Packetyzer使用指南.doc

Packetyzer使用指南TR系列快速安装手册目 录第一章简介2第二章Packetyzer的基本操作32.1启动Packetyzer32.2开始停止抓包32.3清除报文42.4查看报文42.5查找报文5第三章Packetyzer高级配置83.1报文过滤83.1.1Capture filters83.1.2Display Filters123.2连接数统计163.3协议统计173.4流量统计183.5查看TCP 流19Packetyzer使用指南第一章 简介Packetyzer 是Windows下一款优秀的网络报文分析软件，它基于开源的Ethereal，所以它具有Ethereal的强大的报文解析功能（目前支持近500种协议）。另外，它在Ethereal的基础上对界面进行了美化，具有很强的可视化效果。在下面的章节中，将对其常用功能进行详细的介绍。第二章 Packetyzer的基本操作2.1 启动Packetyzer双击Packetyzer图标后，将出现一下启动画面：在”Capture Option” 对户框中，我们可以对基本的抓包选项进行配置。如：“Avdapter”选项可以指定在哪个网卡上面进行抓包；“Limit total capture to”选项可以指定所抓报文的最大数量，当所抓的报文的字节总数达到这个值以后，将会自动停止抓包，当网络流量大，并且需要长时间对报文进行监控的时候，建议把该值配大一点。一般情况下我们采用默认配置即可，当点击“OK”以后，便可按照您的配置进入抓包主页面。2.2 开始停止抓包您只需点击左上角“Decode”选项卡中的“”按钮便可以进行抓包。如图：当开始抓包以后，“”将变成“”， 您只需要点击“”便可以停止抓包。2.3 清除报文如果您想清除当前所抓到的报文，可以点击左上角“Decode”选项卡中的“”按钮便可以清除所抓到的所有报文。2.4 查看报文如果您想查看某一个报文，您只需要在右边窗口点击选中那个报文，Packetyzer便会在左边的解析窗口中把报文的详细信息解析出来，如：2.5 查找报文如果您想在所抓到的报文中查找某一类特定的报文，你可以进行如下操作：第一步：点击左上角菜单栏中的“”按钮，便会出现一下对话框： 第二步：选择查找的条件。 如我们想要查找DNS Query报文，那么我们可以进行如下选择：当点击“find”以后，Packetyzer便会高亮显示查找到的报文。此外，我们还可以进行更高级的查找，如可以自定义查找规则、指定查找包含某一些字符的报文等等。第三章 Packetyzer高级配置3.1 报文过滤Packetyzer对报文的过滤分为两种类型：Capture filters与Display Filter。Capture filters：用来过滤Packetyzer所抓的报文，Packetyzer只抓满足条件的报文。Display Filter： 用来过滤显示在界面上的报文，Packetyzer抓取所有的报文，但是只在几面上显示满足条件的报文3.1.1 Capture filters如果要对Packetyzer所抓的报文进行限制，可以配置Packetyzer的Capture filters功能。 Capture filters语法由于没有找到比较完善的语法规则，所以这里只做示例介绍。Example Ethernet: capture all traffic to and from the Ethernet address 08:00:08:15:ca:feether host 08:00:08:15:ca:feExample IP: capture all traffic to and from the IP address 0host 0Example TCP: capture all traffic to and from the TCP port 80 (http) of all machinestcp port 80Examples combined: capture all traffic to and from 0 except httphost 0 and not tcp port 80 Capture filters配置步骤第一步：选中Packetyzer的“Capture filters”选项卡，如图：第二步：点击新建过滤规则按钮“”，创建一个新的过滤规则。如图：第三步：输入过滤规则。如图：第四步：保存过滤规则。如图：当规则保存后，Packetyzer便会立即启用该规则。另外，在该选项卡中还提供了其它更多的功能，如修改、删除、停用某（几）个过滤规则等。3.1.2 Display Filters如果要对Packetyzer所抓取的报文进行分类显示，可以配置Packetyzer的Display Filter功能。 Display Filters语法Display Filter的语法与Capture filter的语法不同，它可以使用我们熟悉的运算符： eq, = Equal ne, != Not equal gt, Greater than lt, = Greater than or Equal to le, Analyze TCP Flow，便可以查看这条TCP流的交互过程。如图：第一步：选中所要查看的TCP流，并点击右键。第二步：选择“Analyze TCP Flo