图-用Sniffer软件来了解局域网 (图的使用方法)

教程大全 2025-07-19 13:41:49 浏览次

如果你想用Sniffer捕帧,并解决网络问题,那网络协议就一定要相对了解,本文就从局域网协议入手,解决Sniffer捕帧问题。

局域网的几种协议，主要包括以太网第二版、IEEE802系列、令牌环网和SNAP等（之所以加个“等”字，是因为我只知道这几种，如果还有其他的，欢迎朋友们给我补充）。而最为常见的，也就是以太网第二版和IEEE802系列，我们也主要去了解这两种（IEEE802包括好多种，我们也不一一介绍，只对其中常见做研究）。

一，以太网（V2）

以太网第二版是早期的版本，是由DEC、Intel和Xerox联合首创，简称DIX。帧格式如下图：

前导信息：采用1和0的交替模式，在每个数据包起始处提供5MHZ的时钟信号，以充许接收设备锁定进入的位流。

目标地址：数据传输的目标MAC地址。源地址：数据传输的源MAC地址。

以太网类型：标识了帧中所含信息的上层协议。数据加填充位：这一帧所带有的数据信息。（以太网帧的大小是可变的。每个帧包括一个1 4字节的报头和一个4字节的帧校验序列域。这两个域增加了1 8字节的帧长度。帧的数据部分可以包括从4 6字节到1 5 0 0字节长的信息（如果传输小于4 6字节的数据，则网络将对数据部分填充填充位直到长度为4 6字节）。因此，以太网帧的最小长度为1 8 + 4 6，或6 4个字节，***长度为1 8 + 1 5 0 0，或1 5 1 8个字节。）

F C S ：帧校验序列（ F C S，Frame Check Sequence）域确保接收到的数据与发送时的数据一样。当源节点发送数据时，它执行一种称为循环冗余校验（ C R C，Cyclical redundancy Check）的算法。C R C利用帧中前面所有域的值生成一个惟一的4字节长的数，即F C S。当目标节点接收数据帧时，它通过C R C破解F C S并确定帧的域与它们原有的形式一致。如果这种比较失败，则接收节点认为帧已经在发送过程中被破坏并要求源节点重发该数据。

二，IEEE802系列 IEEE802系列包含比较多的内容，但比较常见的是802.2 和 802.3 。下面我们就比这两种帧。

1， IEEE802.3

为什么我要先把802.3列出来？因为我个人觉得802.3应该是在802。2之前出来，只它存在问题，所以才出现了802。2以解决它的问题，大家是不是觉得有点糊，没关系，请继续看下去。下面是这个帧的帧格式：

大家有没有发现在这个帧格式跟以太网第二版本的格式非常像？没错，它们这间改动的比较少，因为802。3是在以太网V2的基础上开发的，为了适应100M的网络，所以才把8位的前导步信息分成了7字节，并加入了一个SFD的域（为什么说这样分开一下可以支持100M？我目前还没搞懂。^8^那位高手有这方面的资料贡献一下啊）。

那前导和SFD到底起什么作用？我的理解是，前导与SOFD相当于跑步竞赛开始时的那句“预备！跑！”，前导就是“预备！”，SFD就是“跑！”，所以前导让接收设备进入状态，SOFD让接收设备开始接收。而这里所谓比特流硬件时钟同步，是指让设备按当前比特流信号频率同步，以得到精确的接收数据的位置，避免接收出错，与PC里所谓时钟概念是一样的。

再有就是类型字段变成了长度字段，这是因为当初这个协议是由novell开发的，所以它默认就是在就是局域网就是novell网，服务器是netware服务器，跑的是IPX的协议，因此去掉了类型换成了长度。后来IEEE再据此制定802。3的协议，结果问题也就出来了。如果我上层用的是IP协议呢？那怎么办？别急，有问题就会有方法，IEEE802。2也就由此出现了。

2， IEEE802。2

请看帧格式：

可以看到，种帧的***区别就在于多了一个LLC的域，即逻辑链路控制（ L L C，Logical Link Control）。该信息用来区别一个网络中的多个客户机。如果L L C和数据信息的总长度不足4 6字节，数据域还将包括填充位。长度域并不关心填充位，它仅仅报告逻辑链接控制层信息（ L L C）加上数据信息的长度。逻辑链接控制层（ L L C）信息由三个域组成：目标服务访问点（ D S A P，D e s t i n a t i o n Service Access Point），源服务访问点（ S S A P，Source Service Access Point）和一个控制域。每个域都是1个字节长，L L C域总长度为3字节。一个服务访问点（ S A P，Service Access Point）标识了使用L L C协议的一个节点或内部进程，网络中源节点和目标节点之间的每个进程都有一个惟一S A P。控制域标识了必须被建立L L C连接的类型：无应答方式（无连接）和完全应答方式（面向连接）。

