您的位置:主页 > www.003488.com >

超级网络分析工具Sniffer+Pro详解(图文)

时间:2019-11-03 14:20来源:未知 点击:

  www.482568.com也将进一步释放人才“红,超级网络分析工具Sniffer+Pro详解(图文)_IT/计算机_专业资料。网络分析工具Sniffer

  超级网络分析工具 Sniffer Pro 详解 Sinffer Pro 是美国 Network Associates 公司生产的一款网络分析软件,可用于网络故障与性能管理,在 局域网领域应用非常广泛,占到网络分析软件市场的 76%。 当一个网络出现故障时,就需要由网络管理员查找故障并及时进行修复。但局域网一般都有几十台到 几百台计算机,以及多个服务器、交换机、路由器等设备,管理员需要检查这些设备,检查各个端口的连 接等,检查是否是黑客或者木马所为,工作量非常大,而且排除故障也非常麻烦。有了 Sniffer Pro,就可 以很容易的找出问题所在。Sinffer Pro 是美国 Network Associates 公司生产的一款网络分析软件,可用于网 络故障与性能管理,在局域网领域应用非常广泛,占到网络分析软件市场的 76%。 Sniffer Pro 是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解 网络的实际运行情况。它具有以下特点: 1. 可以解码至少 450 种协议。除了 IP、IPX 和其它一些“标准”协议外,Sniffer Pro 还可以解码分析 很多由厂商自己开发或者使用的专门协议,比如思科 VLAN 中继协议(ISL)。 2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b 无线网、SONET 传递的数据包、T-1、帧延迟和 ATM)。 3. 提供在位和字节水平上过滤数据包的能力。 4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。 5. Switch Expert 可以提供从各种网络交换机查询统计结果的功能。 6. 网络流量生成器能够以千兆的速度运行。 7. 可以离线捕获数据,如捕获帧。因为帧通常都是用 8 位的分界数组来校准,所以 Sniffer Pro 只能以 字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。 需要注意的是,使用 Sniffer 捕获数据时,由于网络中传输的数据量特别大,如果安装 Sniffer 的计算 机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能, 就很容易造成 Sniffer 系统死机或者崩溃。因此,网络中捕获的流量越多,Sniffer 系统就应该运行得更快、 功能更强。因此,建议 Sniffer 系统应该有一个速度尽可能快的处理器,以及至少 512MB 的物理内存。 1. Sniffer Pro 计算机的连接 要使 Sniffer 能够正常捕获到网络中的数据,安装 Sniffer 的连接位置非常重要,必须将它安装在网络 中合适的位置, 才能捕获到内、 外部网络之间数据的传输。 如果随意安装在网络中的任何一个地址段, Sniffer 就不能正确抓取数据,而且有可能丢失重要的通信内容。一般来说,Sniffer 应该安装在内部网络与外部网 络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。当哪个网段出现问题时,直接带着该 笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。 (1) 监控 Internet 连接共享 如果网络中使用代理服务器,局域网借助代理服务器实现 Internet 连接共享,并且交换机为傻瓜交换 机时,可以直接将 Sniffer Pro 安装在代理服务器上,这样,Sniffer Pro 就可以非常方便地捕获局域网和 Internet 之间传输的数据。 