Sniffer中文使用教程经典Word下载.docx

1、下面列出了Sniffer软件的一些功能介绍其功能的详细介绍可以参考Sniffer的在线帮助。捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 在进行流量捕获之前首先选择网络适配器确定从计算机的哪个网络适配器上接收数据。位置:File-select settings 1-1 选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。对于安装在Windows 2000/XP上则无上述功能这和操作系统有关。本文

2、将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。1-2 报文捕获解析 第2章 报文捕获解析 2.1 捕获面板 报文捕获功能可以在报文捕获面板中进行完成如下是捕获面板的功能图:图中显示的是处于开始状态的面板 捕获条件捕获条件选择捕获选择捕获编辑编辑条件条件捕获开始捕获开始捕获暂停捕获暂停捕获停止捕获停止捕获停止捕获停止捕获查看捕获查看并查看并查看2.2 捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。捕获报文数捕获报文数捕获报文的数捕获报文的数据缓冲大小据缓冲大小详细统计信详细统计信息息 2-1 2.3 捕获报文查看 Sniff

3、er软件提供了强大的分析能力和解码功能。如下图所示对于捕获的报文提供了一个Expert专家分析系统进行分析还有解码选项及图形和表格的统计信息。专家分析专家分析系统系统专家分析专家分析捕获报文的捕获报文的捕获报文的其他捕获报文的其他系统系统图形分析图形分析统计信息统计信息专家分析 专家分分析系统提供了一个只能的分析平台对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了

4、解起产生的原因。双击此记录可以双击此记录可以查看详细信息查看详细信息2-2 解码分析 下图是对捕获报文进行解码的显示通常分为三部分目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉这样才能看懂解析出来的报文。使用该软件是很简单的事情要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多这里不对协议进行过多讲解请参阅其他相关资料。对于MAC地址Snffier软件进行了头部的替换如00e0fc开头的就替换成Huawei这样有利于了解网络上各种相关设备的制造厂商信息。捕获的捕获的报文报文报文解报文解码码二

5、进制二进制内容内容功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture-Define Filter和Display-Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。统计分析 对于MatrixHost TablePortocol Dist. Statistics等提供了丰富的按照地址协议等内容做了丰富的组合统计比较简单可以通过操作很快掌握这里就不再详细介绍了。 2.4 设置捕获条件 基本捕获条件 基本的捕获条件有两种:1、链路层捕获按源MAC和目的MAC地址进行捕获输入方式为十六进制连续输入如:00E0FC123456。2-

6、3 2、IP层捕获按源IP和目的IP进行捕获。输入方式为点间隔方式如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。任意捕任意捕缓冲区缓冲区协议捕协议捕编辑编辑获条件获条件获编辑获编辑编辑编辑基本捕获条件基本捕获条件链路层捕获链路层捕获IPIP层捕获层捕获链路层捕获链路层捕获数据流数据流地址条件地址条件方向方向高级捕获条件 在“Advance”页面下你可以编辑你的协议捕获条件如图:选择要捕选择要捕获的协议获的协议错误帧是错误帧是否捕获否捕获捕获帧长捕获帧长度条件度条件保存过滤保存过滤规则条件规则条件高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件如果什么

7、都不选则表示忽略该条件捕获所有协议。在捕获帧长度条件下你可以捕获等于、小于、大于某个值的报文。2-4 在错误帧是否捕获栏你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles”你可以将你当前设置的过滤规则进行保存在捕获主面板中你可以选择你保存的捕获条件。任意捕获条件 在Data Pattern下你可以编辑任意捕获条件如下图:添加关系添加关系模板间关模板间关节点节点添加排除添加排除系控制系控制模板编辑模板编辑增加模板增加模板用这种方法可以实现复杂的报文过滤但很多时候是得不偿失有时截获的报文本就不多还不如自己看看来得快。2-5 报文放送 第3章 报文放送 3.1 编辑报

