工作軟件-Sniffer使用教程(共15頁(yè))

1、PAGE 1 PAGE iSniffer協(xié)議(xiy)分析軟件教程目 錄 TOC o 1-3 h z u HYPERLINK l _Toc231708343 第0章 Sniffer軟件(run jin)簡(jiǎn)介 PAGEREF _Toc231708343 h 1-1 HYPERLINK l _Toc231708344 0.0 概述(i sh) PAGEREF _Toc231708344 h 1-1 HYPERLINK l _Toc231708345 1.0 功能簡(jiǎn)介 PAGEREF _Toc231708345 h 1-1 HYPERLINK l _Toc231708346 第1章 報(bào)文捕獲解析 P

2、AGEREF _Toc231708346 h 2-1 HYPERLINK l _Toc231708347 0.0 捕獲面板 PAGEREF _Toc231708347 h 2-1 HYPERLINK l _Toc231708348 1.0 捕獲過(guò)程報(bào)文統(tǒng)計(jì) PAGEREF _Toc231708348 h 2-1 HYPERLINK l _Toc231708349 2.0 捕獲報(bào)文查看 PAGEREF _Toc231708349 h 2-2 HYPERLINK l _Toc231708350 3.0 設(shè)置捕獲條件 PAGEREF _Toc231708350 h 2-4 HYPERLINK l _

3、Toc231708351 第2章 報(bào)文放送 PAGEREF _Toc231708351 h 3-1 HYPERLINK l _Toc231708352 0.0 編輯報(bào)文發(fā)送 PAGEREF _Toc231708352 h 3-1 HYPERLINK l _Toc231708353 1.0 捕獲(bhu)編輯報(bào)文發(fā)送 PAGEREF _Toc231708353 h 3-2 HYPERLINK l _Toc231708354 第3章 網(wǎng)絡(luò)監(jiān)視(jinsh)功能 PAGEREF _Toc231708354 h 4-1 HYPERLINK l _Toc231708355 0.0 Dashbord PA

4、GEREF _Toc231708355 h 4-1 HYPERLINK l _Toc231708356 1.0 Application Response Time (ART) PAGEREF _Toc231708356 h 4-1關(guān)鍵詞：Sniffer 協(xié)議(xiy)分析摘 要：本文(bnwn)對(duì)Sniffer軟件(run jin)的功能和使用作了簡(jiǎn)要的介紹，講述了利用工具軟件解決問(wèn)題的思路和一些分析方法?？s略語(yǔ)清單：參考資料清單： STYLEREF 1 * MERGEFORMAT PAGE 4-1Sniffer軟件(run jin)簡(jiǎn)介概述(i sh)Sniffer軟件(run jin)是N

5、AI公司推出的功能強(qiáng)大的協(xié)議分析軟件。本文針對(duì)用Sniffer Pro網(wǎng)絡(luò)分析器進(jìn)行故障解決。利用Sniffer Pro 網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，解決網(wǎng)絡(luò)問(wèn)題，將介紹一套合理的故障解決方法。與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進(jìn)行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運(yùn)行，Sniffer Pro 4.6可以運(yùn)行在各種Windows平臺(tái)上。Sniffer軟件比較大，運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大，否則運(yùn)行比較慢，這也是它與Netxray相比的一個(gè)缺點(diǎn)。功能簡(jiǎn)介下

6、面列出了Sniffer軟件的一些功能介紹，其功能的詳細(xì)介紹可以參考Sniffer的在線(xiàn)幫助。 捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)收集網(wǎng)絡(luò)利用率和錯(cuò)誤等在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置：File-select settings選擇網(wǎng)絡(luò)適配器后才能正常工作。該軟件安裝在Windows 98操作系統(tǒng)上，Sniffer可以選擇撥號(hào)適配器對(duì)窄帶撥號(hào)進(jìn)行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網(wǎng)卡。對(duì)于安裝在Windows 2000/XP上則無(wú)上述功能，這和操作系統(tǒng)有關(guān)。 本文將對(duì)報(bào)文

7、的捕獲幾網(wǎng)絡(luò)性能監(jiān)視等功能(gngnng)進(jìn)行詳細(xì)的介紹。下圖為在軟件中快捷鍵的位置。報(bào)文捕獲(bhu)解析捕獲(bhu)面板報(bào)文捕獲功能可以在報(bào)文捕獲面板(min bn)中進(jìn)行完成，如下是捕獲面板的功能圖：圖中顯示的是處于開(kāi)始狀態(tài)的面板捕獲過(guò)程報(bào)文統(tǒng)計(jì)在捕獲過(guò)程中可以通過(guò)查看下面面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。捕獲報(bào)文查看Sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。如下圖所示，對(duì)于捕獲的報(bào)文提供了一個(gè)Expert專(zhuān)家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。專(zhuān)家(zhunji)分析專(zhuān)家分分析系統(tǒng)提供了一個(gè)只能的分析平臺(tái)(pngti)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于

