一些sniffer pro协议分析新手教程、工具及文档\新增Q&A（三）35:怎样用SNIFFER查找ARP欺骗？各位，现在的ARP欺骗问题是越来越多了，造成的影响也是越来越大，利用SNIFFER怎样才能发现ARP欺骗呢？Q:从较近常见的欺骗来看，较明显的是ARP REQUEST包的目的的如果不是广播而是网关，那就基本可以确定有问题.36:Sniffer打开trace file提示“unsupported file format”问题很多.cap文件，使用sniffer打开提示“unsupported file format”错误使用omnipeek打开,提示有人研究过是怎么回事吗？Q:不支持这种格式。

CAP是一种通用的格式，而不仅仅是Sniffer的CAP，不同CAP文件的内部结构是不一样的。

举个例，在Ethereal中，如果你将保存类型设为libpcap，然后保存为*.cap，这样Sniffer就打不开这个cap文件。

37:Sniffer抓包时，为什么总是自己机器在流量较大？Q:没开镜像呀,抓的都是你自己的包.38:sniffer pro提示有Local Routing是什么原因？网络很简单Harbor58423F是本地的三层交换NortelF4CA0D是上级三层1.在抓包后有很多的Local Routing是什么原因？2.为什么会出现Local Routing？Q:Local Routing"属于TCP层的告警，产生原因是检测到Packet本应在DLC层进行转发但却通过ROUTER转发，原因有以下三点：1、路由器的路由表设置问题，使在同一段内能直接通信的设备不致通过路由器进行通信；2、路由器出于安全考虑，防止访问网络的特定部分；3、路由器实现网关类功能，在应用层执行协议转换功能；4、新设备联入网络未识别到与其他设备有直接路由、或设备配置成使用指定路由器。

39:用sniffer模拟发包的疑问？今天应客户要求做一个ACL过滤功能的测试，我想使用sniffer的模拟发包功能（packet generator）来模拟发包！下面是我的方法：1、先访问一个网站并抓包（收集TCP、UDP数据包）2、选择一个TCP包，并使用send current frame编辑包3、修改目的IP地址、端口号并发送。

4、把两个VLAN 上的ACL全部去掉，并在对端抓包，发现没有抓到一个包。

5、在自己电脑上抓包，发现IP、端口都已经修改。

但提示包missing。

6、同样方法使用UDP包发送，也不成功7、直接ping 对方IP，并抓包。

然后直接模拟发包，对方可以收到。

不知道问题的原因，请大家指点！！谢谢！Q:修改IP的同时要修改checksum，其他协议也同样道理。

40.能否用Sniffer发包功能伪造数据包?较近看了不少伪造数据包的文章。

但是，都不是很详细。

所以想亲自实战一下。

发现Sniffer具有发包功能。

于是就想到在Sniffer里改变一下源IP地址是否能达到IP欺骗呢！环境：找了两台电脑，每台电脑上运行Sniffer Pro 4.75每台电脑各配一个真实的互联网IP （A、B），机器A、机器B不在一个网段里。

两台机器的网关做在一个路由器上，并能访问互联网。

操作：1）首先把两台机器的Sniffer开启混杂模式抓包。

2）然后在机器A上访问任意一个互联网地址3）停止机器A抓包，然后查看Decode，查找三次握手中的较早次握手“SYN SEQ=”4）找到后进入发包模式，更改原IP地址为任意一个互联网IP地址，更改目的IP地址为机器B的IP地址，更改原、目的端口。

发送此包n次。

5）稍后，在机器B上停止抓包，并产看Decode是否有伪造地址的“SYN SEQ=”结果：可惜的很呀！试验没有成功，如果机器A用伪造的地址进行SYN，在机器B上看不到。

但是，用机器A自身真实的地址机器就能看到机器A的“SYN SEQ=“问题：为什么机器A伪造IP包在机器B上看不到，还有，互联网上说得伪造IP包是怎样通过本地DefaultRoute（网关）。

路由器是否更改机器A发送来的伪造的数据包？ 请各位高手详细解说一下伪造的IP包是怎样在互联网路由器上传送的?Q:很简单，改了IP包头，需要修改checksum，否则包发布出去41:sniffer专用网卡的问题据说专用网卡可以抓一些错包，到底哪一些是呢？是否要安装专用驱动程序？那位兄弟能帮忙解答一下，多谢!Q: 找到答案了，专用网卡上面有SNIFFER的标记。

安装一下SNIFFER的驱动即可。

鄙视一下sniffer，真的是衰落了，网站上的中国区电话根本没人接，想找一个专用网卡的列表，根本找不到（当然也有可能我的搜索技术不过关）。

: 用DEC211xx芯片的网卡即为专用网卡42:请教关于sniffer请问NG与NAI是什么关系两家公司都有自己的sniffer产品?Q:NAI是97年McAfee和Network General合并后的公司名称。

2004年NAI将NG卖给两家投资公司（Silver Lake Partners与Texas Pacific Group），NAI又分成两家公司：McAfee和Network General，从此，NAI不再是NAI，而是McAfee。

