Sniffer使用教程 計算機網(wǎng)絡方向課件

1、目錄第1章 Sniffer軟件簡介. 1-11.1 概述. 1-11.2 功能簡介. 1-1第2章報文捕獲解析. 2-12.1 捕獲面板. 2-12.2 捕獲過程報文統(tǒng)計. 2-12.3捕獲報文查看. 2-22.4設置捕獲條件. 2-4第3章報文放送 . 3-13.1 編輯報文發(fā)送 . 3-13.2捕獲編輯報文發(fā)送 . 3-2第4章網(wǎng)絡監(jiān)視功能. 4-14.1 Dashbord . 4-14.2 Application Response Time (ART . 4-1第5章數(shù)據(jù)報文解碼詳解. 5-15.1數(shù)據(jù)報文分層. 5-15.2以太報文結構. 5-15.3 IP協(xié)議. 5-35.4 ARP

2、協(xié)議. 5-55.5 PPPOE協(xié)議. 5-65.6 Radius協(xié)議 . 5-9關鍵詞:Sniffer 協(xié)議分析摘要:本文對Sniffer軟件的功能和使用作了簡要的介紹,講述了利用工具軟件解決問題的思路和一些分析方法?？s略語清單:參考資料清單:第1章 Sniffer軟件簡介1.1 概述Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本文針對用SnifferPro網(wǎng)絡分析器進行故障解決。利用Sniffer Pro 網(wǎng)絡分析器的強大功能和特征,解決網(wǎng)絡問題,將介紹一套合理的故障解決方法。與Netxray比較,Sniffer支持的協(xié)議更豐富,例如PPPOE協(xié)議等在Netxray并不支持

3、,在Sniffer上能夠進行快速解碼分析。Netxray不能在Windows平臺上。Sniffer軟件比較大,運行時需要的計算機內存比較大,否則運行比較慢,這也是它與Netxray相比的一個缺點。1.2 功能簡介下面列出了Sniffer軟件的一些功能介紹,其功能的詳細介紹可以參考Sniffer的在線幫助。捕獲網(wǎng)絡流量進行詳細分析利用專家分析系統(tǒng)診斷問題實時監(jiān)控網(wǎng)絡活動收集網(wǎng)絡利用率和錯誤等在進行流量捕獲之前首先選擇網(wǎng)絡適配器,確定從計算機的哪個網(wǎng)絡適配器上接收數(shù)據(jù)。位置:File-select settings 選擇網(wǎng)絡適配器后才能正常工作。該軟件安裝在Windows 98操作系統(tǒng)上, Sni

4、ffer可以選擇撥號適配器對窄帶撥號進行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網(wǎng)卡。對于安裝在Windows 2000/XP上則無上述功能,這和操作系統(tǒng)有關。本文將對報文的捕獲幾網(wǎng)絡性能監(jiān)視等功能進行詳細的介紹。下圖為在軟件中快捷鍵的位置。 報文捕獲解析第2章 報文捕獲解析2.1 捕獲面板報文捕獲功能可以在報文捕獲面板中進行完成,如下是捕獲面板的功能圖:圖中顯示的是處于開始狀態(tài)的面板 捕獲停止捕獲條件選擇捕獲捕獲開始捕獲暫停捕獲停止并查看捕獲查看編輯條件2.2 捕獲過程報文統(tǒng)計在捕獲過程中可以通過查看下面面板查看捕獲報文的數(shù)量和緩沖區(qū)的利用率。捕獲報