如果核心交换机为智能交换机, 那么最好的方式是采用端口映射的方式, 将局域网出口(连接代理服务 器或者路由器的端口)映射为另外一个端口, 并将 Sniffer Pro 计算机连接至该映射端口。 例如, 在交换机上, 与外部网络连接的端口设为 A,连接笔记本电脑的端口设置为 B,将笔记本电脑的网卡与 B 端口连接,然 后将 A 和 B 做端口映射,使得 A 端口传输的数据可以从 B 端口监测到,这样,Sniffer 就可以监测整个局 域网中的数据了。 (2) 监控某个 VLAN 或者端口 若欲监控某个 VLAN 中的通信时,应将 Sniffer Pro 计算机添加至该 VLAN,使其成为该 VLAN 中的 一员,从而监控该 VLAN 中的所有通信。 若欲监控某个或者几个端口的通信时,可以采用端口映射的方式,将被监控的端口(或若干端口)映射 为 Sniffer Pro 计算机所连接的端口。2. 设置监控网卡 如果计算机上安装了多个网卡,在首次运行 Sniffer Pro 时,需要选择要监控的网卡,应该选择代理网 卡或者连接交换机端口的网卡。当下次运行时,Sniffer Pro 就会自动选择同样的代理。 Sniffer 安装完成以后, “开始” 从 菜单运行, 显示 “Settings” 对话框, “Select settings for monitoring” 在 列表框中单击选择要监控的网卡,单击“确定”按钮,Sniffer 就会监控该网卡中传输的数据,如图 1 所示。 如果以后要改变监控设置,可以选择“File”菜单中的“Select Settings”选项,同样会出现该对话框,用 来改变要监控的网卡。 图 1 选择网卡 如果在“Settings”对话框中没有显示要监控的网卡,可以将其它网卡添加到该列表框中。单击“New” 按钮,显示如图 2 所示“New Settings”对话框,可以设置新添加的网卡。 图 2 添加新网卡 Description:为该网卡设置一个名称,可以是关于该网卡的描述。 Network:该下拉列表中列出了本地计算机上的所有网卡,可以选择要使用的网卡。 Netpod Configuration:在这里可以设置高速以太网 Pod,为了使以太网可以以全双工模式工作,在 “Netpod”下拉列表中选择“Full Duplex Pod(全双工 Pod)”选项,在“Netpod IP”框中输入 Sniffer Pro 系 统的网络适配器的 IP 地址再加 1。例如,Sniffer Pro IP 地址为 192.168.1.1,Netpod IP 地址就必须设置为 192.168.1.2。全双工 Pod 要求有静态 IP 地址,所以应该禁用 DHCP。 Copy settings:在该下拉列表中显示了本地计算机中以前定义过的网卡设置,可以选择一种配置,将 其复制到该新添加的网卡中。 设置完成以后单击“OK”按钮,添加到“Settings”对话框中,然后就可以选择监控该网卡了。 3. 监控网络状况 Sniffer 的界面并不复杂,通过工具栏和菜单栏就可以完成大部分操作,并在当前窗口中显示出所监测 的效果,如图 3 所示为 Sniffer 的主窗口。 图 3 Sniffer 主窗口 在 Sniffer 主窗口中,默认会显示 Dashboard(仪表盘)窗口,共显示了三个仪表盘,即“Utilization%” “Packets/s” “Errors/s” ,分别用来显示网络利用率、传输的数据和错误统计。 (1) Utilization%(利用率百分比) 用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表示警戒 值,表盘下方有两个数字,第一个数字代表当前利用率百分比,第二个是最大的利用率百分比数值。监控 网络利用率是网络分析中很重要的部分。但是,网络数据流通常都是突发型的,一个几秒钟内爆发的数据 流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率的理想方法要因网络不同而改变,而 且很大程度上要取决于网络的拓扑结构。在以太网端口,利用率到 40%,效率可能已经很高了,但是在全 双工可转换端口,80%的利用率才是高效的。 (2) Packets/s(每秒传输的数据包) 显示当前数据包的传输速度。