43:sniffer如何跨网段管理?局域网的拓扑结构是，外网光纤接光纤交换机，光交接防火墙，防火墙连两台核心交换机，两台核心交换机互为热备，再分连各楼层交换机，网段按楼层划分，一共20个网段。

我想用sniffer可以监测各个网段的流量，但不知应该将监测电脑安在哪个位置。

急迫请教高手赐教。

Q: 好像不可以一下监控所有的VLAN ，只能一个一个做RSPAN，想看那个就配制那个VLAN！监控外网的就到出口的地方放个HUB，呵呵方便。

44:ICMP Redirect for Host的告警信息，重定向主机?请教ICMP Redirect for Host的告警信息，重定向主机。

这个重定向主机是什么意思，有什么用？我今天抓包，发现有ICMP Redirect for Host和 ICMP Redirect for NETWORK，这意味着什么呢。

。

。

？Q: 路由/默认网关设置有问题在网络分析版查找,有人讨论过这个话题..你抓外包上来看看。

正常情况下不太可能出现这种报文。

在开启了IP路由功能的ARP欺骗中，中转机会发送这种报文。

在直接进行的ICMP重定向攻击中，也会出现这种报文。

提供一个CAP文件，再描述一下你的拓扑。

45:我想实现的一个协议分析功能？大家看看能不能帮我实现。

?我想要实现一个这样的功能：通过流量分析建立一个出口路由器或着想要监视的网络设备的流量基线，比如：TCP、UDP、ARP、ICMP。

。

。

等等包文占总体报文的百分之多少，然后形成各自的曲线图。

。

。

周统计，年统计等方式，一旦有网络堵塞或网络故障，就知道是那种包文导致的，然后在查具体是什么包文的什么端口，或什么类型，或者是什么IP导致的网络流量异常。

。

。

。

因为我认为抓包只对流量较少的企业有效，但对于一个小的ISP，或者大型企业，一旦有网络拥塞的故障，做镜像然后抓包，很短的时间都可能导致你的本本死机，然后是大量的报文（甚至100M），分析完都要类死了。

。

Q: 你的设想都有现成的产品，Sniffer、Netscout都有相应的硬件产品，另外通过Netflow也可以做到。

Sniffer针对大流量的抓包有S6040或者Infinistream硬件探针设备，做流量趋势分析有Sniffer enterprise visualizer报表服务器。

46:sniffer BROADCAST及UTILIZATION 监测在清晨会自动停止工作?安装的SNIFFER 4.75/4.9 .运行monitor -> history sample -> broadcast /s 或者 UTilization 在清晨 时间轴停止在2:00 .程序没有死机.请问这是什么原因?Q:Sniffer的History Sample历史采样的缓冲只有3600个采样点，你用默认的每隔15秒进行一次采样，这样只能采样15个小时其缓冲区就满了，所以你的采样就停止了。

如果你想采样时间长些，那只能加大采样间隔时间或者修改缓冲区满了覆盖数据（Wrap buffer when full)。

47:原创]交换环境下进行sniffer的方法（WIN平台）?交换环境下进行sniffer(基于WINDOWS平台） 题 目：交换环境下进行sniffer，Windows平台。

试验环境：公司内部，通过一个ADSL路由器上网，内部采用8口小交换机连接目 标：现在要监听机器B采用软件：Ethereal 0.99 ，安装在WINXP平台上， 机器为A，arp欺骗软件:arpsender监听原理：为了监听B,需要用到ARP欺骗：即不停的向B发ARP响应包，告诉它网关的MAC是MAC_A(而不是正常的网关的MAC),这样当B向网关发包时，所有的包都到了机器A；再不停的向网关发ARP响应包，告诉网关，机器B的MAC地址是MAC_A（而不是正常的MAC_B)，这样，当网关要向B发数据时，就也发送到了A。

遇到的问题：但是，实验中发现，机器A收到网关至B或者B到网关的数据包后，没有再进行转发，直接丢弃了，这样就造成了一种现象：机器B无法上网了。

（包倒是监听到了一些）解决：这肯定是机器A的IP路由没有打开。

经过努力，发现WINXP的系统服务里有一项 routing and remote acess service，将其启动就可以了。

附件: 您所在的用户组无法下载或查看附件收藏 分享 评分 回复 引用 订阅 TOP nina 发短消息 加为好友 nina 当前离线 UID2560 帖子932 精华4 积分420 求索币2248 索 好评5 个 奖品券15 点 智慧值6 点 阅读权限100 在线时间173 小时 注册时间2007-8-12 较后登录2007-12-27 版主（铁板）2# 发表于 2007-8-22 17:02 | 只看该作者 怎样赚取求索币Sniffer专家系统分析路由环使用SNIFFER监测QQ号码及获取IP地址的方法？昨天上网的时候，发现了这个论坛。

