https://baike.baidu.com/item/sniffer/97532?fr=aladdin

Sniffer，中文可以翻译为嗅探器，也叫抓数据包软件，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

int main(intargc,char**argv) {intsock,n;charbuffer[2048];unsignedchar*iphead,*ethhead;structifreqethreq;intno=0;//

设置原始套接字方式为接收所有的数据包if((sock=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_IP)))Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）

如图所示：3.找到网关的IP地址->选择single station->bar (本例中网关IP为219.*.238.65)

219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。

如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的->MAP按钮

如图所示,网关与内网间的所有流量都在这里动态的显示。

　　绿色线条状态为：正在通讯中需要注意的是：

暗蓝色线条状态为：通信中断

线条的粗细与流量的大小成正比

如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收

图2(15张)

、发送）、并自动计算流量占当前网络的百分比。

其它主要功能：

PIE：饼图的方式显示TOP 10的流量占用百分比。

Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。

第四步：基于IP层流量

1.为了进一步分析219.*.238.93的异常情况，我们切换至基于IP层的流量统计图中看看。

点击菜单栏中的Monitor->Host Table，选择Host Table界面左下角的MAC-IP-IPX中的IP。

2.找到IP：219.*.238.93地址（可以用鼠标点击IP Addr排序，以方便查找）->选择single station->bar （如图11所示）

3.我们切换至Traffic Map来看看它与所有IP的通信流量图。

　　为了进一步的证明我们的猜测，我们去看看219.*.228.93的流量协议分布情况。我们可以从219.*.238.93的通信图中看到，与它建立IP连接的情况。图中IP连接数目非常大，这对于普通应用终端来讲，显然不是一种正常的业务连接。我们猜测，该终端可能正在进行有关P2P类的操作，比如正在使用P2P类软件进行BT下载、或者正在观看P2P类在线视频等。

4.如图所示：Protocol类型绝大部分为Othen.我们知道在Sniffer Pro中Othen表示未能识别出来协议，如果提前定义了协议类型，这里将会直接显现出来。

如图通过菜单栏下的Tools->Options->Protocols,在第19栏中定义14405（bitcomet的默认监听端口），取名为bitcom。

　　现在我们再次查看219.*.238.93协议分布情况.

现在，协议类型大部分都转换为bitcom，这样我们就可以断定，此终端正在用bitcomet做大量上传、下载行为。

注意：很多P2P类软件并没有固定的使用端口，且端口也可以自定义，因此使用本方法虽然不失为一种检测P2P流量的好方法，但并不能完全保证其准确性。

好了，使用Sniffer Pro监控网关流量，就到这里结束了。实际上我们可以用同样的方法监控网络内的任何一台终端。后续，我们将继续连载使用Sniffer Pro监控网络的其它新手教程，例如：利用Sniffer pro做网络的预警机制、利用Sniffer pro分析病毒、通过包分析结合专家系统发现网络内存在的“未知问题”，以后我们将陆续做更深一步的探讨和分析。

概念解释：

1.什么是端口镜像?

把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

2.为什么需要端口镜像 ?

交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部CAM表（通常也称IP-MAC表）进行数据转发，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

3.端口镜像通常有以下几种别名：

①Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

②Monitoring Port 监控端口

③panning Port 通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

④PAN Port 在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。