实验一 TCP/IP协议分析工具
实验目的: 通过TCP/IP协议分析工具(Sniffer、IRIS 、TCPV iew、Ethereal等),让学生掌握对数据报文进行分析的基本方法,并对报文监听有初步认识。本实验着重介绍Sniffer工具。
实验时数:4小时
实验内容及步骤:
步骤1.熟悉sniffer pro 的基本功能
步骤2.掌握sniffer pro 的网络监控功能
步骤3.掌握sniffer pro的过滤设置,并进行报文监听,对监听到的报文进行分析。sniffer pro文档:
一、S niffer软件简介
Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题,将介绍一套合理的故障解决方法。与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray并不支持,在Sniffer上能够进
行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行,Sniffer Pr o 4.6可以运行在各种Windows平台上。Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。
二、功能简介
下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer的在线帮助。捕获网络流量进行详细分析
利用专家分析系统诊断问题
实时监控网络活动
收集网络利用率和错误等
在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。位置:File->select settings
选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上,Sniffer可以选择
拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE 软件还可以选择虚拟出的PPPOE 网卡。对于安装在Windows 2000/XP 上则无上述功能,这和操作系统有关。 本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。报文捕获解析
●
捕获面板
报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板
捕获开始
捕获暂停
捕获停止
捕获停止并查看
捕获查看
捕获条件编辑
选择捕获条件
●
捕获过程报文统计
在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
捕获报文数捕获报文的数据缓冲大小
详细统计信
息
捕获报文查看
Sniffer 软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
专家分析
系统
专家分析
系统
捕获报文的图形分析
捕获报文的其他
统计信息
专家分析
专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看
帮助来了解起产生的原因。
双击此记录可以
查看详细信息
解码分析
下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。
对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
捕获的
报文
报文解
码
二进制
内容
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture->Define Filter和Display->Define Filter。
过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
统计分析
对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。
设置捕获条件
基本捕获条件
基本的捕获条件有两种:
1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。
2、IP 层捕获,按源IP 和目的IP 进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。
链任意捕获条件编辑
协议捕获编辑
缓冲区编辑
网站流量统计分析工具基本捕获条件路层捕获IP 层捕获
数据流方向
链路层捕获地址条件
高级捕获条件
在“Advance ”页面下,你可以编辑你的协议捕获条件,如图:
选择要捕获的协议
捕获帧长度条件
错误帧是否捕获
保存过滤规则条件
高级捕获条件编辑图
在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。
在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。 在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。
在保存过滤规则条件按钮“Profiles ”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。 任意捕获条件
在Data Pattern 下,你可以编辑任意捕获条件,如下图:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论