SmartSniff

SmartSniff简介

SmartSniff是一个网络监控实用程序，允许用户捕获通过网络适配器的TCP/IP数据包，并将捕获的数据视为客户端和之间的对话序列；用户可以以Ascii模式或十六进制转储查看TCP/IP会话；SmartSniff提供了三种捕获TCP/IP数据包的方法:原始套接字:允许您在网络上捕获TCP/IP数据包，而无需安装捕获驱动程序，这有一定的局限性和问题；WinPcap捕获驱动程序:允许您捕获Windows操作系统上的所有TCP/IP数据包。要使用它，您必须从该网站下载并安装WinPcap Capture Dver。一般来说，这种方法是使用SmartSniff捕获TCP/IP数据包的首选方法，比原始套接字方法更好。Micsoft网络监视器驱动:Micsoft在Windows 2000/XP/2003下提供了一个免费的捕获驱动，SmartSniff都可以使用这个驱动！

SmartSniff新版功能

SmartSniff在优化环回接口或其他未连接的网络接口时崩溃。

所选网络适配器的现在显示在窗口标题中。

SmartSniff现在可以从https://nmap.org/npcap/自动加载新版本的WinPCap驱动程序(如果安装在系统上)。

现在，SmartSniff会尝试按照HKEY_LOCAL_MACHINE中指定的安装路径加载网络监视器驱动3.x的dll。

这一更改应该可以解决在某些系统上加载网络监视器Dver 3.x的问题。

“捕获选项”窗口中的适配器列表增加了四列:连接名称、媒体访问控制地址、实例标识、接口向导。

SmartSniff现在在使用WinPCap驱动程序时，在“捕获选项”窗口的适配器列表中显示更准确的显示。

将捕获127.0流量的选项添加到原始套接字捕获方法中(适用于Windows Vista或更高版本)。

增加了“查看上方窗格”选项。

在文件菜单下增加了“捕获活动”复选框(F11)。现在，您可以通过按F11暂时暂停/恢复捕获。

添加了“总是在前面”选项。

增加了对二次排序的支持:现在可以在按住Shift键的同时点击列标题进行二次排序。

请注意，当您单击第二/第三/第四列时，只需按住Shift键。要对第一列进行排序，请不要按住Shift键。

SmartSniff现在允许您在开始捕获时自动将其添加到Windows防火墙的允许程序列表中。

并在捕获停止时将其删除。

当在打开Windows防火墙的情况下使用原始套接字捕获方法时

此选项是必需的，因为如果SmartSniff未添加到Windows防火墙，则根本不会捕获传入的流量。

SmartSniff现在，您可以记住在“从文件加载数据包数据”选项中选择的最后一种文件类型。

修正了在“L列表”显示模式下显示HTTP POST L。

增加了“程序启动时捕获”选项。

在“视图”菜单下添加了标记奇数/偶数行的选项。

启用后，奇数行和偶数行将以不同的颜色显示，从而更容易读取单行。

增加了对GeoLite城市数据库的支持。现在可以下载GeoLite City数据库(GeoLiteCity.dat.gz)。

把它放在smsniff.exe的同一个文件夹里，SmartSniff会自动用它来获取每个IP地址的国家/城市。

增加了“自动调整列大小+标题”选项，使您能够根据行值和列标题自动调整列大小。

增加了“查找”选项(Ctrl+F)，方便在下方窗格中查找文本。

SmartSniff软件特色

增加了“使用域名系统查询和缓存作为主机名”选项。

启用后，SmartSniff会分析捕获的DNS查询，并使用它来显示本地/远程主机名。还使用了Windows的内部DNS缓存。

增加了“持续时间”列，显示了捕获时间和最后一个数据包时间之间的时间差。

更新了内部国家/地区名称列表(增加了14个国家/地区)，以便与IP一起用于国家/地区文件。

增加了“提取HTTP文件”选项(在“文件”菜单下)

