誤，實際上你在如今的網絡環境當中，就算是使用了Sniffer專用的Cardbus網卡，也不見得會捕捉到這些錯誤，爲何呢？ 緣由有二：一是由於咱們如今的網絡大可能是交換網絡，須要進行交換機鏡像才能讓Sniffer進行捕捉數據包，而交換機會把這些錯誤包給丟棄了，根本到達不 了Sniffer鏡像的端口。二是由於這些錯誤基本上是由於中繼設備和網卡設備的硬件故障致使的，而如今不管是交換機、集線器仍是網卡，硬件製造的工藝都 很成熟和穩定，以上這些錯誤，基本上，很難再產生了。
若是你沒有Sniffer專用網卡，能夠有兩種辦法：一，按V大說的自開發驅動。二，到市場上買Xircom CBE2-100型號網卡，Sniffer Cardbus網卡是它OEM的。

22:sniffer pro是否是隻能監控同一交換機下的流量？這個和Sniffer沒有關係！

關鍵在於交換機
好比有些能夠支持RSPAN，跨交換機的流量也能夠看到啊

 

23: 使用Sniffer Portable 抓包的時候,在解碼後發現"Frame too short"提示 的可能緣由是什麼?

硬件（網線、網卡、端口等）有故障的症兆或存在雙工、速率匹配問題。

24:請教一個sniffer的協議分析使用的問題

對比了一下，發現本身的sniffer在查看protocols分佈狀況時，未知的協議類型都爲「others」，而別人的卻能顯示出具體的協議和端口 號，以下圖，這是怎麼回事？是否是什麼選項沒選上？加入具體的協議端口,下次你的也就不會是Other了.Tools ->Options->Protocols添加

25:sniffer pro ART 功能？
一、ART是應用響應時間，屬於Sniffer的 Monitor功能，跟Capture和Packet Gen沒有關係。
二、缺省狀況下ART只監控HTTP應用，若是要監控其它協議，須要添加協議。這裏要注意一點，添加協議完要重啓ART應用纔會生效，有時候須要重啓Sniffer才行（我的經驗）。
三、若是按第2步作了仍是沒有數據，你就要考慮是否是你添加的協議在你所可以監視到的流量里根本就不存在。（由於你說並無作端口鏡像）。
四、沒有讓你選擇網卡，你能夠手動來選，打開File-select setting－選擇你須要的網卡。


26：怎麼利用sniffer作一個流量的baseline？

小弟我想用sniffer作一個流量的baseline，方便之後流量出現異經常使用來對比，但是我對baseline具體是什麼內容還不清楚，也不知道到底 該怎麼作，請各位能不能指點sniffer歷史採樣(history sample)其實就是軟件默認定義的baseline
但根據網絡的實際狀況不一樣,須要制訂符合實地狀況的基準線

創建baseline的方法,我的認爲:
捕獲正常網絡狀態數據包,得出packet/s,utilization/s,broadcast/s等等的數據
而後修改其閾值及採樣頻率

之後學習到標準制訂baseline方法,再改正!

27：用snifferpro如何抓printer（打印）的包呢？

就是想用snifferpro監控打印機的使用，抓打印文件的路徑和打印者的mac地址。
snifferpro的包過濾裏面有tcp－printer選擇，可是我怎麼都抓不到東西。Q：用的是過濾中的netbios包。
又有新問題，是安裝了sniffer以後，發現服務器工做不正常，我以爲多是sniffer讓服務器網卡處於混雜模式的緣故。刪掉以後就行了。

我其實只是須要過濾 到經過服務器的包而已，請問如何設置sniffer關閉網卡的混雜模式？

28：在線求助(sniffer的截圖)。警報:WINS No Response?? WINS no reponse是指網絡中WINS服務器對WINS請求沒有響應，WINS是微軟的Windows Name Service，你用網上鄰居時看到機器名實際上就是WINS服務起的做用。

你Sniffer系統的專家告警並不是誤報，是因爲其沒有抓獲WINS Reponse數據包所形成的，多是因爲你在交換環境下抓包沒有作鏡像，只能抓到廣播包，因此可以捕獲到WINS請求，但沒法捕獲到迴應包，因此會產生告警。


29:Sniffer Pro新版本4.8已經發布了，能夠說有很多的好消息??Sniffer Pro新版本4.8已經發布了，能夠說有很多的好消息：

一、Dashboard再也不使用Java了，呵呵，原先Sniffer使用Java是不少人深惡痛絕的（包括本人），一打開Sniffer再也不是CPU和內存蹭蹭的往上串了。

