Sniffer中文使用教程经典.docx
- 文档编号:10755342
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:34
- 大小:650.84KB
Sniffer中文使用教程经典.docx
《Sniffer中文使用教程经典.docx》由会员分享,可在线阅读,更多相关《Sniffer中文使用教程经典.docx(34页珍藏版)》请在冰豆网上搜索。
Sniffer中文使用教程经典
Sniffer中文使用教程(经典)
SnifferPro中文使用教程(详细)第1章Sniffer软件简介............................................................................................................1-1
1.1概述.............................................................................................................................1-1
1.2功能简介......................................................................................................................1-1第2章报文捕获解析................................................................................................................2-1
2.1捕获面板......................................................................................................................2-1
2.2捕获过程报文统计.......................................................................................................2-1
2.3捕获报文查看..............................................................................................................2-2
2.4设置捕获条件..............................................................................................................2-3第3章报文放送.......................................................................................................................3-1
3.1编辑报文发送...............................................................................................................3-1
3.2捕获编辑报文发送.......................................................................................................3-2第4章网络监视功能................................................................................................................4-1
4.1Dashbord.....................................................................................................................4-1
4.2ApplicationResponseTime(ART).............................................................................4-1第5章数据报文解码详解.........................................................................................................5-1
5.1数据报文分层..............................................................................................................5-1
5.2以太报文结构..............................................................................................................5-1
5.3IP协议.........................................................................................................................5-3
