一、sniffer原理

sniffer是用于高档分组检错的东西。它可供给分组获取和译码的功用，它能够供给图形以切当的指出在你的网络中哪里正呈现意图的事务拥塞。

在以太网中，甘愿的通讯都是播送的，也便是说通常在同一个网段的甘愿网络接口都能够拜访在物理媒体上传输的甘愿数据，而每一个网络接口都有一个***的硬件地址，这个硬件地址也便是网卡的MAC地址，大多数体系运用48比特的地址，这个地址用来表明网络中的每一个设备，一般来说每一块网卡上的MFC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其出产的每个网卡一个地址。在硬件地址和IP地址间运用ARP和RARP协议进行彼此转化。

在正常的情况下，一个网络接口应该只呼应这样的两种数据帧：

1．与自己硬件地址相匹配的数据祯

2.发向甘愿机器的播送数据帧。

在一个实践的体系中，数据的收发是由网卡来完结的，网卡接纳到传输来的数据，网卡内的单片程序接纳数据帧的意图MAC地址，依据核算机上的网卡驱动程序设置的接纳方式判别该不应接纳，以为该接纳就接纳后发生中止信号告诉CPU，以为不应接纳就丢掉不论，所以不应接纳的数据网卡就截断了，核算机底子就不知道。CPU得到中止信号发生中止，操作体系就依据网卡的驱动程序设置的网卡中止程序地址调用驱动程序接纳数据，驱动程序接纳数据后放入信号仓库让操作体系处理。

而关于网卡来说一般有四种接纳方式：

播送方法：该方式下的网卡能够接纳网络中的播送信息。
组播方法：设置在该方式下的网卡能够接纳组播数据。
直接方法：在这种方式下，只要意图网卡才干接纳该数据。
稠浊方式：在这种方式下的网卡能够接纳甘愿经过它的数据，而不论该数据是否是传给它的。

总结一下，首要，咱们知道了在以太网中是根据播送方法传送数据的，也便是说，甘愿的物理信号都要经过我的机器，再次，网卡能够置于一种方式叫稠浊方式（Promiscuous），在这种方式下作业的网卡能够接纳到甘愿经过它的数据，而不论实践上数据的意图地址是不是他。这实践上便是咱们SNIFF作业的基本原理：让网卡接纳甘愿他所能接纳的数据。

二、网络监控的几种方式
1、moniteràhosttable

三、包的抓取与剖析

1、过滤器的定制definefilter.Capture-definefilter
进入该界面后address指定以IP地址为类型，然后鄙人面的station1和station2中别离指定源和意图地地址。并将该设置指定为某settingprofile.

***、地址类型，挑选IP了。挑选方式,假如选包含，其含义便是指sniffer在捕获的时分就会只对你在Station1中和Station2中所列的节点包进行捕获。挑选在外则恰恰相反。也便是说它在捕获的时分会过滤掉Station1和Station2中所列及的地址数据包的。

第二、在Station1和Station2以及DIR的设置中，你能够指定地址对，而我要对它截获的是与他衔接的甘愿主机，也便是说这个Any代表的是任何主机的意思。至于Dir，则是要挑选你要捕获的方针主机与其衔接主机间的信息流向，这儿选的是互流，即为要截获的是与之所衔接的甘愿主机与它的信息数据.

2、captureàselectfilteràstart

在上图中的1部分，显现的是所监控的202.103.190.4与202.103.137.1主机间的应用层的协议以及对监控之后所得到的数据包的总结以及有用数据包的长度和整个数据包的长度、承认序列号的信息。上图中是我对OICQ的监控，所以它显现的端口是8000和4000。

而第2部分是对应1中的灰色区域里的数据包内容从协议的上进行的剖析。这个图中所显现的是1中灰色部分的IP和TCP层的解说，从这儿能够看出这个捕获到的数据包的组成以及数据包运用的端口、状况、时刻等许多信息，用鼠标拉动滚动条能够看到更具体的对以太桢和应用层的解说。

第3部分是这次捕获的数据包的内容，能看到的是十六进制和ASCII两中显现方式。左面是用十六进制表明的包中每一个数据的前车之鉴，中心的部分是用十六进制表明的被截获的数据包中的内容，右边看到的则是ASCII方式。

【修改引荐】

1. Sniffer pro 运用辅佐阐明
2. 用sniffer pro进行网络流量扫描