5、文的數(shù)捕獲報文數(shù)據(jù)緩沖大小 2.3 捕獲報文查看Sniffer 軟件提供了強大的分析能力和解碼功能。如下圖所示,對于捕獲的報文提供了一個Expert 專家分析系統(tǒng)進行分析,還有解碼選項及圖形和表格的統(tǒng)計信息。 專家分析專家分析捕獲報文的捕獲報文的其他系統(tǒng)系統(tǒng)圖形分析統(tǒng)計信息專家分析專家分分析系統(tǒng)提供了一個只能的分析平臺,對網(wǎng)絡上的流量進行了一些分析對于分析出的診斷結果可以查看在線幫助獲得。在下圖中顯示出在網(wǎng)絡中WINS 查詢失敗的次數(shù)及TCP 重傳的次數(shù)統(tǒng)計等內容,可以方便了解網(wǎng)絡中高層協(xié)議出現(xiàn)故障的可能點。對于某項統(tǒng)計分析可以通過用鼠標雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查

6、看幫助來了解起產(chǎn)生的原因。雙擊此記錄可以查看詳細信息解碼分析下圖是對捕獲報文進行解碼的顯示,通常分為三部分,目前大部分此類軟件結構都采用這種結構顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉,這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情,要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內容太多,這里不對協(xié)議進行過多講解,請參閱其他相關資料。對于MAC地址,Snffier軟件進行了頭部的替換,如00e0fc開頭的就替換成Huawei,這樣有利于了解網(wǎng)絡上各種相關設備的制造廠商信息。捕獲的報文報文解碼二進制內容功能是按照過濾器設

7、置的過濾規(guī)則進行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 Capture-Define Filter 和Display-Define Filter 。 過濾器可以根據(jù)物理地址或IP 地址和協(xié)議選擇進行組合篩選。 統(tǒng)計分析對于Matrix ,Host Table ,Portocol Dist. Statistics 等提供了豐富的按照地址,協(xié)議等內容做了豐富的組合統(tǒng)計,比較簡單,可以通過操作很快掌握這里就不再詳細介紹了。2.4 設置捕獲條件基本捕獲條件基本的捕獲條件有兩種:1、鏈路層捕獲,按源MAC 和目的MAC 地址進行捕獲,輸入方式為十六進制連續(xù)輸入,如:00E0FC123456。2、IP 層

8、捕獲,按源IP 和目的IP 進行捕獲。輸入方式為點間隔方式,如:。如果選擇IP 層捕獲條件則ARP 等報文將被過濾掉。任意捕基本捕獲條件數(shù)據(jù)流鏈路層捕獲獲條件編輯獲編輯鏈路層捕獲IP 層捕獲方向地址條件高級捕獲條件在“Advance ”頁面下,你可以編輯你的協(xié)議捕獲條件,如圖:選擇要捕獲的協(xié)議錯誤幀是否捕獲捕獲幀長度條件保存過濾規(guī)則條件高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件,如果什么都不選,則表示忽略該條件,捕獲所有協(xié)議。在捕獲幀長度條件下,你可以捕獲,等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄,你可以選擇當網(wǎng)絡上有如下錯誤時是否捕獲。在保存過

9、濾規(guī)則條件按鈕“Profiles”,你可以將你當前設置的過濾規(guī)則,進行保存,在捕獲主面板中,你可以選擇你保存的捕獲條件。任意捕獲條件在Data Pattern下,你可以編輯任意捕獲條件,如下圖:添加關系模板間關節(jié)點添加排除系控制模板編輯增加模板用這種方法可以實現(xiàn)復雜的報文過濾,但很多時候是得不償失,有時截獲的報文本就不多,還不如自己看看來得快。第3章 報文放送3.1 編輯報文發(fā)送Sniffer 軟件報文發(fā)送功能就比較弱,如下是發(fā)送的主面板圖:發(fā)送報文編輯發(fā)送前,你需要先編輯報文發(fā)送的內容。點擊發(fā)送報文編輯按鈕?？傻玫饺缦碌膱笪木庉嫶翱?指定報文發(fā)送模式發(fā)送內容長度發(fā)送間隔首先要指定數(shù)據(jù)幀發(fā)送的

