(1)将Sniffer安装在本机Windows 2000/XP上
安全界面如图7-2所示。
图7-2 安装界面
(2)安装完成
安装完成界面如图7-3所示。
图7-3 安装完成
(3)启动Sniffer Pro软件
启动的时候需要选择相应的网卡(Adapter),如图7-4所示,选好后即可启动软件。
图7-4 选择网卡
如图7-5所示是进入系统后的主机面。
图7-5 主界面
工具栏如图7-6所示。
图7-6 工具栏
(4)捕获面板
报文捕获功能可以在报文捕获面板中进行完成。如图7-7所示是捕获面板的功能图,图中显示的是处于开始状态的面板。
图7-7 捕获面板功能
(5)捕获过程报文统计
在捕获过程中可以通过查看面板,查看捕获报文的数量和缓冲区的利用率。如图7-8所示。
图7-8 报文统计
(6)捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如图7-9所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
图7-9 报文查看
专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析,对于分析出的诊断结果可以查看在线帮助获得。
在图7-10中,显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录查看详细统计信息,且对于每一项都可以通过查看帮助来了解其产生的原因。
(7)解码分析
如图7-11所示是对捕获报文进行解码的显示,通常分为3部分。目前大部分此类软件结构都采用这种结构显示。
对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
图7-10 统计内容
图7-11 报文解码
(8)设置捕获条件
基本的捕获条件有两种,如图7-12所示。
(www.xing528.com)
图7-12 基本捕获条件
1)链路层捕获,按源MAC和目的MAC地址进行捕获。输入方式为十六进制连续输入,如:00E0FC123456。
2)IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。
高级捕获条件:在“Advanced”页面下,可以编辑用户的协议捕获条件,如图7-13所示。
图7-13 高级捕获条件
(9)网络监视功能
网络监视功能能够时刻监视网络统计,网络上资源的利用率,并能够监视网络流量的异常状况,这里只介绍一下Dashboard和ART,其他功能可以参看在线帮助,或直接使用即可,比较简单。
1)Dashboard可以监控网络的利用率,流量及错误报文等内容。通过应用软件可以清楚地看到此功能,如图7-14所示。
图7-14 Dashboard界面
2)Application Response Time(ART)是可以监视TCP/UDP应用层程序在客户端和服务器响应时间,如HTTP,FTP,DNS等应用。如图7-15所示。
图7-15 ART界面
(10)报文解码举例
以IP报文为例,IP报文结构为IP协议头加载荷,其中对IP协议头部的分析,是分析IP报文的主要内容之一。这里给出了IP协议头部的一个结构。
版本:4——IP v4。
首部长度:单位为4 B,最大60 B。
TOS:IP优先级字段。
总长度:单位为B,最大65535 B。
标识:IP报文标识字段。
标志:占3 bit,只用到低位的2 bit。
MF(More Fragment)
MF=1,后面还有分片的数据包
MF=0,分片数据包的最后一个
DF(Don't Fragment)
DF=1,不允许分片
DF=0,允许分片
段偏移:分片后的分组在原分组中的相对位置,总共13 bit,单位为8 B。
寿命(Time To Live,TTL):丢弃TTL=0的报文。
协议:说明携带的是何种协议报文。
1:ICMP
6:TCP
17:UDP
89:OSPF
头部检验和:对IP协议首部的校验和。
源IP地址:IP报文的源地址。
目的IP地址:IP报文的目的地址。
图7-16为Sniffer对IP协议首部的解码分析结构,和IP首部各个字段相对应,并给出了各个字段值所表示含义的英文解释。图7-16中,报文协议(Protocol)字段的编码为0x11,通过Sniffer解码分析转换为十进制的17,代表UDP协议。其他字段的解码含义可以与此类似,只要对协议理解得比较清楚,对解码内容的理解就会变得很容易。
图7-16 IP报文解码
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