同样,红色区域表示警戒值,下方的数字显示当前的数据包传输速度及 其峰值。根据数据包速率可以得出网络上流量类型的一些重要信息。例如,如果网络利用率很高,而数据 包传输速度相对较低,则说明网络上的帧比较大;而如果网络利用率很高,数据包传输速率也很高,说明帧 比较小。通过查看规模分布的统计结果,可以更详细的了解帧的大小。 (3) Errors/s(每秒产生的错误) 该表盘可显示当前出错率和最大出错率。不过,并非所有的错误都产生故障。例如,以太网中经常会 发生冲突,并不一定会对网络造成影响,但过多的冲突就会带来问题。 如果要重新设定仪表盘的值,可以单击仪表盘窗口上方的 Reset(重置)按钮。 在仪表盘窗口中,单击“Detail(详细)” ,显示如图 5 所示窗口,以表格的形式显示了关于利用率、数 据包传输速度和出错率的详细统计结果。在该窗口下方的“Network”窗口中,可以选择要显示的内容, 如 Packets/s(数据包/秒),每秒出现的数据包的总数;Utilization(利用率),网络利用率,这是 Sniffer 中最常用 的功能,可以查看哪一天中哪个时间利用率最高;Errors/s(错误/秒),每秒出现的整体错误的数目,若设定基 准,可以看到一天中哪个时间段遗失的数据包最多;Bytes/s(字节/秒),每秒出现的数据的总字节数,这与数 据包不同,字节预先设定好了长度,而数据包长度各不相同;Broadcasts/s(广播/秒),每秒产生的广播数据包 数目。广播是从主机发往区段上所有其它主机的数据包;Multicasts/s(每秒组播的数据包的数目),是一个主 机向特定的主机发送的数据包。 图 4 详细信息 在“Network”列表中所显示的信息为: Packets(数据包):网络中传输的数据包总数。 Drops(遗失):Sniffer Pro 遗失的数据包数目(可能因为系统性能问题而遗失的帧的数量。在网络活动高 峰期经常会遗失数据包)。 Broadcasts(广播):Sniffer Pro 监测到的广播帧的数目。子网或者 VLAN 上所有的组件都必须处理所有 的广播数据包,过多的广播会使网络上所有的系统性能整体下降。 Multicasts(组播):Sniffer Pro 监测到的组播帧的数目。尽管组播帧影响到的网络设备数目要比广播的 少,但是组播流量过大也会引起信息通过量出现问题。 Bytes(字节):Sniffer Pro 监控到的总字节数。把这个数乘以 8 就得到了二进制的位数。 Utilization(利用率):网络当前利用率。 Errors(错误):网络当前错误总数。 “Size Distribution(数据包大小的分布)”列表中显示了网络中各种大 小的据包(包括 4Bytes 的 CRC)的分布情况,包括 64Bytes,65~127Bytes,128~255Bytes,256~511Bytes, 512~1023Bytes,1024~1518Bytes 等各种不同字节数的数据包总数。 “Detail Errors(错误详细信息)”列表中显示了“Errors/s”表盘中显示的错误的详细情况,包括 CRC、 数据包过短(Runts)、溢出(Oversizes)、数据包碎片(Fragments)、数据包过长(Jabbers)、校准错误(Alignments) 和网络冲突(Collisions)。过短的数据包指的是 CRC 值合理,但是大小低于标准(小于 64kB)的数据包。数据 包碎片指的是大小低于标准(小于 64kB),而且 CRC 值不合理的数据包。 这三个仪表盘是非常有用的工具,用它们可以很容易地看到从运行捕获过程开始,有多少数据包经过 你的网络,多少帧被过滤挑选出来(拒绝接收),以及你的计算机因没有足够的资源完成捕获而遗失了多少 帧,可以看到从开始到当前时间内,网络的利用率、数据包数目和广播数。如果发现网络在每天的一定时 间都会收到大量的组播数据包,这就可能出现了问题,就需要分析哪个应用程序在发送组播数据包。 广播往往导致网络拥塞和计算机性能下降。单播(一台计算机与另一台计算机通信)只会干扰一台计算 机,这时目标计算机会中断来处理这些数据包,目标计算机就是单播的终点。如果是广播风暴,网络上的 所有主机都必须中断来处理数据包,而且大多数情况下,网络不希望取消任何一个数据包。