10、長度,然后從鏈路層開始,一個一個將報文填充完成,如果是NetXray 支持可以解析的協(xié)議,從“Decode ”頁面中,可看見解析后的直觀表示。3.2 捕獲編輯報文發(fā)送將捕獲到的報文直接轉換成發(fā)送報文,然后修修改改可也。如下是一個捕獲報文后的報文查看窗口: 選中某個捕獲的報文,用鼠標右鍵激活菜單,選擇“Send Current Packet”,這時你就會發(fā)現(xiàn),該報文的內容已經(jīng)被原封不動的送到“發(fā)送編輯窗口”中了。這時,你在修修改改,就比你全部填充報文省事多了。發(fā)送模式有兩種:連續(xù)發(fā)送和定量發(fā)送?？梢栽O置發(fā)送間隔,如果為0,則以最快的速度進行發(fā)送。第4章網(wǎng)絡監(jiān)視功能網(wǎng)絡監(jiān)視功能能夠時刻監(jiān)視網(wǎng)絡統(tǒng)計

11、,網(wǎng)絡上資源的利用率,并能夠監(jiān)視網(wǎng)絡流量的異常狀況,這里只介紹一下Dashbord和ART,其他功能可以參看在線幫助,或直接使用即可,比較簡單。4.1 DashbordDashbord可以監(jiān)控網(wǎng)絡的利用率,流量及錯誤報文等內容。通過應用軟件可以清楚看到此功能。統(tǒng)計平均數(shù)據(jù)為統(tǒng)計圖選擇或總和連續(xù)的統(tǒng)計圖統(tǒng)計指標4.2 Application Response Time (ARTApplication Response Time (ART 是可以監(jiān)視TCP/UDP應用層程序在客戶端和服務器響應時間,如HTTP,FTP,DNS等應用。對與TCP/UDP響應時間的計算方法如下TCP For each

12、socket, ART stores the sequence numbers for packets sentby the client and waits for the corresponding ACK packets from the server.It then measures the time difference between the packet with the stored sequence number and the packet with the ACK to arrive at the response time.UDP For each socket, AR

13、T measures the time between packets going from a client to a server and the next packet going from the server to the client.此三個按鈕可以監(jiān)控的屬性按鈕主要設選擇按圖形或表格方式顯示應用置監(jiān)控參數(shù)如要監(jiān)控哪種應用等監(jiān)控參數(shù)數(shù)據(jù)報文解碼詳解第5章數(shù)據(jù)報文解碼詳解本章主要對:數(shù)據(jù)報文分層、以太報文結構、IP協(xié)議、ARP協(xié)議、PPPOE協(xié)議、Radius協(xié)議等的解碼分析做了簡單的描述,目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過解碼分析對協(xié)議進一步了解。對其其他協(xié)

14、議讀者可以通過協(xié)議文檔和Sniffer捕獲的報文對比分析。5.1 數(shù)據(jù)報文分層如下圖所示,對于四層網(wǎng)絡結構,其不同層次完成不通功能。每一層次有眾多協(xié)議組成。 Telnet FTP和e-mail等TCP 和UDPIP ICMP IGMP設備驅動程序及接口卡如上圖所示在Sniffer的解碼表中分別對每一個層次協(xié)議進行解碼分析。鏈路層對應“DLC”;網(wǎng)絡層對應“IP”;傳輸層對應“UDP”;應用層對對應的是“NETB”等高層協(xié)議。Sniffer可以針對眾多協(xié)議進行詳細結構化解碼分析。并利用樹形結構良好的表現(xiàn)出來。5.2 以太報文結構EthernetII以太網(wǎng)幀結構Ethernet_IIEtherne

15、t_II 以太網(wǎng)幀類型報文結構為:目的MAC 地址(6bytes +源MAC 地址+(6bytes 上層協(xié)議類型(2bytes +數(shù)據(jù)字段(46-1500bytes+校驗(4bytes 。添加時間戳目的上層協(xié)議Sniffer 自動MAC 地址源MAC 地址類型Sniffer 會在捕獲報文的時候自動記錄捕獲的時間,在解碼顯示時顯示出來,在分析問題時提供了很好的時間記錄。源目的MAC 地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來,方便定位問題,例如網(wǎng)絡上2臺設備IP 地址設置沖突,可以通過解碼翻譯出廠商信息方便的將故障設備找到,如00e0fc 為華為,010042為Cisco 等等。如果需要