5.4ARP协议.....................................................................................................................5-4
5.5PPPOE协议..................................................................................................................5-6
5.6Radius协议.................................................................................................................5-9
i
Sniffer软件简介
第1章Sniffer软件简介
1.1概述
Sniffer软件是NAI公司推出的功能强大的协议分析软件。
本文针对用SnifferPro网络分析器进行故障解决。
利用SnifferPro网络分析器的强大功能和特征~解决网络问题~将介绍一套合理的故障解决方法。
与Netxray比较~Sniffer支持的协议更丰富~例如PPPOE协议等在Netxray并不支持~在Sniffer上能够进行快速解码分析。
Netxray不能在Windows2000和WindowsXP上正常运行~SnifferPro4.6可以运行在各种Windows平台上。
Sniffer软件比较大~运行时需要的计算机内存比较大~否则运行比较慢~这也是它与Netxray相比的一个缺点。
1.2功能简介
下面列出了Sniffer软件的一些功能介绍~其功能的详细介绍可以参考Sniffer的在线帮助。
捕获网络流量进行详细分析
利用专家分析系统诊断问题
实时监控网络活动
收集网络利用率和错误等
在进行流量捕获之前首先选择网络适配器~确定从计算机的哪个网络适配器上接收数据。
位置:
File->selectsettings
1-1
Sniffer软件简介
选择网络适配器后才能正常工作。
该软件安装在Windows98操作系统上~Sniffer可以选择拨号适配器对窄带拨号进行操作。
如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。
对于安装在Windows2000/XP上则无上述功能~这和操作系统有关。
本文将对报文的捕获几网络性能监视等功能进行详细的介绍。
下图为在软件中快捷键的位置。
1-2
报文捕获解析
第2章报文捕获解析2.1捕获面板
报文捕获功能可以在报文捕获面板中进行完成~如下是捕获面板的功能图:
图中显示的是
处于开始状态的面板
捕获条件捕获条件选择捕获选择捕获
编辑编辑条件条件
捕获开始捕获开始
捕获暂停捕获暂停
捕获停止捕获停止捕获停止捕获停止捕获查看捕获查看
并查看并查看
2.2捕获过程报文统计
在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
捕获报文数捕获报文数捕获报文的数捕获报文的数
据缓冲大小据缓冲大小
详细统计信详细统计信
息息
2-1
报文捕获解析
2.3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。
如下图所示~对于捕获的报文提供了一个Expert专家分析系统进行分析~还有解码选项及图形和表格的统计信息。
专家分析专家分析
系统系统
专家分析专家分析捕获报文的捕获报文的捕获报文的其他捕获报文的其他系统系统图形分析图形分析统计信息统计信息
专家分析
专家分分析系统提供了一个只能的分析平台~对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容~可以方便了解网络中高层协议出现故障的可能点。
对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
双击此记录可以双击此记录可以查看详细信息查看详细信息
2-2
报文捕获解析
解码分析
下图是对捕获报文进行解码的显示~通常分为三部分~目前大部分此类软件结构都采用这种结构显示。
对于解码主要要求分析人员对协议比较熟悉~这样才能看懂解析出来的报文。
使用该软件是很简单的事情~要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。
工具软件只是提供一个辅助的手段。
因涉及的内容太多~这里不对协议进行过多讲解~请参阅其他相关资料。
对于MAC地址~Snffier软件进行了头部的替换~如00e0fc开头的就替换成Huawei~这样有利于了解网络上各种相关设备的制造厂商信息。
捕获的捕获的
报文报文
报文解报文解
码码
二进制二进制
内容内容
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。
在菜单上的位置分别为Capture->DefineFilter和Display->DefineFilter。
过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
统计分析
对于Matrix~HostTable~PortocolDist.Statistics等提供了丰富的按照地址~协议等内容做了丰富的组合统计~比较简单~可以通过操作很快掌握这里就不再详细介绍了。
2.4设置捕获条件
基本捕获条件
基本的捕获条件有两种:
1、链路层捕获~按源MAC和目的MAC地址进行捕获~输入方式为十六进制连续输入~如:
00E0FC123456。