这种情况会导 致延迟,但可以通过安装路由器将网络划分出广播域,或者通过移除广播风暴的来源来解决。因为广播对 网络来说也是不可或缺的。 组播问题也很常见,而且很多程序都被设定可以进行组播,只有使用协议分析软件才会发现它们。 通过以下这六种情况可以知道,如何阻断网络上的广播流量: 与使用交换机或者桥接器的网络相比,基于 Hub 的网络中的节点会发现更多的流量。可以考虑在 Hub 之间使用一个交换机,如果可能,应升级所有的交换机。 在 Windows 网络中,主浏览器服务和 NetBIOS 是最主要的。要保证将 WINS 服务器安置到正确的位 置,可以将不需要的 NetBIOS 流量从网络设定和设备中删除,规划并正确安置主浏览器和后备浏览器,然 后将允许网络上其它工作站参与选择浏览器的功能取消。Windows 的 TechNet 网站会有这些步骤的详细介 绍。 在 Novell 网络中,有三种情况会造成网络带宽不足:网络客户端被设置为自动探测服务器的帧类型; 客户端被设置为用 IPX/SPX 和 SAP 来取代 TCP/IP;NetWare 服务器被设置来使用 RIP,而不是默认路径。 如果网络上的接口与不必要的 RIP(或者 IPX RIP)或者 SAP 相连,网络就会产生不必要的广播数据包。 路由器可以用来减少广播的数量。在默认情况下,路由器不会通过广播数据包,除非你对它进行了这 样的设置。 删除没有用的协议与设备之间的绑定关系。这样做会提高计算机的速度,因为它不会经受一个绑定命 令,而且不需要的协议不会向 VLAN 发送广播。 这些提示可以消除网络上的一些流量。还有很多方法可以减少流量,但是如果用这些常用的方法,可 以减少 25%~50%或者更多的流量。至少有 20%的网络流量是由广播或者组播造成的,这些流量应该作为 问题标出来。 Sniffer Pro 的很多网络分析结果都可以设定阀值,若超出阀值,报警记录就会生成一条信息,并在仪 表盘上以红色来标记超过设定阀值的范围。另外需要注意的是,要记录下警告信息,并且必须查看系统超 过了阀值多少次,以及超出阀值的频率是多少,这些信息可以帮助管理员确定网络是否有问题。 单击仪表盘上的“Set Thresholds(设定阀值)”按钮,显示如图 6 所示“Dashboard Properties”对话框, 可查看或者修改这些值。Sniffer Pro 预先设定了默认的阀值,通常都是网络一些流量平均值。另外,也可 以在 Sniffer Pro 窗口中,选择“Tools”菜单中的“Options”选项,打开“Options”对话框,选择“MAC Threshold(MAC 阀值)”选项卡,同样也可以像该对话框一样查看或者修改其它阀值。 图 5 Dashboard Properties 在“High Threshold”列表中,可以设置各项的阀值。在调整阀值时,仪表盘也随之改变。例如,利用率表 盘默认为 50%,如果将“Utilization %(利用率)”阀值改为 30%,则表盘的红色阀值区域就会发生变化,如 图 7 所示为利用率表盘设定前后的变化,可以看到红色阀值区域从 50 已经下降到 30 处。 图 6 阀值设定前后的变化 阀值的设定要根据自己的网络状况,比如,管理员觉得网络利用率达到 30%就已经很高了,就可以先 设定为 30%,当超出阀值时,警告记录中就会有信息显示。要查看警告记录,可以选择“Monitor”菜单中 的“Alarm Log”选项,显示“Alarm Log”对线 所示,这里记录了所有超过阀值时的警告信息。 另外,还需要注意查看是否始终都超过设定阀值,在“Log Time”中显示大约每隔不到 10 秒就会超过阀 值,并记录到警告记录中,这说明需要提高阀值或者解决已存在的问题。 图 7 警告日志 在检修故障时设定一个临时的阀值是很有帮助的。例如,正在监控来自路由器的流量,而且知道每秒 钟组播的流量不应该多于两个帧,就可以把每秒组播的阀值设为“2” 。当 Sniffer Pro 监控流量时,如果超 过了这个值, 警告记录中就会加入一条警告信息。 不过要记住, 当修复故障以后应把阀值改回原来的数值。 4.