精华序号:60
来自论坛:小熊在线 《网络论坛》
内容说明:
- sniffer简明使用方法,答应杨小过好久了,不写不像话。(1749字) G4 (159693)于2005/07/12(16:14:20)..
安装完sinffer之后,第一次启动会出现如下窗口,让你选择用哪块网卡,我的电脑上有两块,嘿嘿如果只有一块也就没得选择了:)
选中后按确定进入软件界面,如下:
此时就可以用了。
sinffer最常用的功能就是抓包,下面就简单说一下怎么来抓包,抓一个icmp包为例,
1、抓包
首先,点菜单下面第一排按钮中的最后一个define filter按钮。
出现下面的面板
点address,显示如下:
缺省情况下,address一栏是hardware,我们选择ip,在下面的地址栏中填入我们要抓取的源和目的ip地址,如图:
如果此时我们在station1和station2中都不添任何地址的话,那么就是抓取任何源、目的地址的数据包。当然我们也可以只填其中的一项这样就能够只抓某一个原地址或者目的地址发送或者接受的报文。(如果上面的address一栏中我们选择hardware,那么对应的下面的地址应该填的就是mac地址了。填上这些地址的目的是过滤掉一些我们不需要的数据包,这样抓到包之后看的时候比较清楚*_*)
然后我们在点advanced面板,这个面板里我们可以选择我们要抓取的是哪个协议的报文,我选择的ip-icmp
其他几个面板使用缺省设置即可,点击确定。
开始抓包:
点开始按钮,就是那个小三角*_*,此时就开始抓包了......
我们在pc上ping另一台pc,sinffer抓到报文后,第一排的第4个按钮会显示出来,不是开始的灰色了。
按此按钮,出现如下面板
点面板下面的decode选项,显示出我们抓到的报文。
我们可以看到,111.1.1.1发出的icmp echo报文和111.1.1.2回应的echo reply都抓到了,在最上面一栏
中显示的是抓到的报文,点你所想查看的一个报文,中间一栏显示的就是那个报文的各个域值的内容。
抓包到此结束。下面讲发送报文:
在我们抓到的报文中选择我们想发送的报文,我选择的是echo request报文,点右键。
然后选择send current frame选项出现如下面板,在此面板里我们可以选择是发送一个报文,还是连续发,以及发送速度等。
在下面的packet选项里还可以修改对应的域值,比如源、目的地址,报文类型等等,但要注意修改之后ip校验和会变,或者别的(如igmp报文)里面还会有igmp的校验和,记得先抓回来改完校验和再用,不然发出去的报文别人可就不认了。sinffer 4.7之前的版本还有一个bug,修改igmp报文时候,第一次修改完在抓回来的包,显示的校验和是错误的,前后两个字节正好反了,如有这个需要的兄弟,自己记得改过来噢。
不过就我自己使用感觉来说,sniffer在修改、发送报文方面不如etherpeek,以后再写etherpeek的用法。写的比较潦草,欢迎大家批评指正,其实sniffer还有好多别的用途,比如当局域网内有人中了冲击波等病毒的时候,我们可以用它监视网络,快速定位等等,在此就不一一列举。其他的兄弟继续,俺比较懒,要不是很长时间以前答应过杨小过,估计现在还懒得写呢,哈哈。
本论坛由小熊在线(www.beareyes.com)joyt制作及维护