二、地址過濾能夠使用子網過濾了（再也不須要用Data Pattern來作了）。

三、能夠作端口範圍的過濾（如TCP 1050-1052）。

四、Data Pattern的Offset裏多了一個叫」Variable offset「的功能，也就是說你能夠作不用管位偏移在哪裏的模式匹配了，舉個例子：你要捕捉全部訪問Sina網頁的數據，你能夠在Data Pattern裏填入」sina「的ASCII字符，而後把」Variable offset「選項打勾，這樣無論"sina"這個字符出如今數據的哪一部分，Sniffer均可以捕捉。

五、支持802.11g無線協議。

六、支持通用10/100/1000M Ethernet網卡。

七、支持實時解碼－－這點也是Sniffer之前常被人詬病的地方，俺喜歡這功能。

八、支持Sniffer Mobile 1.0和Sniffer Voice 2.5。

呵呵，前面舉了這麼多好的方面，固然也有壞的消息：再也不是使用序列號註冊的方式，而是採用跟收集硬件信息和Grand No的方式來受權使用，必須在安裝Sniffer的機器上生成一個請求受權文件，而後把該文件電郵給NG公司，由它們受權返回一個文件再導入才能正常使 用，要不，只能試用15天。（誰要是有辦法解決受權問題，不妨共享給俺俺會十分感謝的）

30: 請問:sniffer的dashboard中的"利用率"究竟是什麼意思?

個人計算機級聯的是10M以太網集線器,我也沒有把網口插入交換機的鏡像端口,就是直接運行SNIFFER,因此SNIFFER監測的流量及數據全是個人機器的,SNIFFER顯示的是10M以太網卡.
這時我作了一個FTP測試,下載電影.每秒900多K,利用率怎麼會顯示百分之八十多呢?我就不明白啦,我連的這個網段是10M,而如今才使用啦每秒900多K,利用率怎麼會顯示百分之八十多呢?
不懂,請高手指教!!!
謝謝!!!下載時候的速度顯示的是KB/S,而你的帶寬單位是Kb/s,你下載的速度乘以8纔是你對帶寬的佔用率,900多乘以8,可不是差很少接近10M的80%

31:Sniffer抓包時，爲何老是本身機器在流量最大？

網絡環境：電信2M ADSL+寬帶路由器+四口交換機，四我的經過交換機共享一個2M的ADSL，在的電腦接在交換機的端口之，而後在個人電腦安裝Sniffer，而後看主 機列表中的數據包，爲何總是個人機器的數據流最大？爲何比網關（路由器IP）的收發的數據包還多??

Q: 他們說的對,主要是與你接入的位置有關.
取流量的三種方式:交換機鏡象口\HUB\TAP32:我想的找一個SNIFFER4.8 有哪一個大俠給一個鏈接??http://www.networkgeneral.com/Eval.aspx
試用15days

 

33:sniffer reporter怎麼用啊？？？？

我下了一個sniffer reporter想專門用來作流量分析報告，惋惜不會用啊，俺英文也很差，幫助也看不大懂，哪位用過的兄弟說說啊~Q: 倒，手冊這麼好的東西不看。
在裝有Sniffer的機器上安裝Reporter，而後啓動Reporter Agent，再啓動Console，添加你用Sniffer打開的那塊網卡作爲Agent。
打開Sniffer，在Database--Options裏將全部你須要生成的數據項目都打上叉，最好調整默認的時間60分鐘爲5分鐘，這樣就能夠比較快的生成報告。
一小時（比較好的時間，這樣能夠有更多點的數據）後就能夠在Console上生成你須要的項目的報告了。

34:【網絡分析入門】[原創]如何使用Sniffer的過濾器文件?
壇裏常常看到許多人對Sniffer的過濾器文件不知道該如何使用，閒來無事，就截了幾副圖演示一番。
首先，咱們能夠去NG公司的網站去下載Sniffer過濾器（主要是用來檢測Vulnerabilites和Virus的），漏洞的過濾器下載網址：http://www.networkgeneral.com/SnifferFilters_Details.aspx?Type=2
病毒的過濾器下載網址：http://www.networkgeneral.com/SnifferFilters_Details.aspx?Type=1 ，須要說明的是Sniffer的病毒過濾器的名稱定義是來自McAfee的定義，與其它防病毒廠商尤爲是國內的防病毒廠商的病毒名稱定義是有一些差別的。
下載到過濾器，咱們就能夠把該過濾器導入到Sniffer裏去了。
解壓開下載到的過濾器文件，你會看到許多文件，咱們以Mydoom病毒過濾器文件舉例說明：Importing Filter.rtf（導入過濾器說明文件），Sniffer Filter Creation Specification for （說明如何定義Mydoom病毒過濾器），NetAsyst - （NetAsyst軟件使用－－NG公司針對中小型企業定製的軟件，功能與Sniffer Pro基本至關，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - (分佈式Sniffer使用，有多個版本：4.1，4.2，4.3，4.5等），還有就是咱們須要使用的SnifferPortable4.* - （有4.7,4.7.5,4.8等版本，針對你所使用的Sniffer版本號來選擇你須要的）。
接着找到Sniffer的安裝目錄，默認狀況下是在：C:\Program Files\NAI\SnifferNT\Program，找到該目錄下的「Nxsample.csf」文件，將它更名成 Nxsample.csf.bak（主要是爲了備份，不然能夠刪除），而後將咱們所須要的過濾器文件SnifferPortable4.7.5 - 文件拷貝到該目錄，並將它更名爲「Nxsample.csf」。
而後，咱們再打開Sniffer Pro軟件，定義過濾器（Capture--Define Filter），選擇Profile－－New－－在New Profile Name裏填入相應的標識，如W32/Mydoom－－選擇Copy Sample Profile－－選擇W32/Mydoom@MM，肯定後，咱們就算作好了Mydoom這個病毒的過濾器。
如今，咱們就能夠在過濾器選擇裏選擇Mydoom過濾器對Mydoom病毒進行檢測了。