查看捕获数据 通过 Sniffer Pro 监控网络程序以进行网络和协议分析,需要先使 Sniffer Pro 捕获网络中的数据。在工 具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图 9 所示“Expert”对话 框,此时,Sniffer 便开始捕获局域网与外部网络所传输的所有数据。 图 9 Expert 要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口 中显示所捕获数据的详细信息。此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成 上下箭头时,向上拖动该横线,就可以看到所选择连接的详细信息,如图 10 所示。 图 10 当前已捕获的数据 当缓冲器中积累了一定流量后,可以停止并查看所捕获的数据。单击主窗口工具栏上的“停止”按钮, 或者选择“Capture”菜单中的“Stop”选项,停止捕获数据,再选择“Capture”菜单中的“Display”选项, 就可以查看所捕获的内容了。单击窗口下方的“Decode(解码)”选项卡,如图 11 所示,该窗口共分为三个 部分,由上到下依次为:总结、详细资料和 Hex 窗口的内容,可以查看所捕获的每个帧的详细信息。 图 11 捕获的数据信息 在最上面的窗口中显示了捕获的帧和捕获的顺序、 “Source Address(源地址)”“Dest Address(目的地 、 址)”“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框,然后就可以保存为 、 新的捕获文件。 “Display” 选择 菜单中的 “Save Select” 选项, 即将选择的帧保存为新的捕获文件;选择 “Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择,或者选择和取消任何一个范围的选择。 “Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图 12 所示。最上面显示的就是 DLC 文 件头信息,包括来源、目的地址、帧大小(以字节计)以及 Ethertype(以太网类型)。在这里,以太网类型值 为 0800,表示为 IPv4 协议。 图 12 DLC 文件头信息 如果捕获的是 HTTP 协议,则 DLC 下面显示的是 IP 文件头的详细内容(如图 13 所示), 图 13 IP 文件头信息 包括: Version(版本):版本序号为 4,代表 IPv4。 Header length:Internet 文件头长度,为 20 个字节。Type of service(服务类型值):该值为 00,我们会 看到 ToS 下面一直到总长度部分都是 0。这里可以提供服务质量(QoS)信息;每个二进制数位的意义都不同, 这取决于最初的设定。例如,正常延迟设定为 0,说明没有设定为低延迟,如果是低延迟,设定值应该为 1。 Total length(总长度):显示该数据的总长度,为 Internet 文件头和数据的长度之和。 Identification:该数值是文件头的标识符部分,当数据包被划分成几段传送时,接收数据的主机可以用 这个数值来重新组装数据。 Flag(标记):数据包的“标记”功能,例如,数据包分段用 0 标记,未分段用 1 标记。 Fragment offset(分段差距):分段差距为 0 个字节。可以设定 0 代表最后一段,或者设定 1 代表更多区 段,这里该值为 0。分段差距用来说明某个区段属于数据包的哪个部分。 Time to live(保存时间):表示 TTL 值的大小,说明一个数据包可以保存多久。 Protocol(协议):显示协议值,在 Sniffer Pro 中代表传输层协议。文件头的协议部分只说明要使用的下 一个上层协议是什么,这里为 UDP。 Header checksum(校验和):这里显示了校验和(只在这个头文件中使用)的值,并且已经做了标记,表 明这个数值是正确的。 Source address(源地址):显示了数据的来源地址。 Destination address(目的地址):显示了数据访问的目的地址。 