8、文发送 Sniffer软件报文发送功能就比较弱如下是发送的主面板图:发送报发送报文编辑文编辑发送前你需要先编辑报文发送的内容。点击发送报文编辑按钮。可得到如下的报文编辑窗口:发送间隔发送间隔指定报文指定报文长度长度发送模式发送模式发送内容发送内容首先要指定数据帧发送的长度然后从链路层开始一个一个将报文填充完成如果是NetXray支持可以解析的协议从“Decode”页面中可看见解析后的直观表示。3-1 3.2 捕获编辑报文发送 将捕获到的报文直接转换成发送报文然后修修改改可也。如下是一个捕获报文后的报文查看窗口:选中某个捕获的报文用鼠标右键激活菜单选择“Send Current Packet”这

9、时你就会发现该报文的内容已经被原封不动的送到“发送编辑窗口”中了。这时你在修修改改就比你全部填充报文省事多了。发送模式有两种:连续发送和定量发送。可以设置发送间隔如果为0则以最快的速度进行发送。3-2 网络监视功能 第4章 网络监视功能 网络监视功能能够时刻监视网络统计网络上资源的利用率并能够监视网络流量的异常状况这里只介绍一下Dashbord和ART其他功能可以参看在线帮助或直接使用即可比较简单。4.1 Dashbord Dashbord可以监控网络的利用率流量及错误报文等内容。通过应用软件可以清楚看到此功能。统计平均数据统计平均数据或总和或总和连续的统计图连续的统计图为统计图选择为统计图选

10、择统计指标统计指标4.2 Application Response Time （ART） Application Response Time （ART） 是可以监视TCP/UDP应用层程序在客户端和服务器响应时间如HTTP,FTP,DNS等应用。对与TCP/UDP响应时间的计算方法如下 TCP For each socket, ART stores the sequence numbers for packets sent by the client and waits for the corresponding ACK packets from the server. It then mea

11、sures the time 4-1 difference between the packet with the stored sequence number and the packet with the ACK to arrive at the response time. UDP For each socket, ART measures the time between packets going from a client to a server and the next packet going from the server to the client. 此三个按钮可以此三个按

12、钮可以选择按图形或表选择按图形或表监控参数监控参数格方式显示格方式显示属性按钮主要设属性按钮主要设置监控参数如要置监控参数如要监控哪种应用等监控哪种应用等监控的监控的应用应用4-2 数据报文解码详解 第5章 数据报文解码详解 本章主要对:数据报文分层、以太报文结构、IP协议、ARP协议、PPPOE协议、Radius协议等的解码分析做了简单的描述目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和Sniffer捕获的报文对比分析。5.1 数据报文分层 如下图所示对于四层网络结构其不同层次完成不通功能。每一层次有众多协议组成。Tel

13、net FTPTelnet FTP和和e-maile-mail等等应用层应用层TCP TCP 和和UDPUDP传输层传输层IP ICMP IGMPIP ICMP IGMP网络层网络层设备驱动程序及接口卡设备驱动程序及接口卡链路层链路层如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”,网络层对应“IP”,传输层对应“UDP”,应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。5.2 以太报文结构 EthernetII以太网帧结构 Ethernet_IIEthernet_IIDMAC

14、DMACSMACSMACTypeTypeDATA/PADDATA/PADFCSFCS5-1 Ethernet_II以太网帧类型报文结构为:目的MAC地址,6bytes,，源MAC地址，,6bytes,上层协议类型,2bytes,，数据字段,46-1500bytes），校验,4bytes,。SnifferSniffer自动自动添加时间戳添加时间戳目的目的MACMAC地址地址源源MACMAC地地上层协议上层协议址址类型类型Sniffer会在捕获报文的时候自动记录捕获的时间在解码显示时显示出来在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来方便定位问题

