一、捕獲數據包前的准備工作
在默認情況下,sniffer將捕獲其接入碰撞域中流經的所有數據包,但在某些場景下,有些數據包可能不是我們所需要的,為了快速定位網絡問題所在,有必要對所要捕獲的數據包作過濾。Sniffer提供了捕獲數據包前的過濾規則的定義,過濾規則包括2、3層地址的定義和幾百種協議的定義。定義過濾規則的做法一般如下:
1、在主界面選擇captureàdefinefilter選項。
2、definefilteràaddress,這是最常用的定義。其中包括MAC地址、ip地址和ipx地址的定義。以定義IP地址過濾為例,見圖1。
下面列出了Sniffer軟件的一些功能介紹,其功能的詳細介紹可以參考Sniffer的在線幫助。
捕獲網絡流量進行詳細分析
利用專家分析系統診斷問題
實時監控網絡活動
收集網絡利用率和錯誤等
在進行流量捕獲之前首先選擇網絡適配器,確定從計算機的哪個網絡適配器上接收數據。位置:File->select settings
選擇網絡適配器后才能正常工作。該軟件安裝在Windows 98操作系統上,Sniffer可以選擇撥號適配器對窄帶撥號進行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網卡。對於安裝在Windows 2000/XP上則無上述功能,這和操作系統有關。 本文將對報文的捕獲幾網絡性能監視等功能進行詳細的介紹。下圖為在軟件中快捷鍵的位置。
第二章 報文捕獲解析
報文捕獲解析
1.1 捕獲面板
報文捕獲功能可以在報文捕獲面板中進行完成,如下是捕獲面板的功能圖:圖中顯示的是處於開始狀態的面板
1.2 捕獲過程報文統計
在捕獲過程中可以通過查看下面面板查看捕獲報文的數量和緩沖區的利用率。
1.3 捕獲報文查看
Sniffer軟件提供了強大的分析能力和解碼功能。如下圖所示,對於捕獲的報文提供了一個Expert專家分析系統進行分析,還有解碼選項及圖形和表格的統計信息。
專家分析
專家分分析系統提供了一個只能的分析平台,對網絡上的流量進行了一些分析對於分析出的診斷結果可以查看在線幫助獲得。
在下圖中顯示出在網絡中WINS查詢失敗的次數及TCP重傳的次數統計等內容,可以方便了解網絡中高層協議出現故障的可能點。
對於某項統計分析可以通過用鼠標雙擊此條記錄可以查看詳細統計信息且對於每一項都可以通過查看幫助來了解起產生的原因。
解碼分析
下圖是對捕獲報文進行解碼的顯示,通常分為三部分,目前大部分此類軟件結構都采用這種結構顯示。對於解碼主要要求分析人員對協議比較熟悉,這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情,要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內容太多,這里不對協議進行過多講解,請參閱其他相關資料。
對於MAC地址,Snffier軟件進行了頭部的替換,如00e0fc開頭的就替換成Huawei,這樣有利於了解網絡上各種相關設備的制造廠商信息。
功能是按照過濾器設置的過濾規則進行數據的捕獲或顯示。在菜單上的位置分別為 Capture->Define Filter和Display->Define Filter。
過濾器可以根據物理地址或IP地址和協議選擇進行組合篩選。
統計分析
對於Matrix,Host Table,Portocol Dist. Statistics等提供了豐富的按照地址,協議等內容做了豐富的組合統計,比較簡單,可以通過操作很快掌握這里就不再詳細介紹了。
1.4 設置捕獲條件
基本捕獲條件
基本的捕獲條件有兩種:
1、鏈路層捕獲,按源MAC和目的MAC地址進行捕獲,輸入方式為十六進制連續輸入,如:00E0FC123456。
2、IP層捕獲,按源IP和目的IP進行捕獲。輸入方式為點間隔方式,如:10.107.1.1。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。
高級捕獲條件
在“Advance”頁面下,你可以編輯你的協議捕獲條件,如圖:
高級捕獲條件編輯圖
在協議選擇樹中你可以選擇你需要捕獲的協議條件,如果什么都不選,則表示忽略該條件,捕獲所有協議。
在捕獲幀長度條件下,你可以捕獲,等於、小於、大於某個值的報文。
在錯誤幀是否捕獲欄,你可以選擇當網絡上有如下錯誤時是否捕獲。
在保存過濾規則條件按鈕“Profiles”,你可以將你當前設置的過濾規則,進行保存,在捕獲主面板中,你可以選擇你保存的捕獲條件。
任意捕獲條件
在Data Pattern下,你可以編輯任意捕獲條件,如下圖:
用這種方法可以實現復雜的報文過濾,但很多時候是得不償失,有時截獲的報文本就不多,還不如自己看看來得快。