2-3
报文捕获解析
2、IP层捕获~按源IP和目的IP进行捕获。
输入方式为点间隔方式~如:
10.107.1.1。
如
果选择IP层捕获条件则ARP等报文将被过滤掉。
任意捕任意捕缓冲区缓冲区协议捕协议捕编辑编辑获条件获条件获编辑获编辑编辑编辑
基本捕获条件基本捕获条件
链路层捕获链路层捕获IPIP层捕获层捕获
链路层捕获链路层捕获数据流数据流地址条件地址条件方向方向
高级捕获条件
在“Advance”页面下~你可以编辑你的协议捕获条件~如图:
选择要捕选择要捕
获的协议获的协议
错误帧是错误帧是
否捕获否捕获
捕获帧长捕获帧长
度条件度条件
保存过滤保存过滤
规则条件规则条件
高级捕获条件编辑图
在协议选择树中你可以选择你需要捕获的协议条件~如果什么都不选~则表示忽略该条件~
捕获所有协议。
在捕获帧长度条件下~你可以捕获~等于、小于、大于某个值的报文。
2-4
报文捕获解析
在错误帧是否捕获栏~你可以选择当网络上有如下错误时是否捕获。
在保存过滤规则条件按钮“Profiles”~你可以将你当前设置的过滤规则~进行保存~在捕获主面板中~你可以选择你保存的捕获条件。
任意捕获条件
在DataPattern下~你可以编辑任意捕获条件~如下图:
添加关系添加关系模板间关模板间关节点节点添加排除添加排除系控制系控制
模板编辑模板编辑增加模板增加模板
用这种方法可以实现复杂的报文过滤~但很多时候是得不偿失~有时截获的报文本就不多~还不如自己看看来得快。
2-5
报文放送
第3章报文放送
3.1编辑报文发送
Sniffer软件报文发送功能就比较弱~如下是发送的主面板图:
发送报发送报
文编辑文编辑
发送前~你需要先编辑报文发送的内容。
点击发送报文编辑按钮。
可得到如下的报文编辑窗口:
发送间隔发送间隔
指定报文指定报文
长度长度发送模式发送模式
发送内容发送内容
首先要指定数据帧发送的长度~然后从链路层开始~一个一个将报文填充完成~如果是NetXray支持可以解析的协议~从“Decode”页面中~可看见解析后的直观表示。
3-1
报文放送
3.2捕获编辑报文发送
将捕获到的报文直接转换成发送报文~然后修修改改可也。
如下是一个捕获报文后的报文查看窗口:
选中某个捕获的报文~用鼠标右键激活菜单~选择“SendCurrentPacket”~这时你就会发现~该报文的内容已经被原封不动的送到“发送编辑窗口”中了。
这时~你在修修改改~就比你全部填充报文省事多了。
发送模式有两种:
连续发送和定量发送。
可以设置发送间隔~如果为0~则以最快的速度进行发送。
3-2
网络监视功能
第4章网络监视功能
网络监视功能能够时刻监视网络统计~网络上资源的利用率~并能够监视网络流量的异常状况~这里只介绍一下Dashbord和ART~其他功能可以参看在线帮助~或直接使用即可~比较简单。
4.1Dashbord
Dashbord可以监控网络的利用率~流量及错误报文等内容。
通过应用软件可以清楚看到此功能。
统计平均数据统计平均数据
或总和或总和
连续的统计图连续的统计图
为统计图选择为统计图选择
统计指标统计指标
4.2ApplicationResponseTime(ART)
ApplicationResponseTime(ART)是可以监视TCP/UDP应用层程序在客户端和服务器响应时间~如HTTP,FTP,DNS等应用。
对与TCP/UDP响应时间的计算方法如下
TCPForeachsocket,ARTstoresthesequencenumbersforpacketssentbytheclient
andwaitsforthecorrespondingACKpacketsfromtheserver.Itthenmeasuresthetime
4-1
网络监视功能
differencebetweenthepacketwiththestoredsequencenumberandthepacketwiththeACK
toarriveattheresponsetime.
UDPForeachsocket,ARTmeasuresthetimebetweenpacketsgoingfromaclienttoa
serverandthenextpacketgoingfromtheservertotheclient.
此三个按钮可以此三个按钮可以
选择按图形或表选择按图形或表监控参数监控参数
格方式显示格方式显示
属性按钮主要设属性按钮主要设
置监控参数如要置监控参数如要
监控哪种应用等监控哪种应用等
监控的监控的
应用应用
4-2
数据报文解码详解
第5章数据报文解码详解
本章主要对:
数据报文分层、以太报文结构、IP协议、ARP协议、PPPOE协议、Radius协议等的解码分析做了简单的描述~目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。
对其其他协议读者可以通过协议文档和Sniffer捕获的报文对比分析。
5.1数据报文分层
如下图所示~对于四层网络结构~其不同层次完成不通功能。
每一层次有众多协议组成。
TelnetFTPTelnetFTP和和e-maile-mail等等应用层应用层
TCPTCP和和UDPUDP传输层传输层
IPICMPIGMPIPICMPIGMP网络层网络层
设备驱动程序及接口卡设备驱动程序及接口卡链路层链路层
如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。
链路层对应“DLC”,网络层对应“IP”,传输层对应“UDP”,应用层对对应的是“NETB”等高层协议。
Sniffer可以针对众多协议进行详细结构化解码分析。
并利用树形结构良好的表现出来。
5.2以太报文结构
EthernetII以太网帧结构
