sniffer pro(sniffer)

来源: 互联网2023-08-13 20:32:42
  

1、首先,捕获数据包前的准备工作

2、默认情况下,sniffer会捕获所有在其访问冲突域中流动的数据包,但在某些场景下,有些数据包可能不是我们需要的。为了快速定位网络问题,需要过滤要捕获的数据包。


(资料图片)

3、Sniffer提供了捕获数据包前过滤规则的定义,包括三层地址的定义和上百种协议的定义。定义过滤规则的实践通常如下:

4、在主界面中选择capturedefinefilter选项。

5、Definefilteraddress,这是最常用的定义。包括MAC地址、ip地址和ipx地址的定义。以IP地址过滤为例,如图1所示。

6、

7、例如,要捕获地址为10.1.30.100的主机与其他主机之间的通信信息,在Mode选项卡中,选择Include(选择Exclude选项意味着捕获除此地址之外的所有数据包);在电台选项中,

8、在任意一列中填入10 . 1 . 30 . 100 any(另一列中的any(any)表示所有IP地址)。这就完成了地址的定义。

9、定义filteradvanced,定义要捕获的相关协议的数据包。2。

10、

11、比如你要抓取FTP、NETBIOS、DNS、HTTP的数据包,首先要打开TCP标签,然后选择协议。还需要明确的是,DNS和NETBIOS的部分数据包属于UDP协议。

12、所以需要在UDP tab中做一些类似TCP tab的事情,否则抓取的数据包会不完整。

13、如果没有选择任何协议,则捕获所有协议的数据包。

14、在PacketSize选项中,您可以定义捕获的包大小,如图3所示,它定义了捕获的包大小在64和128字节之间的包。

15、

16、Definefilterbuffer定义捕获数据包的缓冲区。4:

17、

18、Buffersize选项卡,将其设置为最大值40M。

19、Capturebuffer选项卡将设置缓冲文件的存储位置。

20、最后,需要将定义的过滤规则应用于捕获。5:

21、

22、单击SelectFilterCapture中定义的捕获规则。

23、第二,捕获数据包时观察到的信息

24、CaptureStart,启动捕获引擎。

25、Sniffer可以实时监控主机、协议、应用程序和不同包类型的分布。6:

26、

27、Dashboard:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。

28、HostTable:可以查看通信量最大的前10位主机。

29、Matrix:通过连线,可以形象的看到不同主机之间的通信。

30、ApplicationResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。

31、HistorySamples:可以看到历史数据抽样出来的统计值。

32、Protocoldistribution:可以实时观察到数据流中不同协议的分布情况。

33、Switch:可以获取cisco交换机的状态信息。

34、在捕获过程中,同样可以对想观察的信息定义过滤规则,操作方式类似捕获前的过滤规则。

35、三、捕获数据包后的分析工作

36、要停止sniffer捕获包时,点选CaptureStop或者CaptureStopandDisplay,前者停止捕获包,后者停止捕获包并把捕获的数据包进行解码和显示。7:

37、

38、Decode:对每个数据包进行解码,可以看到整个包的结构及从链路层到应用层的信息,事实上,sniffer的使用中大部分的时间都花费在这上面的分析,同时也对使用者在网络的理论及实践经验上提出较高的要求。

39、素质较高的使用者借此工具便可看穿网络问题的结症所在。

40、Expert:这是sniffer提供的专家模式,系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出非常有价值的诊断信息。图8,

41、是sniffer侦查到IP地址重叠的例子及相关的解析。

42、

43、sniffer同样提供解码后的数据包过滤显示。

44、要对包进行显示过滤需切换到Decode模式。

45、Displaydefinefilter,定义过滤规则。

46、Displayselectfilter,应用过滤规则。

47、显示过滤的使用基本上跟捕获过滤的使用相同。

48、四、sniffer提供的工具应用

49、sniffer除了提供数据包的捕获、解码及诊断外,还提供了一系列的工具,包括包发生器、ping、traceroute、DNSlookup、finger、whois等工具。

50、其中,包发生器比较有特色,将做简单介绍。其他工具在操作系统中也有提供,不做介绍。

51、包发生器提供三种生成数据包的方式:

52、新构一个数据包,包头、包内容及包长由用户直接填写。图9,定义一个广播包,使其连续发送,包的发送延迟位1ms 

53、

54、发送在Decode中所定位的数据包,同时可以在此包的基础上对数据包进行如前述的修改。

55、发送buffer中所有的数据包,实现数据流的重放。见图10:

56、 图10

57、可以定义连续地发送buffer中地数据包或只发送一次buffer中地数据包。请特别注意,不要在运行的网络中重放数据包,否则容易引起严重的网络问题。数据包的重放经常用于实验环境中。

本文到此结束,希望对大家有所帮助。

关键词:

责任编辑:sdnew003

相关新闻

版权与免责声明:

1 本网注明“来源:×××”(非商业周刊网)的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,本网不承担此类稿件侵权行为的连带责任。

2 在本网的新闻页面或BBS上进行跟帖或发表言论者,文责自负。

3 相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。

4 如涉及作品内容、版权等其它问题,请在30日内同本网联系。