16、查看詳細的MAC 地址用鼠標在解碼框中點擊此MAC 地址,在下面的表格中會突出顯示該地址的16進制編碼。IP 網(wǎng)絡來說Ethertype 字段承載的時上層協(xié)議的類型主要包括0x800為IP 協(xié)議,0x806為ARP 協(xié)議。 上圖為IEEE802.3SNAP幀結構,與EthernetII不通點是目的和源地址后面的字段代表的不是上層協(xié)議類型而是報文長度。并多了LLC子層。5.3 IP協(xié)議IP報文結構為IP協(xié)議頭+載荷,其中對IP協(xié)議頭部的分析,時分析IP報文的主要內容之一,關于IP報文詳細信息請參考相關資料。這里給出了IP協(xié)議頭部的一個結構。版本:4IPv4首部長度:單位為4字節(jié),最大60字節(jié)TO

17、S:IP優(yōu)先級字段總長度:單位字節(jié),最大65535字節(jié)標識:IP報文標識字段標志:占3比特,只用到低位的兩個比特MF(More FragmentMF=1,后面還有分片的數(shù)據(jù)包MF=0,分片數(shù)據(jù)包的最后一個DF(Dont FragmentDF=1,不允許分片DF=0,允許分片段偏移:分片后的分組在原分組中的相對位置,總共13比特,單位為8字節(jié)壽命:TTL(Time To Live丟棄TTL=0的報文協(xié)議:攜帶的是何種協(xié)議報文1 :ICMP6 :TCP17:UDP89:OSPF頭部檢驗和:對IP協(xié)議首部的校驗和源IP地址:IP報文的源地址目的IP地址:IP報文的目的地址 上圖為Sniffer對IP

18、協(xié)議首部的解碼分析結構,和IP首部各個字段相對應,并給出了各個字段值所表示含義的英文解釋。如上圖報文協(xié)議(Protocol字段的編碼為0x11,通過Sniffer解碼分析轉換為十進制的17,代表UDP協(xié)議。其他字段的解碼含義可以與此類似,只要對協(xié)議理解的比較清楚對解碼內容的理解將會變的很容易。5.4 ARP協(xié)議以下為ARP報文結構 ARP分組具有如下的一些字段:HTYPE(硬件類型。這是一個16比特字段,用來定義運行ARP的網(wǎng)絡的類型。每一個局域網(wǎng)基于其類型被指派給一個整數(shù)。例如,以太網(wǎng)是類型1。ARP可使用在任何網(wǎng)絡上。PTYPE(協(xié)議類型。這是一個16比特字段,用來定義協(xié)議的類型。例如,對

19、IPv4協(xié)議,這個字段的值是0800。ARP可用于任何高層協(xié)議。HLEN(硬件長度。這是一個8比特字段,用來定義以字節(jié)為單位的物理地址的長度。例如,對以太網(wǎng)這個值是6。PLEN(協(xié)議長度。這是一個8比特字段,用來定義以字節(jié)為單位的邏輯地址的長度。例如,對IPv4協(xié)議這個值是4。OPER(操作。這是一個16比特字段,用來定義分組的類型。已定義了兩種類型:ARP請求(1,ARP回答(2。SHA(發(fā)送站硬件地址。這是一個可變長度字段,用來定義發(fā)送站的物理地址的長度。例如,對以太網(wǎng)這個字段是6字節(jié)長。SPA(發(fā)送站協(xié)議地址。這是一個可變長度字段,用來定義發(fā)送站的邏輯(例如,IP地址的長度。對于IP協(xié)議