35:怎樣用SNIFFER查找ARP欺騙？

各位，如今的ARP欺騙問題是愈來愈多了，形成的影響也是愈來愈大，利用SNIFFER怎樣才能發現ARP欺騙呢？
Q:從最近常見的欺騙來看，最明顯的是ARP REQUEST包的目的的若是不是廣播而是網關，那就基本能夠肯定有問題.

36:Sniffer打開trace file提示「unsupported file format」問題

不少.cap文件，使用sniffer打開提示「unsupported file format」錯誤

使用omnipeek打開,提示

有人研究過是怎麼回事嗎？
Q:不支持這種格式。

CAP是一種通用的格式，而不只僅是Sniffer的CAP，不一樣CAP文件的內部結構是不同的。
舉個例，在Ethereal中，若是你將保存類型設爲libpcap，而後保存爲*.cap，這樣Sniffer就打不開這個cap文件。

37:Sniffer抓包時，爲何老是本身機器在流量最大？
Q:沒開鏡像呀,抓的都是你本身的包.

38:sniffer pro提示有Local Routing是什麼緣由？

網絡很簡單
Harbor58423F是本地的三層交換
NortelF4CA0D是上級三層

1.在抓包後有不少的Local Routing是什麼緣由？
2.爲何會出現Local Routing？
Qocal Routing"屬於TCP層的告警，產生緣由是檢測到Packet本應在DLC層進行轉發但卻經過ROUTER轉發，緣由有如下三點：
一、路由器的路由表設置問題，使在同一段內能直接通訊的設備不致經過路由器進行通訊；
二、路由器出於安全考慮，防止訪問網絡的特定部分；
三、路由器實現網關類功能，在應用層執行協議轉換功能；
四、新設備聯入網絡未識別到與其餘設備有直接路由、或設備配置成使用指定路由器。


39:用sniffer模擬發包的疑問？

今天應客戶要求作一個ACL過濾功能的測試，我想使用sniffer的模擬發包功能（packet generator）來模擬發包！下面是個人方法：
一、先訪問一個網站並抓包（收集TCP、UDP數據包）
二、選擇一個TCP包，並使用send current frame編輯包
三、修改目的IP地址、端口號併發送。
四、把兩個VLAN 上的ACL所有去掉，並在對端抓包，發現沒有抓到一個包。
五、在本身電腦上抓包，發現IP、端口都已經修改。但提示包missing。
六、一樣方法使用UDP包發送，也不成功
七、直接ping 對方IP，並抓包。而後直接模擬發包，對方能夠收到。


不知道問題的緣由，請你們指點！！謝謝！
Q:修改IP的同時要修改checksum，其餘協議也一樣道理。

40.可否用Sniffer發包功能僞造數據包?
最近看了很多僞造數據包的文章。可是，都不是很詳細。因此想親自實戰一下。發現Sniffer具備發包功能。因而就想到在Sniffer裏改變一下源IP地址是否能達到IP欺騙呢！

環境：
找了兩臺電腦，每臺電腦上運行Sniffer Pro 4.75
每臺電腦各配一個真實的互聯網IP （A、B），機器A、機器B不在一個網段裏。
兩臺機器的網關作在一個路由器上，並能訪問互聯網。

操做：
1）首先把兩臺機器的Sniffer開啓混雜模式抓包。
2）而後在機器A上訪問任意一個互聯網地址
3）中止機器A抓包，而後查看Decode，查找三次握手中的第一次握手「SYN SEQ=」
4）找到後進入發包模式，更改原IP地址爲任意一個互聯網IP地址，更改目的IP地址爲機器B的IP地址，更改原、目的端口。發送此包n次。
5）稍後，在機器B上中止抓包，併產看Decode是否有僞造地址的「SYN SEQ=」

結果：
惋惜的很呀！試驗沒有成功，若是機器A用僞造的地址進行SYN，在機器B上看不到。可是，用機器A自身真實的地址機器就能看到機器A的「SYN SEQ=「

問題：
爲何機器A僞造IP包在機器B上看不到，還有，互聯網上說得僞造IP包是怎樣經過本地DefaultRoute（網關）。路由器是否更改機器A發送來的僞造的數據包？
請各位高手詳細解說一下僞造的IP包是怎樣在互聯網路由器上傳送的?

