Sniffer pro是一款功能強大的網絡分析工具，可以用于發現漏洞、病毒、等異常數據，也可以生成網絡基準線，提供網絡質量趨勢分析數據，還可以用于故障快速定位，我在工作中經常用到，在此把使用中的體會寫出來，希望對其他使用者能有一點用處。

用過濾器過濾出我們關心的數據

因為我們捕獲數據時并不知道異常數據是那一種，所以我們在捕獲是用的過濾器（filter）必須是默認的any<->any，也就是說把所有經過的數據全部捕獲，建議捕獲用PC內存要大，最少256M，將filter的buffer定義為32M。（因為捕獲點多為社區機房上行端口的鏡象，數據較大，為保證捕獲數據量，建議將buffer定義大些較好，）
　　
定義完成后開始捕獲，當buffer滿后停止捕獲，進入分析窗口，我們進入decode窗口看看：

    

　

在這里我們可以看到很多的數據，為了快速分析，我們就要用到另一種過濾器（display filter）,選取display->selete filter,可以看到下圖：

    

我這里已經定義了一些過濾器，定義方法后面再進行演示，這里先看用法，選擇一個過濾器，如ARP，將把這個數據包里所有的ARP協議數據包過濾出來，

    

　　

相映的用其他的過濾器可以過濾出我們關心的數據，提高我們的分析效率。過濾出來的數據就相對較少且較為一致，便于我們分析。
　　
下面介紹一下過濾器的定義方法，選擇display->define filter:

1、 按地址過濾：又分為叁種，很簡單，看看就明白了:
2、 數據過濾：這個是比較高級的，主要功能是對數據包按特征碼過濾，使用的前提是對某種數據的特征碼很清楚，目前自定義還比較難，有興趣的同志可以研究看看。
3、 高級過濾：其實就是用協議過濾，看看就明白了

如何應用過濾器？

其實過濾器除了自己定義外還可以導入已經定義好的，首先，我們可以去NG公司的網站去下載Sniffer過濾器，需要說明的是Sniffer的病毒過濾器的名稱定義是來自McAfee的定義，與其它防病毒廠商尤其是國內的防病毒廠商的病毒名稱定義是有一些差異的。
　　
下載到過濾器，我們就可以把該過濾器導入到Sniffer里去了。解壓開下載到的過濾器文件，你會看到許多文件，我們以Mydoom病毒過濾器文件舉例說明：Importing Filter.rtf（導入過濾器說明文件），Sniffer Filter Creation Specification for W32_MyDoom@MM.rtf（說明如何定義Mydoom病毒過濾器），NetAsyst - W32_Mydoom@MM.csf（NetAsyst軟件使用－－NG公司針對中小型企業定制的軟件，功能與Sniffer Pro基本相當，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoom@MM.csf(分布式Sniffer使用，有多個版本：4.1，4.2，4.3，4.5等），還有就是我們需要使用的SnifferPortable4.* - W32_Mydoom@MM.csf（有4.7,4.7.5,4.8等版本，針對你所使用的Sniffer版本號來選擇你需要的）。

接著找到Sniffer的安裝目錄，默認情況下是在：C:\Program Files\NAI\SnifferNT\Program，找到該目錄下的“Nxsample.csf”文件，將它改名成Nxsample.csf.bak（主要是為了備份，否則可以刪除），然后將我們所需要的過濾器文件SnifferPortable4.7.5 - W32_Mydoom@MM.csf文件拷貝到該目錄，并將它改名為“Nxsample.csf”。

然后，我們再打開Sniffer Pro軟件，定義過濾器（display--Define Filter），選擇Profile－－New－－在New Profile Name里填入相應的標識，如W32/Mydoom－－選擇Copy Sample Profile－－選擇W32/Mydoom@MM，確定后，我們就算做好了Mydoom這個病毒的過濾器。

   

　

現在，我們就可以在過濾器選擇里選擇Mydoom過濾器對Mydoom病毒進行檢測了。

下面你在DECODE窗口里使用這個過濾器，如果你沒過濾到任何數據，恭喜，你捕獲的數據里沒有這個病毒，你可以安心了；如過你過濾到了數據，也恭喜，你有成績了，然后根據過濾到的數據源IP、MAC等信息找到用戶，進行相應的處理，避免病毒的擴散。
　　
　　

以下是一些我在工作中捕獲到的異常數據：
ARP掃描：
ARP欺騙

  

   郵件病毒：
   P2P流量：

  

疑難：不知道什么時候有異常流量

在工作中我們并不知道什么時候有異常流量，也不可能總是盯著交換機，這個時候就要定義觸發器，讓電腦去監視網絡了。

觸發器，就是讓sniffer pro一直監視網絡，但不捕獲數據，一直到滿足了觸發器條件后開始捕獲，達到停止條件停止，一般有時間條件、過濾器條件、alarms條件。定義方法為capture->trigger setup
點擊start trigger中的define

  

　

時間條件：不用多說了。

過濾器條件：用定義好的過濾器過濾，過濾到數據后啟動觸發器。

alarms條件：監視的數據達到了選定的項目的閥值后開始捕獲。

條件中過濾器已經說過了，這里說一下alarms閥值的定義，選擇tools->options下的MAC threshold ,這里就是定義閥值的地方。
觸發器的結束觸發和開始觸發差不多，對比一下就明白了。

觸發器定義好后就可以使用了，啟用后capture下的trigger setup會變成cancel trigger，在使用觸發器前要更改使用的過濾器，設置為buffer滿后自動保存，這樣才可以把我們需要的數據保存下來供我們分析用。

【編輯推薦】

1. 專題：Sniffer安全技術從入門到精通
2. Sniffer安全技術從入門到精通