SmartSniff v2.29 - 在您的网络适配器上捕获 TCP/IP 数据包

描述

SmartSniff 是一个网络监控实用程序，它允许您捕获通过网络适配器的 TCP/IP 数据包，并将捕获的数据视为客户端和服务器之间的对话序列。您可以在 Ascii 模式下查看 TCP/IP 对话（对于基于文本的协议，如 HTTP、SMTP、POP3 和 FTP。）或十六进制转储。（对于非文本基础协议，如 DNS）

SmartSniff 提供了 3 种捕获 TCP/IP 数据包的方法：

原始套接字（仅适用于 Windows 2000/XP 或更高版本）：允许您在网络上捕获 TCP/IP 数据包，而无需安装捕获驱动程序。这种方法有一些局限性和问题。

WinPcap Capture Driver：允许您在所有 Windows 操作系统上捕获 TCP/IP 数据包。(Windows 98/ME/NT/2000/XP/2003/Vista) 为了使用它，您必须从 这个网站下载并安装 WinPcap Capture Driver 。（WinPcap 是一个免费的开源捕获驱动程序。）

这种方法通常是使用 SmartSniff 捕获 TCP/IP 数据包的首选方法，它比原始套接字方法效果更好。

Microsoft Network Monitor Driver (Only for Windows 2000/XP/2003)：微软在Windows 2000/XP/2003下提供了SmartSniff可以使用的免费捕获驱动，但是这个驱动默认没有安装，需要手动安装它，通过使用以下选项之一：

方法一：按照微软网站的说明从Windows 2000/XP的CD-ROM安装

选项 2（仅限 XP）：下载并安装Windows XP Service Pack 2 支持工具。此软件包中的工具之一是 netcap.exe。当您第一次运行此工具时，网络监视器驱动程序将自动安装在您的系统上。

Microsoft 网络监视器驱动程序 3：Microsoft 提供了新版本的 Microsoft 网络监视器驱动程序 (3.x)，Windows 7/Vista/2008 也支持该驱动程序。从版本 1.60 开始，SmartSniff 可以使用此驱动程序来捕获网络流量。 可以从Microsoft 网站

下载新版本的 Microsoft Network Monitor (3.x) 。

注意： 如果您的系统上安装了 WinPcap，并且您想使用 Microsoft Network Monitor Driver 方法，建议使用 /NoCapDriver 运行 SmartSniff，因为 Microsoft Network Monitor Driver 在加载 WinPcap 时也可能无法正常工作。

使用 SmartSniff

为了开始使用 SmartSniff，只需将可执行文件 (smsniff.exe) 复制到您喜欢的任何文件夹，然后运行它（不需要安装）。

运行 SmartSniff 后，从“文件”菜单中选择“开始捕获”，或者只需单击工具栏中的绿色播放按钮。如果这是您第一次使用 SmartSniff，系统会要求您选择捕获方法和要使用的网络适配器。如果您的计算机上安装了 WinPcap，建议使用此方法捕获数据包。

选择捕获方法和网络适配器后，单击“确定”按钮开始捕获 TCP/IP 数据包。在捕获数据包时，尝试浏览一些网站，或从您的电子邮件软件中检索新电子邮件。停止捕获后（通过单击红色停止按钮）SmartSniff 显示它捕获的所有 TCP/IP 对话的列表。当您在上部窗格中选择特定对话时，下部窗格将显示所选客户端-服务器对话的 TCP/IP 流。

如果您想保存捕获的数据包以供以后查看，请使用“文件”菜单中的“将数据包数据保存到文件”选项。

显示模式

SmartSniff 提供 3 种基本模式来显示捕获的数据：自动、Ascii 和 Hex Dump。在自动模式（默认）下，SmartSniff 检查数据流的第一个字节 - 如果它包含低于 0x20 的字符（不包括 CR、LF 和制表符），它将以十六进制模式显示数据。否则，它将以 Ascii 模式显示。

您可以通过从菜单中选择它们或使用 F2 - F4 键轻松地在显示模式之间切换。请注意，“Hex Dump”模式比 Ascii 模式慢得多。

从版本 1.35 开始，有一个新的模式 - 'URL 列表'。此模式仅显示在捕获的数据包中找到的 URL 地址列表 (http://...)。

导出捕获的数据

SmartSniff 允许您轻松导出捕获的数据，以便在其他应用程序中使用它：

上窗格：您可以在上窗格中选择一个或多个项目，然后将它们复制到剪贴板（您可以将复制的项目粘贴到 Excel 或 OpenOffice.org 的电子表格中）或保存到文本/HTML/XML 文件（通过使用“保存数据包摘要”）。

下部窗格：您可以选择 TCP/IP 流的任何部分（或使用 Ctrl+A 选择所有文本），将所选文本复制到剪贴板，然后将其粘贴到记事本、写字板、MS-Word 或任何其他编辑。当您将选定的流粘贴到 Wordpad、OpenOffice.org 或 MS-Word 的文档时，颜色也会被转移。

您还可以使用“导出 TCP/IP 流”选项将 TCP/IP 流导出到文本文件、HTML 文件或原始数据文件。

显示 ASCII 127 以上的字符

默认情况下，ASCII 127 以上的字符不会显示在 TCP/IP 流中。您可以使用“显示 ASCII 127 以上的字符”来启用高位 ASCII 字符。使用此选项时，TCP/IP 流将不带颜色显示。请注意，在此模式下工作时，下部窗格的加载过程可能会非常缓慢。