Q:很簡單，改了IP包頭，須要修改checksum，不然包發佈出去

41:sniffer專用網卡的問題

聽說專用網卡能夠抓一些錯包，到底哪一些是呢？是否要安裝專用驅動程序？

那位兄弟能幫忙解答一下，多謝!Q: 找到答案了，專用網卡上面有SNIFFER的標記。安裝一下SNIFFER的驅動便可。
鄙視一下sniffer，真的是衰落了，網站上的中國區電話根本沒人接，想找一個專用網卡的列表，根本找不到（固然也有可能個人搜索技術不過關）。
: 用DEC211xx芯片的網卡即爲專用網卡

42:請教關於sniffer請問NG與NAI是什麼關係

兩家公司都有本身的sniffer產品?Q:NAI是97年McAfee和Network General合併後的公司名稱。
2004年NAI將NG賣給兩家投資公司（Silver Lake Partners與Texas Pacific Group），NAI又分紅兩家公司：McAfee和Network General，今後，NAI再也不是NAI，而是McAfee。

43:sniffer如何跨網段管理?

局域網的拓撲結構是，外網光纖接光纖交換機，光交接防火牆，防火牆連兩臺核心交換機，兩臺核心交換機互爲熱備，再分連各樓層交換機，網段按樓層劃分，一共 20個網段。我想用sniffer能夠監測各個網段的流量，但不知應該將監測電腦安在哪一個位置。急迫請教高手賜教。Q: 好像不能夠一下監控全部的VLAN ，只能一個一個作RSPAN，想看那個就配製那個VLAN！
監控外網的就到出口的地方放個HUB，呵呵方便。

44:ICMP Redirect for Host的告警信息，重定向主機?

請教
ICMP Redirect for Host的告警信息，重定向主機。
這個重定向主機是什麼意思，有什麼用？
我今天抓包，發現有ICMP Redirect for Host和 ICMP Redirect for NETWORK，這意味着什麼呢。。。？Q: 路由/默認網關設置有問題

在網絡分析版查找,有人討論過這個話題..你抓外包上來看看。正常狀況下不太可能出現這種報文。

在開啓了IP路由功能的ARP欺騙中，中起色會發送這種報文。

在直接進行的ICMP重定向攻擊中，也會出現這種報文。

提供一個CAP文件，再描述一下你的拓撲。

45:我想實現的一個協議分析功能？你們看看能不能幫我實現。?

我想要實現一個這樣的功能：
經過流量分析創建一個出口路由器或着想要監視的網絡設備的流量基線，好比：TCP、UDP、ARP、ICMP。。。等等包文佔整體報文的百分之多少，而後 造成各自的曲線圖。。。周統計，年統計等方式，一旦有網絡堵塞或網絡故障，就知道是那種包文致使的，而後在查具體是什麼包文的什麼端口，或什麼類型，或者 是什麼IP致使的網絡流量異常。。。。

由於我認爲抓包只對流量較少的企業有效，但對於一個小的ISP，或者大型企業，一旦有網絡擁塞的故障，作鏡像而後抓包，很短的時間均可能致使你的本本死機，而後是大量的報文（甚至100M），分析完都要類死了。。
Q: 你的設想都有現成的產品，Sniffer、Netscout都有相應的硬件產品，另外經過Netflow也能夠作到。Sniffer針對大流量的抓包有 S6040或者Infinistream硬件探針設備，作流量趨勢分析有Sniffer enterprise visualizer報表服務器。


46:sniffer BROADCAST及UTILIZATION 監測在清晨會自動中止工做?安裝的SNIFFER 4.75/4.9 .

運行monitor -> history sample -> broadcast /s 或者 UTilization 在清晨 時間軸中止在2:00 .程序沒有死機.