我们在工作中最常见的也就是这三种帧了，下面加入一张网上找到的图片，以加深大家的理解，并做一个小小的总结：

三、用sniffer捕帧

局域网的基本协议已经讲完，现在该动动手了。

下面是我用sniffer捕的几个帧。

ARP帧：

DNS的包：

HTTP的包：

通过上面所捕获的帧，相信大家对网络的分层应该会有一个比较深的理解。我所展开的是数据链路层的包头。

对照上面的帧格式，我们可以看到，有目的地址，有源地址，有类型，从IP开始就属于信息字段了。姨，不对呀，怎么没有前导和SFD？当然，这是用来同步的，对协议分析没有意义，包括FCS，所以去掉了。

可是，不对啊？没错，眼尖的朋友发现了，哈，都是以太网第二版的帧，看上面字段“Ethertype=0800(ip)”.这是怎么回事？不是说现在都是802。3的，至少也是802。2的嘛？怎么还用以太网V2？那么打包成何种帧是由哪个决定的？

其实这个问题我当时也糊了，而且很多人也都不是特别的清楚，后来跟我们老师沟通后这么认为：打包成何种帧一般是由操作系统决定的，在微软的OS里边，其默认都会打包成以太网第二版的（可以改），这并不是说网络环境变成10M了，因为现在这个以太网第二版应该也是支持100M的，而在netware 环境里面，通常都默认是802。2或802。3，具体2还是3，就要看netware版本了，一般来讲，运行低于Netware 3.12版本的网络的缺省帧类型是802。3。

咱就说到这了，当然不敢说完全正确，只希望能让大家共同交流，所以欢迎大家能够指出我所不对的地方，共同进步。

引起网络广播风暴的几种原因

目前，工作在网吧网络中的网络设备，基本上都是交换机了。对于交换机，大家并没有真正的了解其工作原理。一、交换机基础知识1、交换机的定义：交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以学习MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。现在，交换机已经替代了我们原来比较熟悉的网络设备集线器，又称Hub。但是这并不意味着，我们不需要了解Hub的基本知识。 2、集线器的定义：集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境，像网卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。二、交换机与集线器的区别1、交换机与集线器的本质区别：用集线器组成的网络称为共享式网络，而用交换机组成的网络称为交换式网络。共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时，多个用户可能同时争用一个信道，而一个信道在某一时刻只允许一个用户占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。 2、在交换式以太网中，交换机提供给每个用户专用的信息通道，除非两个源端口企图同时将信息发往同一个目的端口，否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。通过实验测得，在多服务器(server网络资源)组成的LAN　中，处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍，而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。交换机只是在工作方式上与集线器不同，其他的如连接方式、速度选择等与集线器基本相同，目前的交换机同样从速度上分为10M、100M和1000M几种，所提供的端口数多为8口、16口和24口几种。交换机在局域网中主要用于连接工作站、Hub、服务器(server网络资源)或用于分散式主干网。三、产生广播风暴的原因通过对以上网络设备的了解，我们就可以简单分析出来，网络产生广播风暴的原因了。一般情况下，产生网络广播风暴的原因，主要有以下几种：1、网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。 2、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。 3、网络环路：曾经在一次的网络故障排除中，发现一个很可笑的错误，一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能急骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。 4、网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

如何防网络嗅探器?

嗅探器简介让我们了解下究竟网络嗅探器为何物。网络嗅探器(英文名为Sniffer)指的是在网络上窃取数据的工具。 1、原理网络嗅探的原理是这样的：当我们向网络上的其它计算机发送信息时（它们会被打包成帧），信息（帧）会被分组传送到各个网络节点，而帧中的包头具有目的网络节点的地址用以鉴别是否为目的地，如果匹配就接收这些分组，不匹配就丢弃这些包，但是无论丢弃还是接收都是通过网络适配器（例如网卡）来控制的，因此我们只要在网络适配器上安装具有监测这些帧的软件，再把这些数据记录下来就达到到窃取数据的目的2、功能顾名思义，嗅探，无非是想窃取数据为主要目的。凡是通过网络适配器上的所有数据都逃不出它的手掌心，不过也有例外的。除了此功能外，它还是网管手中用来排除网络故障的利器，通过与基准数据对比来查找故障源的目的。 3、防治既然网络嗅探器具有如此大的危害性，那么我们是否不敢在网络上传输数据了呢？那也不完全是这样，总的来说可以通过两种办法来防止数据被窃取：一是使用加密的数据；二是不要在网络上传输机密数据，而是通过第三方设备（例如磁盘、磁带等）来传输的。