Ethernet_IIEthernet_II
DMACDMACSMACSMACTypeTypeDATA/PADDATA/PADFCSFCS
5-1
数据报文解码详解
Ethernet_II以太网帧类型报文结构为:
目的MAC地址,6bytes,,源MAC地址,,6bytes,上层协议类型,2bytes,,数据字段,46-1500bytes),校验,4bytes,。
SnifferSniffer自动自动添加时间戳添加时间戳
目的目的MACMAC地址地址源源MACMAC地地上层协议上层协议址址类型类型
Sniffer会在捕获报文的时候自动记录捕获的时间~在解码显示时显示出来~在分析问题时提供了很好的时间记录。
源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来~方便定位问题~例如网络上2台设备IP地址设置冲突~可以通过解码翻译出厂商信息方便的将故障设备找到~如00e0fc为华为~010042为Cisco等等。
如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址~在下面的表格中会突出显示该地址的16进制编码。
IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议~0x806为ARP协议。
IEEE802.3以太网报文结构
DSAPDSAPSSAPSSAPControlControl
8bit8bit8/16bit8bit8bit8/16bit
LLCLLC子层子层
DMACDMACSMACSMACLengthLengthLLCLLCDATA/FCSDATA/FCS
IEEE802.3IEEE802.3帧结构帧结构MACMAC子层子层
5-2
数据报文解码详解
上图为IEEE802.3SNAP帧结构~与EthernetII不通点是目的和源地址后面的字段代
表的不是上层协议类型而是报文长度。
并多了LLC子层。
5.3IP协议
IP报文结构为IP协议头,载荷~其中对IP协议头部的分析~时分析IP报文的主要内
容之一~关于IP报文详细信息请参考相关资料。
这里给出了IP协议头部的一个结构。
版本:
4——IPv4
首部长度:
单位为4字节~最大60字节
IP优先级字段TOS:
总长度:
单位字节~最大65535字节
标识:
IP报文标识字段
标志:
占3比特~只用到低位的两个比特
MF,MoreFragment,
MF=1~后面还有分片的数据包
MF=0~分片数据包的最后一个
DF,Don'tFragment,
DF=1~不允许分片
DF=0~允许分片
段偏移:
分片后的分组在原分组中的相对位置~总共13比特~单位为8字节
寿命:
TTL,TimeToLive,丢弃TTL=0的报文协议:
携带的是何种协议报文
1:
ICMP
6:
TCP
17:
UDP
89:
OSPF
头部检验和:
对IP协议首部的校验和
源IP地址:
IP报文的源地址
目的IP地址:
IP报文的目的地址
5-3
数据报文解码详解
上图为Sniffer对IP协议首部的解码分析结构~和IP首部各个字段相对应~并给出了各个字段值所表示含义的英文解释。
如上图报文协议,Protocol,字段的编码为0x11~通过Sniffer解码分析转换为十进制的17~代表UDP协议。
其他字段的解码含义可以与此类似~只要对协议理解的比较清楚对解码内容的理解将会变的很容易。
5.4ARP协议
以下为ARP报文结构
ARP分组具有如下的一些字段:
5-4
数据报文解码详解
HTYPE,硬件类型,。
这是一个16比特字段~用来定义运行ARP的网络的类型。
每一个局域网基于其类型被指派给一个整数。
例如~以太网是类型1。
ARP可使用在任何网络上。
PTYPE,协议类型,。
这是一个16比特字段~用来定义协议的类型。
例如~对IPv4协议~这个字段的值是0800。
ARP可用于任何高层协议。
HLEN,硬件长度,。
这是一个8比特字段~用来定义以字节为单位的物理地址的长度。
例如~对以太网这个值是6。
PLEN,协议长度,。
这是一个8比特字段~用来定义以字节为单位的逻辑地址的长度。
例如~对IPv4协议这个值是4。
OPER,操作,。
这是一个16比特字段~用来定义分组的类型。
已定义了两种类型:
ARP请求,1,~ARP回答,2,。
SHA,发送站硬件地址,。
这是一个可变长度字段~用来定义发送站的物理地址的长度。
例如~对以太网这个字段是6字节长。
SPA,发送站协议地址,。
这是一个可变长度字段~用来定义发送站的逻辑,例如~IP,地址的长度。
对于IP协议~这个字段是4字节长。
THA,目标硬件地址,。
这是一个可变长度字段~用来定义目标的物理地址的长度。
例如~对以太网这个字段是6字节长。
对于ARP请求报文~这个字段是全0~因为发送站不知道目标的物理地址。
TPA,目标协议地址,。
这是一个可变长度字段~用来定义目标的逻辑地址,例如~IP地址,的长度。
对于IPv4协议~这个字段是4字节长。
5-5
数据报文解码详解
上面为通过Sniffer解码的ARP请求和应答报文的结构。
5.5PPPOE协议
PPPOE简介
简单来说我们可能把PPPOE报文分成两大块~一大块是PPPOE的数据报头~另一块则是PPPOE的净载荷,数据域,~对于PPPOE报文数据域中的内容会随着会话过程的进行而不断改变。
下图为PPPOE的报文的格式:
数据报文最开始的4位为版本域~协议中给出了明确的规定~这个域的内容填充0x01。
紧接在版本域后的4位是类型域~协议中同样规定~这个域的内容填充为0x01。
代码域占用1个字节
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sniffer 中文 使用 教程 经典