請問這是什麼緣由?Q:Sniffer的History Sample歷史採樣的緩衝只有3600個採樣點，你用默認的每隔15秒進行一次採樣，這樣只能採樣15個小時其緩衝區就滿了，因此你的採樣就中止了。如 果你想採樣時間長些，那隻能加大采樣間隔時間或者修改緩衝區滿了覆蓋數據（Wrap buffer when full)。

47:原創]交換環境下進行sniffer的方法（WIN平臺）?交換環境下進行sniffer(基於WINDOWS平臺）

題 目：交換環境下進行sniffer，Windows平臺。
試驗環境：公司內部，經過一個ADSL路由器上網，內部採用8口小交換機鏈接
目 標：如今要監聽機器B
採用軟件：Ethereal 0.99 ，安裝在WINXP平臺上， 機器爲A，arp欺騙軟件:arpsender

監聽原理：爲了監聽B,須要用到ARP欺騙：即不停的向B發ARP響應包，告訴它網關的MAC是MAC_A(而不是正常的網關的MAC),這樣當B向網關 發包時，全部的包都到了機器A；再不停的向網關發ARP響應包，告訴網關，機器B的MAC地址是MAC_A（而不是正常的MAC_B)，這樣，當網關要向 B發數據時，就也發送到了A。

遇到的問題：可是，實驗中發現，機器A收到網關至B或者B到網關的數據包後，沒有再進行轉發，直接丟棄了，這樣就形成了一種現象：機器B沒法上網了。（包卻是監聽到了一些）

解決：這確定是機器A的IP路由沒有打開。通過努力，發現WINXP的系統服務裏有一項 routing and remote acess service，將其啓動就能夠了。

48：使用SNIFFER監測QQ號碼及獲取IP地址的方法？

昨天上網的時候，發現了這個論壇。我是在研究如何使用MRTG來監測華爲路由器和交換機的CPU使用率時，無心間找到這個論壇的。這個問題目前尚未找到 解決方法。今天睡的早了點，半夜就起來了，一口氣看了論壇的好多文章，的的確確是「網絡分析專家」，有好多概念模糊的問題均可以找到答案。很幸運沒有錯 過！但願有了解MRTG的朋友指點一下我所遇到的問題。

剛纔看了本站勞模1259的一篇文章《使用SNIFFER PRO來進行監控BT協議的流量信息》，鏈接地址是：http://www.netexpert.cn/viewthread.php?tid=354&fpage=3， 想到了去年公安局來咱們這裏查QQ號碼的事，當時說正在搜捕一個持槍逃犯，如今知道他的QQ號，而且發現最近一天他的QQ號在本地上過網，並且IP地址就 是咱們的（經過顯示IP的QQ版本，已經取得了該QQ的IP地址和端口號）。剛開始領導覺得又是來找什麼麻煩，可是人家來了不能不配合。當時要求咱們儘快 查找上網記錄，找到究竟哪一個用戶在用這個QQ號碼，不巧的是咱們的計費管理系統正在升級，近一個月的都沒有記錄，這可怎麼辦呢？心想先裝裝樣子再說吧。順 便說明一下，咱們這裏上網是NAT轉換出去的，並非每一個用戶一個公網IP。因此如今就是要找到這個QQ用的內部私有地址是什麼，再進一步找到上網賬號。

開始的時候想，若是這個QQ號碼在某一個時刻經過咱們的寬帶接入上網的話，那麼只要刑警查看一下對方的IP地址和端口號，這邊馬上登錄到路由器上，經過查 看NAT地址轉換的SESSION，就能夠找到對方的內部私有地址了。因而一邊僞裝配合着查找上網記錄（其實都是之前的，最近一個月的記錄根本沒有），一 面說只要這個號碼上網了，這邊馬上就能找到（經過查看路由器的NAT session)。可是你們等了大半夜，也沒等到。這下可苦了我了。那也沒辦法，只能一直目不轉睛地等着。接下來我就琢磨，怎樣才能作到，當這個QQ號碼 上網以後，馬上就能用軟件截取到信息，天然就想到了SNIFFER這個軟件。

開始用本身的QQ號碼做試驗。思路很簡單，先把本身的QQ號碼換算成16進制的，就用WINDOWS自帶的科學計算器就能夠了。本來覺得QQ的通信過程會 把全部信息都加密，可是抱着瞎貓碰死耗子的想法試驗一下。在SNIFFER裏面設定至只抓取UDP協議的報文，由於通常狀況下QQ使用UDP協議，再就是 把後臺運行的其餘網絡軟件關掉，避免抓到一些沒用的干擾數據。呵呵！沒想到這麼順利，一會兒就在一個UDP包裏面找到了本身的QQ號碼的16進制，再一 看，好多包裏都有，處處都是，並且固定在偏移量31H處開始的4個字節，就是你的QQ號碼。接下來就很簡單了，在幾臺網管設備上分別運行SNIFFER （已經在適當的節點配置了端口鏡像），設定條件是第31H處是須要查找的QQ號碼的16進制，只抓取UDP，而且目的端口等於8000。接下來就能夠睡覺 了，只要有結果，就會被篩選出來。具體設定過濾條件時候須要設置Data Pattern請你們參考一下前面1259寫的那篇文章，方法是同樣的。

