|
一�、捕獲數(shù)據(jù)包前的準(zhǔn)備工作
在默認(rèn)情況下,sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包�����,但在某些場(chǎng)景下�����,有些數(shù)據(jù)包可能不是我們所需要的�,為了快速定位網(wǎng)絡(luò)問題
所在,有必要對(duì)所要捕獲的數(shù)據(jù)包作過(guò)濾�。Sniffer提供了捕獲數(shù)據(jù)包前的過(guò)濾規(guī)則的定義,過(guò)濾規(guī)則包括2��、3層地址的定義和幾百種協(xié)議的定義�。定義過(guò)
濾規(guī)則的做法一般如下:
1、在主界面選擇captureàdefinefilter選項(xiàng)��。
2��、definefilteràaddress��,這是最常用的定義�。其中包括MAC地址、ip地址和ipx地址的定義�����。以定義IP地址過(guò)濾為例�����,見圖1。
圖1
比如�,現(xiàn)在要捕獲地址為10.1.30.100的主機(jī)與其他主機(jī)通信的信息,在Mode選項(xiàng)卡中��,選Include(選Exclude選項(xiàng)�����,是表示捕獲除此地址外所有的數(shù)據(jù)包);在station選項(xiàng)中�,在任意一欄填上10.1.30.100,另外一欄填上any(any表示所有的IP地址)。這樣就完成了地址的定義�。
注意到Dir.欄的圖標(biāo):
表示,捕獲station1收發(fā)的數(shù)據(jù)包;
表示�,捕獲station1發(fā)送的數(shù)據(jù)包;
表示,捕獲station1收到的數(shù)據(jù)包�����。
最后��,選取
�����,將定義的規(guī)則保存下來(lái)�����,供以后使用。
3�、definefilteràadvanced��,定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包�。如圖2。
圖2
比如�,想捕獲FTP、NETBIOS��、DNS�、HTTP的數(shù)據(jù)包,那么說(shuō)首先打開TCP選項(xiàng)卡�,再進(jìn)一步選協(xié)議;還要明確DNS、NETBIOS的數(shù)據(jù)包有些是屬于UDP協(xié)議�,故需在UDP選項(xiàng)卡做類似TCP選項(xiàng)卡的工作,否則捕獲的數(shù)據(jù)包將不全��。
如果不選任何協(xié)議��,則捕獲所有協(xié)議的數(shù)據(jù)包��。
PacketSize選項(xiàng)中��,可以定義捕獲的包大小,圖3��,是定義捕獲包大小界于64至128bytes的數(shù)據(jù)包�����。
圖3
4��、definefilteràbuffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)�。如圖4:
圖4
Buffersize選項(xiàng)卡,將其設(shè)為最大40M��。
Capturebuffer選項(xiàng)卡�����,將設(shè)置緩沖區(qū)文件存放的位置�����。
5��、最后��,需將定義的過(guò)濾規(guī)則應(yīng)用于捕獲中。如圖5:
圖5
點(diǎn)選SelectFilteràCapture中選取定義的捕獲規(guī)則�����。
二��、捕獲數(shù)據(jù)包時(shí)觀察到的信息
CaptureàStart,啟動(dòng)捕獲引擎��。
sniffer可以實(shí)時(shí)監(jiān)控主機(jī)�、協(xié)議�����、應(yīng)用程序�、不同包類型等的分布情況。如圖6:
圖6
Dashboard:可以實(shí)時(shí)統(tǒng)計(jì)每秒鐘接收到的包的數(shù)量�����、出錯(cuò)包的數(shù)量�、丟棄包的數(shù)量、廣播包的數(shù)量��、多播包的數(shù)量以及帶寬的利用率等��。
HostTable:可以查看通信量最大的前10位主機(jī)�����。
Matrix:通過(guò)連線,可以形象的看到不同主機(jī)之間的通信�����。
ApplicationResponseTime:可以了解到不同主機(jī)通信的最小�����、最大��、平均響應(yīng)時(shí)間方面的信息�。
HistorySamples:可以看到歷史數(shù)據(jù)抽樣出來(lái)的統(tǒng)計(jì)值。
Protocoldistribution:可以實(shí)時(shí)觀察到數(shù)據(jù)流中不同協(xié)議的分布情況�。
Switch:可以獲取cisco交換機(jī)的狀態(tài)信息。
在捕獲過(guò)程中�,同樣可以對(duì)想觀察的信息定義過(guò)濾規(guī)則,操作方式類似捕獲前的過(guò)濾規(guī)則�。
三、捕獲數(shù)據(jù)包后的分析工作
要停止sniffer捕獲包時(shí)�,點(diǎn)選CaptureàStop或者CaptureàStopandDisplay,前者停止捕獲包,后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示�。如圖7:
圖7
Decode:對(duì)每個(gè)數(shù)據(jù)包進(jìn)行解碼,可以看到整個(gè)包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息,事實(shí)上�����,sniffer的使用中大部分的時(shí)間都花費(fèi)在這上面的分析�����,同時(shí)也對(duì)使用者在網(wǎng)絡(luò)的理論及實(shí)踐經(jīng)驗(yàn)上提出較高的要求�。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問題的結(jié)癥所在。
Expert:這是sniffer提供的專家模式�����,系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類并作出診斷��。其中diagnoses提出非常有價(jià)值的診斷信息�。圖8�,是sniffer偵查到IP地址重疊的例子及相關(guān)的解析。
圖8
sniffer同樣提供解碼后的數(shù)據(jù)包過(guò)濾顯示��。
要對(duì)包進(jìn)行顯示過(guò)濾需切換到Decode模式�。
Displayàdefinefilter,定義過(guò)濾規(guī)則�����。
Displayàselectfilter,應(yīng)用過(guò)濾規(guī)則。
顯示過(guò)濾的使用基本上跟捕獲過(guò)濾的使用相同��。
四�����、sniffer提供的工具應(yīng)用
sniffer除了提供數(shù)據(jù)包的捕獲�、解碼及診斷外,還提供了一系列的工具�,包括包發(fā)生器、ping�����、traceroute�����、DNSlookup��、finger�����、whois等工具。
其中�����,包發(fā)生器比較有特色�,將做簡(jiǎn)單介紹。其他工具在操作系統(tǒng)中也有提供�����,不做介紹�。
包發(fā)生器提供三種生成數(shù)據(jù)包的方式:
點(diǎn)選
,新構(gòu)一個(gè)數(shù)據(jù)包��,包頭��、包內(nèi)容及包長(zhǎng)由用戶直接填寫�。圖9,定義一個(gè)廣播包�����,使其連續(xù)發(fā)送,包的發(fā)送延遲位1ms
圖9
點(diǎn)選
發(fā)送在Decode中所定位的數(shù)據(jù)包,同時(shí)可以在此包的基礎(chǔ)上對(duì)數(shù)據(jù)包進(jìn)行如前述的修改�。
點(diǎn)選
�,發(fā)送buffer中所有的數(shù)據(jù)包�,實(shí)現(xiàn)數(shù)據(jù)流的重放。見圖10:
圖10
可以定義連續(xù)地發(fā)送buffer中地?cái)?shù)據(jù)包或只發(fā)送一次buffer中地?cái)?shù)據(jù)包�。請(qǐng)?zhí)貏e注意,不要在運(yùn)行的網(wǎng)絡(luò)中重放數(shù)據(jù)包�����,否則容易引起嚴(yán)重的網(wǎng)絡(luò)問題��。數(shù)據(jù)包的重放經(jīng)常用于實(shí)驗(yàn)環(huán)境中�����。返回比特網(wǎng)首頁(yè)>>
|