“IP 国家/地区”列

要查看本地/远程 IP 地址的国家/地区，您必须从 此处下载最新的 IP To Country 文件。您已将“IpToCountry.csv”文件放在 smsniff.exe 的同一文件夹中

您还可以使用GeoLite City 数据库。只需以二进制/gzip (GeoLiteCity.dat.gz) 格式下载 GeoLite City 并将其放在 smsniff.exe 的同一文件夹

中它在 smsniff.exe 的同一个文件夹中

捕获和显示过滤器

从版本 1.10 开始，您可以在捕获过程（捕获过滤器）或显示捕获的 TCP/IP 数据时（显示过滤器）过滤不需要的 TCP/IP 活动。

对于这两种过滤器类型，您可以使用以下语法添加一个或多个过滤器字符串（由空格或 CRLF 分隔）：

[ include | 排除] : [本地 | 远程 | 两者] : [ tcp | UDP | tcpudp | icmp | 全部] : [ IP 范围 | 端口范围]

下面是一些演示如何创建过滤器字符串的示例：

仅显示具有远程 tcp 端口 80 的数据包（网站）：

include:remote:tcp:80

仅显示具有远程 tcp 端口 80（网站）和 udp 端口 53（DNS）的数据包：

include:remote:tcp:80

include:remote:udp:53

仅显示来自以下 IP 地址范围的数据包：192.168.0.1 192.168.0.100:

include:remote:all:192.168.0.1-192.168.0.100

仅显示使用以下端口范围的 TCP 和 UDP 数据包：53 - 139：

include:both:tcpudp:53-139

过滤大多数 BitTorrent 数据包（端口 6881）：

exclude:both:tcpupd:6881

过滤所有 ICMP 数据包（Ping/Traceroute 活动）：

exclude:both:icmp

注意： 单个过滤器字符串不能包含空格！

直播模式

从 1.10 版开始，“高级选项”部分添加了一个新选项 - “实时模式”。SmartSniff 在实时模式下捕获数据包时，会在捕获数据包时更新 TCP/IP 对话列表，而不是仅在捕获完成后才更新它。请注意，“实时模式”比非实时模式需要更多的 CPU 资源。因此，如果您的计算机速度很慢，或者您的网络流量很大，建议关闭此选项。

从版本 1.20 开始，您还可以在捕获数据包时查看每个 TCP/IP 对话的内容（在下部窗格中）。但是，如果 TCP/IP 会话太大，您将无法观看整个 TCP/IP 会话，直到捕获停止。

查看进程信息

从 1.30 版本开始，您可以查看捕获的 TCP 数据包的进程信息（进程 ID 和进程文件名）。但是，此功能有一些限制和问题：

仅显示 TCP 数据包的进程信息（不适用于 UDP）

短时间内关闭的 TCP 连接可能不会显示进程信息。

检索进程信息会消耗更多 CPU 资源，并且可能会降低您的计算机速度。如果您有密集的网络流量，不建议使用此功能。

进程信息当前未保存在 ssp 文件中。

要激活此功能，请转到“高级选项”对话框，选中“在捕获数据包时检索进程信息”选项，然后单击“确定”按钮。将添加 2 个新列：ProcessID 和 Process Filename。开始捕获，将显示捕获的 TCP 会话的进程信息。

.ssp 文件的结构（SmartSniff Packets File）

SmartSniff 保存的.ssp 文件的结构非常简单。它在文件的开头包含一个主标头，然后是所有 TCP/IP 数据包的序列，每个数据包都以一个小标头开头。

主要头结构：

00 - SMSNF200 签名。

08 - （2 字节）标头中的字节数（IP 地址当前为 4 字节）

0A - （4 字节）IP 地址

每个数据包的标头：

00（2 字节）数据包标头大小（当前为 0x18 字节）

02（4 字节）数据包中接收到的字节数。

06（8 字节）Windows FILETIME 格式的数据包时间。

0E（6 字节）源 Mac 地址。

14（6 字节）目标。MAC地址。

1A 其余字节是 TCP/IP 数据包本身。

翻译成其他语言

SmartSniff 允许您轻松地将所有对话框、菜单和字符串翻译成其他语言。

为此，请按照以下说明进行操作：

使用 /savelangfile 参数运行 SmartSniff：

smsniff.exe /savelangfile

在 SmartSniff 实用程序的文件夹中将创建一个名为 smsniff_lng.ini 的文件。

在记事本或任何其他文本编辑器中打开创建的语言文件。

将所有菜单、对话框和字符串条目翻译成所需的语言。

完成翻译后，运行 SmartSniff，所有翻译后的字符串将从语言文件中加载。

如果您想在没有翻译的情况下运行 SmartSniff，只需重命名语言文件，或将其移动到另一个文件夹。

命令行选项

/开始捕捉                                  立即开始抓包。

/LoadConfig <.cfg 文件名> 使用指定的配置文件启动 SmartSniff。

/NoCapDriver                         在不加载WinPcap Capture Driver 的情况下启动 SmartSniff 。

/NoLoadSettings                 启动 SmartSniff 而不加载您的最后设置。

    下载地址：下载 SmartSniff（在 ZIP 文件中）  

                     下载自安装可执行文件以安装 SmartSniff 并支持卸载

                     下载 SmartSniff 64 位（在 ZIP 文件中）

    汉化文件：简体中文