等被電話叫醒的時候，已經中午了。這時公安那邊已經發現對方上QQ了，可是確看不到對方的IP地址和端口號（公安那邊就是在用珊瑚蟲QQ想看到對方的IP 和端口號，我還覺得有什麼先進的軟件或者設備呢），可是咱們知道因爲各類緣由，相似的這種顯示IP的QQ並非總能看到對方的IP和端口號的。趕忙去查看 了一下幾臺正在運行SNIFFER的服務器，有一臺服務器已經有數據篩選出來了，趕忙查看了一下，呵呵！要找的東西出來了，幸虧提早想到了 SNIFFER，要否則那邊公安的沒看到對方的IP，這裏就得抓瞎。進一步查了一下上網賬號……

後來想進一步查看是否能查到本地QQ正在和哪些號碼聊天，不過這一點沒有想象的那麼簡單了。不過仍是略有一點其餘的發現。就是當你使用相似於珊瑚蟲版QQ 時，有時也看不到對方的IP地址，相信你們也常常遇到這種狀況。網上有文章介紹說，這時若是你試圖瀏覽一下對方的共享文件夾，再從新打開聊天窗口後，就可 以看到對方的IP了。試了一下，的確有時候好用，但也不是總好使。受這一點啓發，粗略地分析了一下，通常聊天的時候，文字信息都是經過QQ服務器中轉的， 也就是說，你和對方的IP並無直接創建聯繫。那麼只要想辦法讓本身和對方直接創建聯繫，那就能夠用SNIFFER捕捉到對方的IP了，瀏覽對方的共享文 件夾大概就是這個意思。接下來就想到視頻和語音聊天，發送文件等等這些QQ附加功能，通常狀況都應該是試圖直接創建直連的。可是這些都須要對方許可才行， 可是發送圖片不須要對方確認，對，隨便發一張對方沒有的圖片試一試。效果不錯，前面經過各類方法都沒法看到IP的QQ號碼，經過這種方法都查找到了IP。 不過不敢保證這種方法老是有效的。另外QQ的版本升級比較快，不一樣的版本的通信原理可能也有變化，並且對QQ的通信過程掌握的不是很清楚。說到這裏你們可 能以爲上網簡直是一點安全感都沒有，有象我這樣的「壞蛋」在研究怎樣監視你們的祕密。不過我這是工做須要逼着你去作的，要否則我纔不會幹這樣的「壞事」。 不過經過研究的過程確實能學習到不少知識，歡迎你們一塊兒討論！

49：交換網絡中的sniffer討論？

你們都知道在HUB的網絡裏面用sniffer很容易嗅探到 數據包的。
由於是 在一個衝突domain。學過CCNA都知道。hub只是一個電信號的轉發。
當你的nic在 混合模式下。是能夠聽到全部的數據包的。

那麼在Switch 的網絡裏面怎麼樣呢？
Switch是根據 MAC address 具體轉發到某個端口的。
這樣。用通常的sniffer軟件是不能聽到其餘的端口的數據的。在物理上就被隔離了：）

怎麼辦？
在switch 裏面是根據mac-address-table來肯定轉發的。
若是咱們把這個mac-address-table clear 不是能夠了嗎？：）
可是設備咱們不必定能夠接觸啊。仍是鬱悶。

switch 的 mac-address-table是存在cache 中的。是有必定的空間的。
若是咱們把這個表用一些垃圾的數據把這個表給刷了。這樣的那些直接接在switch 上的mac地址沒有地方來放了。
由於mac表中沒有這些數據。switch 只有象全部的端口去轉發這些數據包。
這樣咱們就能夠在其餘的端口 聽到這些數據包了 ：）
就實現了sniffer的功能。

固然還有一種正常的做法是在交換網絡下面是用ＳＰＡＮ來進行ＳＮＩＦＦＥＲ的。

基於上面的論述，提出一個問題，在交換網絡裏用ＳＮＩＦＦＥＲ好，仍是在共享式的ＨＵＢ下面用ＳＮＩＦＦＥＲ好呢？　先讓網友們拍拍磚。
轉一篇貼子：基於交換網絡的ARP spoofing sniffer