IP 文件头下面为 TCP 或者 UDP 文件头,这里为 UDP 协议(如图 14 所示)。 图 14 UDP 文件头信息 UDP 协议头包括下列信息: Source port(源端口):显示了所使用的 UDP 协议的源端口。 Destination port(目的端口):显示了 UDP 协议的目的端口。 Length(长度):表示 IP 文件头的长度。 Checksum(校验和):显示了 UDP 协议的校验和。 Bytes of data:表示有多少字节的数据。 根据协议的不同,在详细资料窗口中有的还会显示 ARP、HTTP、WINS 等信息。通过这些信息,可 以发现正在解析的协议中更多内容。 “Decode”窗口最下方为“Hex 窗口” ,这里显示的内容最直观,但也难以理解,如图 15 所示。 “Hex 窗口”中的信息是 16 进制代码的信息集合。数据的传输是按照二进制系统为基本标准进行的,二进制数 据还可以转换为十六进制、十进制和八进制的格式,在“Hex 窗口”中查看数据时,看到的就是处于传输 状态的原始 ASCⅡ格式的数据。 图 15 Hex 窗口 5. 监控网络的几种模式 在 Sniffer 中,除了使用仪表盘表示网络的当前状况以外,还可以使用其它几种模式来查看网络当前的 运行状况。 选择“Monitor”菜单中的“Host Table(主机列表)”选项,显示如图 16 所示“Host Table”对话框,该 列表框中显示了当前与该主机连接通信信息,包括连接地址、通信量、通信时间等,例如,这里选择“IP” 标签,可以看到与本机相连接的所有 IP 地址及其信息。在该对话框左侧,可以选择不同的按钮,使该主机 列表以不同的图形显示,如柱形、圆形等。 图 16 主机列表 选择“Monitor”菜单中的“Matrix”选项,显示“Matrix”窗口,该窗口会监控本地网络与外部网络 的连接情况,并将源地址与目的地址的连接用直线 所示该蓝色圆中的各点连线表明了当前 处于活跃状态的本地计算机与目的地址的点对点连接,在这里,选择“IP”标签,可以看到源地址与目的 IP 地址的连接(如图 17)。不过,由于连接点太多而过于密集,用户难以看清楚各连接点的源地址和目的地 址,此时可在该窗口上单击右键,选择快捷菜单中的“Zoom”子菜单中的比例值来扩展大图形,如 300%, 500%等。 图 17 “IP”标签 同样,如果选择“MAC”标签,则可以查看该计算机与哪些物理设备进行通信,从而便于排除其是否 在大量进行广播。 选择“Monitor”菜单中的“Protocol Distribution”选项,显示如图 18 所示窗口,可以查看各种协议的 分布状态,例如,我们选择“IP”标签,在“IP Protocol”中可以看到不同的网络协议以不同颜色的区块表 示。 图 18 Protocol Distribution 选择“Monitor”菜单中“Global Statistics”选项,在“Size Distribution”标 签中,可以查看网络上传输包的大小比例分配,显示如图 19 所示。而在“Utilization Dist”标签中,可以 查看当前网络的利用率。 图 19 Global Statistics 选择“Monitor”菜单中的“Application Response Time”选项,该列表中显示拉局域网内的通信及其响 应速度列表,并将本地网的计算机名以 NetBIOS 名的形式解析出来。 6. 设置数据包过滤 在默认情况下,Sniffer 会接收网络中所有传输的数据包,但我们在分析网络协议查找网络故障时,有 许多数据包不是我们需要的,这就要对捕获的数据进行过滤,只接收与分析的问题或者事件相关的数据。 Sniffer 提供了捕获数据包前的过滤规则和定义,过滤规则包括二、三层地址的定义和几百种协议的定义。 这里介绍一下如何过滤通过本机发送的 IP 数据包。 在 Sniffer Pro 主窗口中,选择“Capture”菜单中的“Define Filter”选项,选择“Address”选项卡, 如图 20 所示,在“Address”下拉列表中可以选择 MAC,IP,IPX 过滤,这里我们选择“IP”;在“Mode” 中选择“Include(包含)”单选按钮,如果选择“Exclude”单选按钮,则表示捕获除此地址外所有的数据包; 在 Station 列表中的一栏输入要过滤的 IP 地址,另一栏设置为“Any” ,代表任何主机;在“Dir”列表中设 置过滤条件,可以用逻辑关系如 AND,OR,NOT 等组合来设置。