我是在研究如何使用MRTG来监测华为路由器和交换机的CPU使用率时，无意间找到这个论坛的。

这个问题目前还没有找到解决方法。

今天睡的早了点，半夜就起来了，一口气看了论坛的好多文章，的的确确是“网络分析专家”，有好多概念模糊的问题都可以找到答案。

很幸运没有错过！希望有了解MRTG的朋友指点一下我所遇到的问题。

刚才看了本站劳模1259的一篇文章《使用SNIFFER PRO来进行监控BT协议的流量信息想到了去年公安局来我们这里查QQ号码的事，当时说正在搜捕一个持枪逃犯，现在知道他的QQ号，并且发现较近一天他的QQ号在本地上过网，而且IP地址就是我们的（通过显示IP的QQ版本，已经取得了该QQ的IP地址和端口号）。

刚开始领导以为又是来找什么麻烦，但是人家来了不能不配合。

当时要求我们尽快查找上网记录，找到究竟哪个用户在用这个QQ号码，不巧的是我们的计费管理系统正在升级，近一个月的都没有记录，这可怎么办呢？心想先装装样子再说吧。

顺便说明一下，我们这里上网是NAT转换出去的，并不是每个用户一个公网IP。

所以现在就是要找到这个QQ用的内部私有地址是什么，再进一步找到上网帐号。

开始的时候想，如果这个QQ号码在某一个时刻通过我们的宽带接入上网的话，那么只要刑警查看一下对方的IP地址和端口号，这边立刻登陆到路由器上，通过查看NAT地址转换的SESSION，就可以找到对方的内部私有地址了。

于是一边假装配合着查找上网记录（其实都是以前的，较近一个月的记录根本没有），一面说只要这个号码上网了，这边立刻就能找到（通过查看路由器的NAT session)。

但是大家等了大半夜，也没等到。

这下可苦了我了。

那也没办法，只能一直目不转睛地等着。

接下来我就琢磨，怎样才能做到，当这个QQ号码上网之后，立刻就能用软件截取到信息，自然就想到了SNIFFER这个软件。

开始用自己的QQ号码作试验。

思路很简单，先把自己的QQ号码换算成16进制的，就用WINDOWS自带的科学计算器就可以了。

原本以为QQ的通讯过程会把所有信息都加密，但是抱着瞎猫碰死耗子的想法试验一下。

在SNIFFER里面设定至只抓取UDP协议的报文，因为一般情况下QQ使用UDP协议，再就是把后台运行的其他网络软件关掉，避免抓到一些没用的干扰数据。

呵呵！没想到这么顺利，一下子就在一个UDP包里面找到了自己的QQ号码的16进制，再一看，好多包里都有，到处都是，而且固定在偏移量31H处开始的4个字节，就是你的QQ号码。

接下来就很简单了，在几台网管设备上分别运行SNIFFER（已经在适当的节点配置了端口镜像），设定条件是第31H处是需要查找的QQ号码的16进制，只抓取UDP，并且目的端口等于8000。

接下来就可以睡觉了，只要有结果，就会被筛选出来。

具体设定过滤条件时候需要设置Data Pattern请大家参考一下前面1259写的那篇文章，方法是一样的。

等被电话叫醒的时候，已经中午了。

这时公安那边已经发现对方上QQ了，但是确看不到对方的IP地址和端口号（公安那边就是在用珊瑚虫QQ想看到对方的IP和端口号，我还以为有什么先进的软件或者设备呢），但是我们知道由于各种原因，类似的这种显示IP的QQ并不是总能看到对方的IP和端口号的。

赶紧去查看了一下几台正在运行SNIFFER的服务器，有一台服务器已经有数据筛选出来了，赶紧查看了一下，呵呵！要找的东西出来了，幸好提前想到了SNIFFER，要不然那边公安的没看到对方的IP，这里就得抓瞎。

进一步查了一下上网帐号……后来想进一步查看是否能查到本地QQ正在和哪些号码聊天，不过这一点没有想象的那么简单了。

不过还是略有一点其他的发现。

就是当你使用类似于珊瑚虫版QQ时，有时也看不到对方的IP地址，相信大家也经常遇到这种情况。

网上有文章介绍说，这时如果你试图浏览一下对方的共享文件夹，再重新打开聊天窗口后，就可以看到对方的IP了。

试了一下，的确有时候好用，但也不是总好使。

受这一点启发，粗略地分析了一下，一般聊天的时候，文字信息都是通过QQ服务器中转的，也就是说，你和对方的IP并没有直接建立联系。

那么只要想办法让自己和对方直接建立联系，那就可以用SNIFFER捕捉到对方的IP了，浏览对方的共享文件夹大概就是这个意思。

接下来就想到视频和语音聊天，发送文件等等这些QQ附加功能，一般情况都应该是试图直接建立直连的。

但是这些都需要对方许可才行，但是发送图片不需要对方确认，对，随便发一张对方没有的图片试一试。

效果不错，前面通过各种方法都无法看到IP的QQ号码，通过这种方法都查找到了IP。

不过不敢保证这种方法总是有效的。

另外QQ的版本升级比较快，不同的版本的通讯原理可能也有变化，而且对QQ的通讯过程掌握的不是很清楚。

说到这里大家可能觉得上网简直是一点安全感都没有，有象我这样的“坏蛋”在研究怎样监视大家的秘密。

不过我这是工作需要逼着你去做的，要不然我才不会干这样的“坏事”。

不过通过研究的过程确实能学习到很多知识，欢迎大家一起讨论！