15、例如网络上2台设备IP地址设置冲突可以通过解码翻译出厂商信息方便的将故障设备找到如00e0fc为华为010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议0x806为ARP协议。IEEE802.3以太网报文结构 DSAPDSAPSSAPSSAPControlControl8bit8bit8/16bit8bit8bit8/16bitLLCLLC子层子层DMACDMACSMACSMACLengthLengthLLCLLCDATA/FC

16、SDATA/FCSIEEE802.3IEEE802.3帧结构帧结构MACMAC子层子层5-2 上图为IEEE802.3SNAP帧结构与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。5.3 IP协议 IP报文结构为IP协议头，载荷其中对IP协议头部的分析时分析IP报文的主要内容之一关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。版本:4IPv4 首部长度:单位为4字节最大60字节 IP优先级字段 TOS:总长度:单位字节最大65535字节 标识:IP报文标识字段 标志:占3比特只用到低位的两个比特 MF,More F

17、ragment, MF=1后面还有分片的数据包 MF=0分片数据包的最后一个 DF,Dont Fragment, DF=1不允许分片 DF=0允许分片 段偏移:分片后的分组在原分组中的相对位置总共13比特单位为8字节 寿命:TTL,Time To Live,丢弃TTL=0的报文 协议:携带的是何种协议报文 1 :ICMP 6 :TCP 17:UDP 89:OSPF 头部检验和:对IP协议首部的校验和 源IP地址:IP报文的源地址 目的IP地址:IP报文的目的地址 5-3 上图为Sniffer对IP协议首部的解码分析结构和IP首部各个字段相对应并给出了各个字段值所表示含义的英文解释。如上图报文协

18、议,Protocol,字段的编码为0x11通过Sniffer解码分析转换为十进制的17代表UDP协议。其他字段的解码含义可以与此类似只要对协议理解的比较清楚对解码内容的理解将会变的很容易。5.4 ARP协议 以下为ARP报文结构 ARP分组具有如下的一些字段:5-4 HTYPE,硬件类型,。这是一个16比特字段用来定义运行ARP的网络的类型。每一个局域网基于其类型被指派给一个整数。例如以太网是类型1。ARP可使用在任何网络上。PTYPE,协议类型,。这是一个16比特字段用来定义协议的类型。例如对IPv4协议这个字段的值是0800。ARP可用于任何高层协议。HLEN,硬件长度,。这是一个8比特字

19、段用来定义以字节为单位的物理地址的长度。例如对以太网这个值是6。PLEN,协议长度,。这是一个8比特字段用来定义以字节为单位的逻辑地址的长度。例如对IPv4协议这个值是4。OPER,操作,。这是一个16比特字段用来定义分组的类型。已定义了两种类型:ARP请求,1,ARP回答,2,。SHA,发送站硬件地址,。这是一个可变长度字段用来定义发送站的物理地址的长度。例如对以太网这个字段是6字节长。SPA,发送站协议地址,。这是一个可变长度字段用来定义发送站的逻辑,例如IP,地址的长度。对于IP协议这个字段是4字节长。THA,目标硬件地址,。这是一个可变长度字段用来定义目标的物理地址的长度。对于ARP请

20、求报文这个字段是全0因为发送站不知道目标的物理地址。TPA,目标协议地址,。这是一个可变长度字段用来定义目标的逻辑地址,例如IP地址,的长度。对于IPv4协议这个字段是4字节长。5-5 上面为通过Sniffer解码的ARP请求和应答报文的结构。5.5 PPPOE协议 PPPOE简介 简单来说我们可能把PPPOE报文分成两大块一大块是PPPOE的数据报头另一块则是PPPOE的净载荷,数据域,对于PPPOE报文数据域中的内容会随着会话过程的进行而不断改变。下图为PPPOE的报文的格式:, 数据报文最开始的4位为版本域协议中给出了明确的规定这个域的内容填充0x01。, 紧接在版本域后的4位是类型域协议中同样规定这个域的内容填充为0x01。, 代码域占用1个字节