20、,這個字段是4字節(jié)長。THA(目標硬件地址。這是一個可變長度字段,用來定義目標的物理地址的長度。例如,對以太網(wǎng)這個字段是6字節(jié)長。對于ARP請求報文,這個字段是全0,因為發(fā)送站不知道目標的物理地址。TPA(目標協(xié)議地址。這是一個可變長度字段,用來定義目標的邏輯地址(例如,IP地址的長度。對于IPv4協(xié)議,這個字段是4字節(jié)長。 上面為通過Sniffer解碼的ARP請求和應答報文的結構。5.5 PPPOE協(xié)議PPPOE簡介簡單來說我們可能把PPPOE報文分成兩大塊,一大塊是PPPOE的數(shù)據(jù)報頭,另一塊則是PPPOE的凈載荷(數(shù)據(jù)域,對于PPPOE報文數(shù)據(jù)域中的內容會隨著會話過程的進行而不斷改變。下

21、圖為PPPOE的報文的格式: 數(shù)據(jù)報文最開始的4位為版本域,協(xié)議中給出了明確的規(guī)定,這個域的內容填充0x01。緊接在版本域后的4位是類型域,協(xié)議中同樣規(guī)定,這個域的內容填充為0x01。代碼域占用1個字節(jié),對于PPPOE 的不同階段這個域內的內容也是不一樣的。會話ID點用2個字節(jié),當訪問集中器還未分配唯一的會話ID給用戶主機的話,則該域內的內容必須填充為0x0000,一旦主機獲取了會話ID 后,那么在后續(xù)的所有報文中該域必須填充那個唯一的會話ID值。長度域為2個字節(jié),用來指示PPPOE數(shù)據(jù)報文中凈載荷的長度。數(shù)據(jù)域,有時也稱之為凈載荷域,在PPPOE的不同階段該域內的數(shù)據(jù)內容會有很大的不同。在P

22、PPOE的發(fā)現(xiàn)階段時,該域內會填充一些Tag (標記;而在PPPOE的會話階段,該域則攜帶的是PPP的報文。RadiusPPPOE捕獲報文測試用例圖如圖所示,Radius Server IP地址為6。PPPOE用戶Radius報文交互過程分析如下。 上圖為PPPOE 從發(fā)現(xiàn)階段到PPP LCP 協(xié)商,認證IPCP 協(xié)商階段和PPPOE 會話階段交互過程。PPPOE 發(fā)現(xiàn)階段,PADI 報文,Sniffer 解碼結構如下所示。PPPOEPADI PPPOE 以太網(wǎng)填TLV 發(fā)現(xiàn)階段PPPOE 報文發(fā)起端MAC 地址充字節(jié)PPPOE 報文結構PPPOE 會話階段,Sniffe

23、r 解碼結構如下所示。PPPOE PPPOE PPP 承載的PPPOE 會話階段協(xié)議頭6bytes協(xié)議頭2bytesIP 協(xié)議報文Session ID 號5.6 Radius 協(xié)議Radius 報文簡介 標準Radius 協(xié)議包結構圖9 Radius 包格式Code :包類型;1字節(jié);指示RADIUS 包的類型。 1 Access- request 認證請求 2 Access- accept 認證響應 3 Access- reject 認證拒絕4 Accounting-request 計費請求5 Accounting-response 計費響應*11 Access-challenge 認證挑戰(zhàn)

24、Identifier:包標識;1字節(jié),取值范圍為0 255;用于匹配請求包和響應包,同一組請求包和響應包的Identifier應相同。Length:包長度;2字節(jié);整個包中所有域的長度。Authenticator:16 字節(jié)長;用于驗證RADIUS服務器傳回來的請求以及密碼隱藏算法上。該驗證字分為兩種:1、請求驗證字-Request Authenticator用在請求報文中,必須為全局唯一的隨機值。2、響應驗證字-Response Authenticator用在響應報文中,用于鑒別響應報文的合法性。響應驗證字=MD5(Code+ID+Length+請求驗證字+Attributes+KeyAttributes:屬性 圖10 屬性格式屬性域是TLV結構編碼。RadiusPPPOE測試用例圖下圖為用戶端PPPOE,Radius Server和