在 Station 列表中,可以设置多个条件, 也就是可以过滤多个 IP 地址的连接。 图 20 设置过滤的 IP 地址 选择 “Advanced” 选项卡, 在这里可以定义要捕获哪些协议的数据包。 例如, 想捕获 DNS, FTP, HTTP, NetBIOS 等协议的数据包, 可在 TCP 协议列表中, 选中 DNS, FTP, HTTP, NetBIOS 等协议复选框;在 “Packet Size”下拉列表中,可以选择要过滤的数据包的大小;在“Packet Type”列表框中,可以选择要捕获的数据 包的类型,如图 21 所示。 图 21 选择协议 选择“Buffer”选项卡,用来定义捕获包缓冲器,缓冲器占用的是计算机内存的一部分空间,如图 22 所示。在“Buffer size”中可以定义缓冲器的大小,默认为 8MB;在“Packet size”中可以设置包的大小;在 “When buffer is full(当缓冲器已满)”选项区域中,可以设置缓冲器满了以后,是“Stop capture(停止捕获)” 还是“Wrap buffer(封装缓冲器)”;在“Capture buffer”选项区域可以设置捕获数据的自动保存功能。由于 缓冲器会占用内存空间,如果计算机内存较小,要捕获的数据又很多,可以使用自动保存功能将捕获的数 据直接保存硬盘,选中“Save to file(保存到文件)”复选框,在“Director”中设置要保存的文件路径,在 “Filename”中设置文件名。 图 22 设置缓冲器 如果没有使用自动保存功能,捕获数据后会自动显示出 Expert 对话框,用来分析数据;如果使用了自 动保存功能,由于数据不再保存到缓冲器而是保存到文件,所以停止捕获以后再选择“Capture”菜单中的 “Display”选项时,就要求选择打开的文件,此时需要选择在设置自动保存时的文件,才可打开。 完成以后单击“Profiles”按钮,显示“Capture Profiles”对话框,可以建立一个新的过滤器。默认已 有一个名为“Default”的过滤器,单击“New”按钮显示“New Capture Profile”对话框,在“New Profile Name”文本框中为该过滤器定义一个名称,如图 23 所示,完成以后单击“OK”按钮。 图 23 新建过滤器 最后,单击“确定”按钮保存所做的设置。然后,需要将所设置的过滤规则应用于捕获中。在 Sniffer Pro 主窗口中,选择“Monitor”菜单中的“Select Filter”选项,显示“Select Filter”对话框,选中“Apply monitor filter”复选框应用,并在列表框中选择所设置的过滤规则,如图 24 所示。 图 24 选择过滤器 完成以后单击“确定”按钮,然后在 Sniffer Pro 主窗口中选择“Capture”菜单中的“Start”选项,此 时,Sniffer Pro 将会只捕获与本机计算机(192.168.1.178)连接的数据包,没有与本地连接的数据包将不再捕 获,这样,便于管理员分析网络中的数据并找出问题所在。 7. 分析网络协议 网络问题对管理员来说很常见,因此管理员必须选择最好的方法来识别不同的网络故障,进行分析并 解决。Sniffer Pro 可以帮助管理员捕获网络流量,全面了解网络状况、分析捕获的信息。使用 Sniffer Pro 捕获的流量都会直接到达捕获缓冲器,捕获的数据还可以保存在硬盘,以备将来使用。在捕获流量时,既 可以捕获所有数据,又可以过滤数据。如果捕获所有流量,可对网络所有数据有全面了解,但也可能因每 秒通过网络的数据包过多,网络需要承载较大的数据量。因此,比较好的方法是定义一个过滤器,只捕获 与管理员正在分析的问题有关的数据包。 下面我们就介绍一下如何使用 Sniffer Pro 来捕获并分析 ARP 协议 和 ICMP 协议。 (1) 捕获并分析 ARP 协议 ARP 协议即地址识别协议,是网络中最重要的协议之一,它的作用是将网络设备的物理地址(MAC 地 址)自动映射成 IP 地址。 现在我们先定义一个过滤器,只捕获 ARP 数据包。在 Sniffer Pro 窗口中,选择“Capture”菜单中的 “Define Filter”选项,显示“Define Filter”对话框,单击“Profiles”按钮来添加一个新过滤器,并命名为 “ARP” ,如图 25 所示。 图 25 Define Filter 选择“Define Filter”对话框的“Advanced”选项卡,在协议列表中框中只选中“ARP”复选框。完成 以后单击“确定”按钮,关闭过滤器定义窗口,一个 ARP 过滤器就设置成功了。现在就使用它来捕获一 些数据。在 Sniffer Pro 窗口中选择“Capture”菜单中的“Start”选项开始捕获网络中的数据,经过一段时 间后选择“Capture”菜单中的“Stop”选项停止捕获,并选择“Display”选项打开代码窗口,现在就可以 开始分析捕获结果了。 (2) 分析 ICMP 协议来报告错误 ICMP 协议即 Internet 控制信息协议,而且是 TCP/IP 协议的一部分,它是网络设备间报告错误的基于 控制的协议。ICMP 是一种非常强大的工具,允许我们报告 20 种以上不同的网络状况。 首先需要定义一个新的 ICMP 过滤器。 Sniffer Pro 主窗口中, “Capture” 在 选择 菜单中的 “Define Filter(定 义过滤器)”选项,显示“Define Filter”对话框,单击“Profiles”按钮显示“Capture Profiles”对话框,单 击“New”按钮定义一个名为 ICMP 的过滤器。完成以后在“Define Filter”对话框的“Advanced”选项卡 中,只选中“IP”列表中的“ICMP”协议,最后单击“确定”按钮保存。 在 Sniffer Pro 主窗口中,选择“Capture”菜单中的“Start”选项开始捕获过程,向默认网关发送 ping 命令。选择“Stop”选项则可停止捕获。 由于 ICMP 信息是封装在 IP 数据包中的,而 IP 数据包又会封装在以太网帧中,因此,如果要彻底分 析一个 ICMP 数据包,就必须查看这个数据包的所有部分,理解三种不同的文件头:DLC 文件头,IP 文件 头和 ICMP 文件头。 当捕获数据完成以后,在“Expert”对话框中选择下面的“Decode”标签,展开“ICMP”列表,显示 如图 26 所示。 图 26 ICMP 文件头 现在来分析各项内容: Type=8(Echo):ICMP Echo 有两种类型,类型 8 是请求,而类型 0 是响应。 Code:该代码现在在 ICMP Echo 信息中并不常用,经常设定为 0。 Checksum: 文件头检验和不能用来证明高层协议数据的完整性, IP 所以 ICMP 信息用自己的检验和来 确保数据在传输过程中没有被中断。 Identifier 与 Sequence number:这些数字由发送方式生成,用来将响应与请求匹配在一起 8. Sniffer Pro 的其它工具 Sniffer Pro 内置了一些其它的网络工具,可以对网络管理起到辅助作用。打开 Sniffer Pro 的“Tools” 菜单,可以看到这里有 ping,trace route,DNS lookup,finger,who is 等,这些工具和 Windows 系统中相 应的命令类似,管理员使用它们可测试连接,追踪路由等,而且使用起来更简单。例如,选择“ping”选 项来使用 ping 命令, 会显示如图 27 所示对话框, “Host” 在 框中输入要 ping 的 IP 地址或者域名, “OK” 单击 按钮就会自动 ping 了,并将结果显示在“Ping”窗口中。如果想再 ping 其它的地址,选择“Command” 菜单中的“Ping”选项即可。 图 27 Ping 命

黄大仙救世网站| 吉利平码平肖心水论坛| 今期香港老跑狗猛虎报| 彩霸王综合资料来料| 管家婆彩图王中王开奖王| 香港全年图库| 香港马会总部论坛| 客家论坛高手心水论坛| 正版铁算盘脑筋急转弯| 香港马会图库最新资料|