8、分析出的診斷結(jié)果可以查看在線(xiàn)幫助獲得。在下圖中顯示(xinsh)出在網(wǎng)絡(luò)中WINS查詢(xún)失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的原因。解碼分析下圖是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，目前大部分此類(lèi)軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉，這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情，要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里

9、不對(duì)協(xié)議進(jìn)行過(guò)多講解，請(qǐng)參閱其他相關(guān)資料。對(duì)于(duy)MAC地址(dzh)，Snffier軟件進(jìn)行(jnxng)了頭部的替換，如00e0fc開(kāi)頭的就替換成Huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 Capture-Define Filter和Display-Define Filter。過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選。統(tǒng)計(jì)分析對(duì)于Matrix，Host Table，Portocol Dist. Statistics等提供了豐富的按照地址，協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計(jì)，比較簡(jiǎn)單，可

10、以通過(guò)操作很快掌握這里就不再詳細(xì)介紹了。設(shè)置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。高級(jí)捕獲(bhu)條件在“Advance”頁(yè)面下，你可以(ky)編輯你的協(xié)議捕獲條件，如圖：高級(jí)捕獲(bhu)條件編輯圖在協(xié)議選擇樹(shù)中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下，你可以捕獲，等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤幀

11、是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“Profiles”，你可以將你當(dāng)前設(shè)置的過(guò)濾規(guī)則，進(jìn)行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。任意(rny)捕獲條件在Data Pattern下，你可以編輯任意捕獲條件(tiojin)，如下圖：用這種方法可以(ky)實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候是得不償失，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來(lái)得快。 報(bào)文放送(fn sn)編輯(binj)報(bào)文發(fā)送Sniffer軟件報(bào)文發(fā)送功能就比較弱，如下(rxi)是發(fā)送的主面板圖：發(fā)送前，你需要先編輯報(bào)文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報(bào)文編輯按鈕?？傻玫饺缦碌膱?bào)文編輯窗口：首先要

12、指定數(shù)據(jù)幀發(fā)送的長(zhǎng)度，然后從鏈路層開(kāi)始，一個(gè)一個(gè)將報(bào)文填充完成，如果是NetXray支持可以解析的協(xié)議，從“Decode”頁(yè)面中，可看見(jiàn)解析后的直觀表示。捕獲編輯報(bào)文發(fā)送將捕獲到的報(bào)文直接轉(zhuǎn)換成發(fā)送報(bào)文，然后修修改改可也。如下是一個(gè)捕獲報(bào)文后的報(bào)文查看窗口：選中某個(gè)(mu )捕獲的報(bào)文，用鼠標(biāo)右鍵激活菜單，選擇“Send Current Packet”，這時(shí)你就會(huì)發(fā)現(xiàn)(fxin)，該報(bào)文的內(nèi)容已經(jīng)被原封不動(dòng)的送到“發(fā)送(f sn)編輯窗口”中了。這時(shí)，你在修修改改，就比你全部填充報(bào)文省事多了。發(fā)送模式有兩種：連續(xù)發(fā)送和定量發(fā)送?？梢栽O(shè)置發(fā)送間隔，如果為0，則以最快的速度進(jìn)行發(fā)送。網(wǎng)絡(luò)監(jiān)視(ji

13、nsh)功能網(wǎng)絡(luò)(wnglu)監(jiān)視功能能夠時(shí)刻監(jiān)視網(wǎng)絡(luò)統(tǒng)計(jì)，網(wǎng)絡(luò)上資源的利用率，并能夠監(jiān)視網(wǎng)絡(luò)流量的異常狀況，這里(zhl)只介紹一下Dashbord和ART，其他功能可以參看在線(xiàn)幫助，或直接使用即可，比較簡(jiǎn)單。Dashbord Dashbord可以監(jiān)控網(wǎng)絡(luò)的利用率，流量及錯(cuò)誤報(bào)文等內(nèi)容。通過(guò)應(yīng)用軟件可以清楚看到此功能。Application Response Time (ART)Application Response Time (ART) 是可以監(jiān)視TCP/UDP應(yīng)用層程序在客戶(hù)端和服務(wù)器響應(yīng)時(shí)間，如HTTP,FTP,DNS等應(yīng)用。對(duì)與TCP/UDP響應(yīng)時(shí)間的計(jì)算方法如下TCP For each socket, ART stores the sequence numbers for packets sent by the client and waits for the corresponding ACK packets from the server. It then measures the time difference between the packet with the stored sequence n