[注]在閱讀這篇文章以前，我假設你已經知道TCP/IP協議，ARP協議，知道什麼是sniffer等基本網絡知識。
在通常的局域網裏面，常常會有兩種接入方式，一種是HUB接入（這裏的HUB是指普通HUB），一種是交換機直接接入（這裏的交換機是比較高級的交換機， 老式交換機不在此列）。採用HUB方式接入的網絡，數據傳送的時候，是採用廣播的方式發送，這個時候，只要一臺主機將本身的網卡設置成混雜模式 （promiscuous mode），就能夠嗅探到整個網絡的數據。 此篇文章不打算討論這種網絡環境的嗅探(sniffer)和反嗅探(anti sniffer)方法，主要是想就交換機方式直接接入的網絡環境如何sniffer以及如何anti sniffer作一個比較粗淺的分析。
咱們知道，一臺計算機想要接入到網絡中，必需要有兩個地址。一個是網卡的地址，咱們稱之爲MAC地址，它是固化在網卡中的。在以太網中，咱們經過MAC地 址來進行數據傳送和數據交換。在以太網環境中，數據會分幀傳送，每個數據幀都會包含本身的MAC和目的MAC地址信息； 另一個地址是平時所說的IP地址，定義在網絡層，每一臺網絡計算機都會有一個或者多個IP地址，這是一個虛擬的數據，而且能夠隨時更改。
IP地址和MAC地址是同時使用的，在數據傳送過程當中，一個完整的TCP/IP包須要由以太網進行數據封裝，數據分幀，最後再經過物理層傳輸到目標計算 機。在以太網封裝上層的TCP/IP包的時候，它須要知道源MAC地址和目的MAC地址，可是咱們只能給出一個對方的IP地址，這個時候就須要一個協議來 支持IP到MAC的轉換，這就是ARP,Address Resolution Protocol.
在局域網中，ARP是經過廣播的方式來發送的，好比，個人機器IP是192.168.7.110(A),須要知道192.168.7.119(B)機器的 MAC地址，那從A機器就會廣播一個ARP包，這個包裏帶有B機器的IP，若是B機器收到了此ARP包，那麼他就會一樣返回一個ARP包，裏面帶有響應的 MAC地址。A收到這個ARP包後，獲得B的MAC地址，這個時候以太網就能夠開始封裝TCP/IP包了，能夠開始正常的數據傳送了。好比：
d:\>arp -a

Interface: 192.168.7.110 on Interface 0x1000003
Internet Address Physical Address Type
192.168.7.1 00-90-0b-01-a0-61 dynamic

d:\>ping 192.168.7.119

Pinging 192.168.7.119 with 32 bytes of data:

Reply from 192.168.7.119: bytes=32 time<10ms TTL=128

Ping statistics for 192.168.7.119:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Control-C
^C
d:\>arp -a

Interface: 192.168.7.110 on Interface 0x1000003
Internet Address Physical Address Type
192.168.7.1 00-90-0b-01-a0-61 dynamic
192.168.7.119 00-d0-59-26-df-1a dynamic

能夠清楚的看到，在未和192.168.7.119通信以前，本機是沒有該IP對應MAC地址的，但一旦通信後，咱們就知道了對方的MAC地址，windows會將對方MAC地址存在本身的ARP cache裏面。
爲了節省網絡資源以及通信時間，多數操做系統會保留一張ARP緩存表，裏面記錄曾經訪問的IP和MAC地址影射記錄，一旦局域網中有一個新的ARP廣播， 對應一個IP到MAC的記錄，這個ARP緩存表就會被刷新，MAC地址會更換成新的廣播包裏定義的MAC地址，這個時候就存在一個問題，在更新的時候，系 統並無去檢查是否真的是由該機器廣播出來的，局域網中的惡意用戶就會利用欺騙的方式來更改網絡途徑，將真正的MAC地址替換成本身的MAC地址，這種方 法稱之爲：ARP spoofing。
交換機在處理數據的時候，它會根據本身機器內部的一個MAC到端口的數據表來查詢符合要求的MAC地址數據包該發往哪一個端口。這張表從交換機開機的時候就 存在，在每一個端口第一次數據傳送的時候就會記錄對應的端口的MAC地址. 經過發送咱們僞造的MAC地址數據包到交換機，就能夠欺騙交換機刷新本身的MAC地址到端口的數據表，假設A主機鏈接在2口，假設我在4口，要 sniffer A主機的數據，那麼我就須要僞造一個ARP數據包，告訴交換機A主機MAC地址是在4口，那麼交換機就會將原本發送到A主機的數據會轉送到4口上，這個時 候我就能夠監聽到了A主機的數據傳送了，這個就是基於交換網絡的arp欺騙sniffer過程。
經過arp 欺騙，通常sniffer有幾個方法：
1. 就是上面介紹的欺騙MAC進行數據竊聽，但因爲A收不到數據，這樣它會從新發布ARP包，這樣致使sniffer很容易暴露，並且效果很差，A會丟包，一樣你的sniffer 同樣不會抓到所有的數據。
2. 發起"中間人"竊聽。攻擊者能夠在兩臺通信主機之間插入一箇中轉回路，這樣，攻擊者既能夠sniffer到兩機的數據，一樣還能夠不影響兩機的通信。咱們假設X是攻擊者的機器，A和B是目標機器。
X若是想發起攻擊，首先在向A主機發送一個ARP包，讓A認爲B機器IP對應的MAC地址是X主機的，同時再向B機器發送一個ARP包，讓B機器認爲A機器IP對應的MAC地址是X主機的，以下圖：