此选项允许您轻松地将存储在选定流中的所有HTTP文件提取到选定文件夹。

增加了“重启捕获”选项(Ctrl+R)，会立即停止捕获并重新启动。

增加了可保存在中的总过滤器字符串(捕获过滤器和显示过滤器)的大小。cfg文件。

当“捕获数据包时检索过程”选项打开时，“过程用户”列现在显示指定过程的用户名。

增加了“解压HTTP响应”选项。启用后，gzip压缩的HTTP响应将被自动检测并以解压缩形式显示。

增加了“隐藏下窗格”选项(在“选项”菜单下)

当您在“仅统计”模式下工作并且不需要下部窗格时，此选项非常有用。

在“高级选项”窗口中添加了“仅显示活动连接”。

启用此选项后，SmartSniff将自动隐藏连接已关闭的所有流。

这意味着SmartSniff将只显示连接仍处于打开状态的流。

增加了对的支持。“保存数据包摘要”选项中的csv文件。

添加了选项“向CSV/制表符分隔的文件添加标题行”。

启用此选项后，当导出到csv或制表符分隔的文件时，列名将作为第一行添加。

在“选项”菜单下，添加了“实时模式下自动下移”选项。

增加了/StartCapture和/LoadConfig命令行选项。

在Windows X上添加了用于Micsoft网络监视器Dver 3.x的x版本SmartSniff

SmartSniff安装步骤

1.用户可以点击本网站提供的下载路径下载相应的程序安装包。

2.只需使用解压功能打开压缩包，双击主程序进行安装，弹出程序安装界面。

3.您可以根据自己的需要点击浏览按钮来更改应用程序的安装路径。

4.弹出应用安装进度条加载界面，只需等待加载完成即可。

5.根据提示，点击安装，弹出程序安装完成界面，然后点击完成按钮。

SmartSniff使用说明

要开始使用SmartSniff，只需将可执行文件(smsniff.exe)复制到您喜欢的任何文件夹并运行它(不需要安装)。

运行SmartSniff后，从“文件”菜单中选择“开始采集”，或直接点击工具栏中的绿色播放按钮。如果是第一次使用SmartSniff，系统会要求您选择要使用的捕获方法和网络适配器。如果您的计算机上安装了WinPcap，建议使用此方法捕获数据包。

选择捕获方法和网络适配器后，单击确定按钮开始捕获TCP/IP数据包。当捕获数据包时，尝试浏览一些网站或从电子邮件软件中检索新电子邮件。停止捕获后(通过单击红色停止按钮)，SmartSniff将显示它捕获的所有TCP/IP会话的列表。当您在上窗格中选择特定会话时，下窗格将显示所选客户端会话的TCP/IP流。

如果要保存捕获的包供以后查看，请使用“文件”菜单中的“将包数据保存到文件”选项。

显示方式

SmartSniff提供三种基本模式来显示捕获的数据:自动、Ascii和十六进制转储。在自动模式(默认)下，SmartSniff数据流的前几个字节-如果它包含小于0x20(CR字符(CR、LF和制表符除外)，它将以十六进制模式显示数据。否则，它将以Ascii模式显示。

通过从菜单中选择显示模式或使用F2-F4键，您可以轻松地在显示模式之间切换。请注意，“十六进制转储”模式比“Ascii”模式慢得多。

从1.35版本开始，有了新的模式——“L列表”。此模式仅显示在捕获的数据包中找到的L地址列表(http://& # 8230；)。

导出捕获的数据

SmartSniff让您可以轻松地为其他应用程序导出捕获的数据:

上窗格:您可以在上窗格中选择一个或多个项目，将它们复制到剪贴板(您可以将复制的项目粘贴到Excel或OpenOffice.org的电子表格中)，或者将它们保存到文本/HTML/XML文件中(通过使用保存包摘要)。

下窗格:可以选择TCP/IP流的任意部分(或使用Ctrl+A选择所有文本)，将选择的文本复制到剪贴板，粘贴到记事本、写字板、MS-Word或其他编辑器中。当您将选定的流粘贴到写字板、OpenOffice.org或微软Word中的文档时，颜色也会被传输。