3． MAC flood攻擊
經過快速(好比超過1000線程) 發送大量僞造MAC地址數據包，會形成交換機的MAC-端口表塞滿，但爲了正常數據不被丟棄，大多數交換機會採起相似HUB同樣方式：廣播的方式發送數 據。這個時候，再在網絡中任何一臺機器設置網卡爲混雜模式，就能夠sniffer到任何想要監聽的數據了。
*注: 以上方法我並無正式測試過，理論上可行，實際上還有待驗證。
上面介紹了幾種常見的基於switch網絡的arp spoofing sniffer方法，那麼對於一個管理員來講，如何防範這種方式的數據嗅探呢？
嚴格來講，沒有一種通用的方法來解決arp欺騙形成的問題，最大的可能就是採用靜態的ARP緩存表，因爲靜態的ARP表不能夠刷新，那麼僞造的ARP包將 會被直接丟棄。但這樣形成的問題就是，整個網絡中的全部機器，都必需要創建一個靜態的MAC表，在大型網絡中，會增長交換機的負擔，形成效率降低。若是機 器更換，那麼就要手工去更改MAC地址表，很顯然，在大型網絡中這種方式是不適用的。
在這裏須要注意的是，windows下即便你創建了靜態的MAC到IP的影射表，可是在收到了強制更新的ARP包後，依然會刷新機器的影射表，同樣會被sniffer到。
高級交換機還提供了MAC綁定功能，指定交換機某個端口和某個MAC綁定，這種方法能夠頗有效的防止MAC克隆（clone）方式的竊聽，可是對於上述的arp 欺騙攻擊效果不大。
最可靠的方法就是採用第三方軟件來解決，Arpwatch是一個運行在Unix平臺下的免費工具，他能夠檢測到網絡中全部MAC地址的變化，一旦網絡中的MAC地址有變化，它就會發送一封email到指定地點。

後記：這篇小文寫的很簡短，其實在交換網絡中還有其餘幾種攻擊方法，好比MAC clone等，並且交換網絡中的sniffer方法還不止這一種，我這裏只是介紹最多見，容易發生和編程實現的sniffer方法，但願對你們有所幫助。本人水平有限，若有錯誤，請不吝指責.

參考文摘：
1． An Introduction to ARP Spoofing(Sean Whalen)
2． Sniffing (network wiretap, sniffer) FAQ
50：如何利用Sniffer過濾非BT類下載軟件的流量？ 如今的下載軟件例如影音傳送帶、FlashGet、迅雷等所有支持斷點續傳和多線程下載的功能。並且下載軟件安裝後默認的下載線程數均〉1。由此咱們能夠作出對該類軟件的下載監控。 首先要了解斷點續傳的原理。 所謂斷點續傳，就是要從文件已經下載的地方開始繼續下載。因此在客戶端瀏覽器傳給Web服務器的時候要多加一條信息——從哪裏開始。這個信息在HTTP協議中由請求頭Range來實現。例如： GET /non-cgi/usr/1/1_3483_10.mp3 HTTP/1.1 Host: new.schoolmusic.net Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98) Range: bytes=975782-4878912 Connection: Keep-Alive 「Range」行告訴服務器1_3483_10.mp3這個文件從975782字節開始下載，前面的字節能夠不用再傳了。 服務器收到請求後，返回以下代碼 HTTP/1.1 206 Partial Content Content-Length: 3903131 Content-Type: audio/mpeg Content-Range: bytes 975782-4878912/4878913 Last-Modified: Wed, 19 Jan 2005 04:05:33 GMT Accept-Ranges: bytes ETag: "90c27e1fdcfdc41:d6a5" Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Sun, 26 Jun 2005 13:42:19 GMT 接着，客戶端就開始續傳了。 多線程的下載正是根據這個原理，先將文件標識成若干個塊，而後每個線程下載一個文件塊。這個標識正是經過HTTP請求頭中的Range來實現。 如下是RFC2616的一段說明： The semantics of the GET method change to a "partial GET" if the request message includes a Range header field. A partial GET requests that only part of the entity be transferred, as described in section 14.35. The partial GET method is intended to reduce unnecessary network usage by allowing partially-retrieved entities to be completed without transferring data already held by the client。 所以咱們初步獲得的結論是根據HTTP請求頭Range來標識出是否用下載軟件下載。可實際上，做過濾器須要找出偏移量，而Range的偏移量並非一個固定值。這樣就沒法達成了。 換個方向，看看HTTP的響應幀。 HTTP/1.1 206 Partial Content 返回的代碼是206，說明是Partial Content。 根據RFC2616對206相應碼的說明， The server has fulfilled the partial GET request for the resource. The request MUST have included a Range header field indicating the desired range, and MAY have included an If-Range header field to make the request conditional。 也就是說，當HTTP請求中包含了Range的請求頭的時候，HTTP響應碼老是206。所以就根據這個就能夠設置過濾器了