您也可以使用“导出TCP/IP流”选项将TCP/IP流导出到文本文件、HTML文件或原始数据文件。

显示ASCII 127以上的字符

默认情况下，在TCP/IP流中不显示ASCII 127以上的字符。您可以使用显示高于ASCII 127的字符来启用高ASCII字符。使用此选项时，TCP/IP流显示为无色。请注意，在此模式下工作时，下窗格的加载过程可能会非常缓慢。

“知识产权国家”栏目

为了查看本地/远程IP地址的国家，您必须从这里下载最新的IP To Country文件。您已经将文件“iptocondition . CSV”放在smsniff.exe的同一个文件夹中。

您也可以使用GeoLite城市数据库。只需下载二进制/gzip格式的GeoLite City(GeoLite City . dat . gz)，并将其放在smsniff.exe的同一文件夹中。

为了加快加载速度，请从GeoLiteCity.dat中提取geometricity.dat，并将其放在smsniff.exe的同一文件夹中。

捕获和显示过滤器

从1.10版开始，您可以在捕获期间(捕获过滤器)或显示捕获的TCP/IP数据时(显示过滤器)过滤不想要的TCP/IP活动。

对于这两种过滤器类型，可以使用以下语法添加一个或多个过滤器字符串(用空格或CRLF分隔):

[包含|排除]:[本地|远程|双方]: [TCP | UDP | TCP UDP | icmp |全部]: [IP范围|端口范围]

下面的示例演示如何创建筛选器字符串:

仅显示带有远程tcp端口80的数据包(网站):

包括:远程:tcp:80

仅显示带有远程tcp端口80(网站)和udp端口53(域名系统)的数据包:

包括:远程:tcp:80

包括:远程:udp:53

仅显示来自以下IP地址范围的数据包

:192.168.0.1 192.168.0.100:包括:远程:全部:192.168.0.1-192.168.0.100

仅显示使用以下端口范围的TCP和UDP数据包。

:53-139:包括:两者:TCP UDP: 53-139

过滤大多数BitTorrent数据包(端口6881):

排除:两者:TCP UPD: 6881

过滤所有IP数据包(Ping/traceut活动):

排除:两者:icmp

注意:单个筛选字符串不能包含空格！

现场模式

从1.10版本开始，在高级选项部分-实时模式中增加了一个新选项。

当SmartSniff以实时模式捕获数据包时，TCP/IP会话列表将在捕获数据包时更新，而不是仅在捕获完成后更新。

请注意，实时模式比非实时模式需要更多的CPU资源。

因此，如果您的计算机运行缓慢或网络流量高，建议关闭此选项。

从1.20版本开始，您还可以在捕获数据包时查看每个TCP/IP会话的内容(在下面的窗格中)。

但是，如果TCP/IP会话太大，在捕获停止之前，您将无法观看整个TCP/IP会话。

查看流程

从1.30版本开始，您可以查看捕获的TCP数据包的进程(PcessID和进程文件名)。

但是，该功能有一些限制和问题:

仅显示TCP数据包的过程(不适用于UDP)

对于短时间后关闭的TCP连接，可能不会显示该过程。

检索过程将消耗更多的CPU资源，并可能降低计算机速度。如果您的网络流量很大，不建议使用此功能。

流程当前未保存在ssp文件中。

要激活此功能，请转到高级选项对话框，选中“捕获数据包时检索进程”选项，然后单击确定按钮。

将添加两个新列:PcessID和Pcess文件名。开始捕获，将显示捕获的TCP会话的过程。

。ssp文件(SmartSniff数据包文件)

SmartSniff保存的结构。ssp文件非常简单。它在文件的开头包含一个主标题。

是所有TCP/IP数据包的序列，每个数据包都以一个小报头开始。

主要集管结构:

00-SNF200签名。

08-(2字节)报头中的字节数(当前IP地址为4字节)

0A-(4字节)IP地址

每个数据

数据包报头:00(2字节)数据包报头大小(当前为0x18字节)

02(4字节)数据包中接收的字节数。

Windows FILETIME格式的06(8字节)数据包时间。

0E(6字节)源媒体访问控制地址。

14(6字节)目的媒体访问控制地址。

剩余的1A字节是TCP/IP数据包本身。