EtherPeek-NX-2.1软件的基本使用方法

1、精品文档7欢在下载网络协议分析器EtherPeek NX 2.1实验目的：? 掌握EtherPeek NX 2.1 软件的基本使用方法。实验内容：EtherPeek NX 2.1是一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器。主要用监听统计和捕获数据包两种方式进行网络分析。下面我们对以下几个方面进行详细介绍。.监听统计(Monitor statistics )监听统计是从全局来观察网络通信，以便发现网络通信中的瓶颈和异常等问题。网络统计的Gauge和Value窗口分别如图1-1和1-2所示。监听统计的数据采集独立于任何捕获窗 口，不能由筛选器、触发器等其它功能改变。图1-

2、1Total- 询口色 Value /Frrnr Tw”图1-21 .为监听统计选择适配器当首次启动EtherPeek NX时，要求选择一个用于采集监听统计信息的适配器。步骤如 下：(1)从“开始菜单中，选择 WildPackets EtherPeek NX ”来运行程序。(2)在打开的Monitor Options对话中1的Adapter视图中，选择列表中提供的任一支持的以太网适配器，如图1-3所示。EtherPeek NX将使用这个适配器捕获它所监听到的所有通信。(3)在“Monitor ”菜单中，若未选择Monitor Statistics ”项，则选中它。(4) EtherPeek N

3、X基于所选适配器监听到的所有通信，计算得到监听统计信息，继续收集 监听统计信息，直到退出程序或重置统计信息。2 .概要统计(Summary Statistics )概要统计功能允许我们实时监听关键的网络统计信息，并保存这些信息以便以后进行比较。使用概要统计，我们可以保存正常网络活动的统计信息， 然后让存在异常网络行为时 得到的统计信息与其进行比较， 从而有助于准确描述问题的起因。 此外，概要统计也可以用 来比较两个不同网络的性能。下面我们来查看概要统计信息：Monrror (jprions I ocni A ren( annEf Tian修仃可可MAPinkPiimrni Arrfl rnnn

4、rrtinnWbKt： OutputReform击的Piup-q:De 中 HAJu.825451 囹1Ht JelwMcrfc CimrpckppMedlEEthernetiVl!讪*中 70 07*7L nk 导H10nhrar1中y n口Jfid I Help |图1-3(1)在“Monitor ”菜单中选择Summary,即可打开 Summarystatistics 窗口，如图 1-4 所示。(2)单击窗口工具栏的Snapshot按钮，在Current栏中显示的实时网络通信数据将被复制到一个以Snapshot#”命名的新栏中，其中#是snapshot的序号，在这个新栏中， 会显示sna

5、pshot日期和起始时间。(3)在File 菜单中选择Save Summary Statistics ”,来以文本文件形式保存信息。Snapsnac button图1-4二.捕获数据包1 .开始捕获(Start Capture )在EtherPeek NX中捕获数据包，我们需要创建一个捕获窗口，设置它的参数(包括在 特定捕获窗口中使用的适配器)。步骤如下：(1)在File 菜单中选择New，打开Capture Options 对话框，如图1-5所示。图1-5(2)在Capture Options对话中1的General视图中，在 Capture title中输入新创建捕获窗口的名字。(3)在B

6、uffer size中设置捕获缓冲区的大小，或者接受默认大小(16384 kilobytes )。(4) Continuous capture选项用来指定在捕获期间缓冲区的使用方法。当Continuous capture 未选中时，当缓冲满时捕获就停止。当Continuous capture 被选中时，选择单选按钮Discard all packets when wrapping 或 Discard oldestpackets first (use ring buffer )。(5)在Capture Options对话中1的Adapter视图中，从列表中选择一个支持的适配器。(6)在 Trig

7、gers , Filters , Statistics Output 和 Performance 视图中，可进行其它选项的设置，可以在第一次创建捕获窗口时设置，也可以以后通过在“ Capture ”菜单中选 择Capture Options ”来打开Capture Options对话框进行设置。(7)单击OK按钮，即可打开新建的捕获窗口。(8)单击Start Capture 按钮，就会在新建的捕获窗口中出现捕获的数据包。2. Packets 视图捕获窗口中提供了许多方式来查看捕获的通信信息。我们可以通过单击位于捕获窗口底部的标签来打开这些视图。如图 1-6所示。View sectionVie.

8、/ labssmis twrStart Capture buttonWindow Title APrepress sectionCapture status Current Adapter Packets Duration图1-6数据包视图是捕获窗口的核心部分，该视图由三个可选择的窗格组成：数据包列表、解码窗格和十六进制码窗格。数据包列表用来显示所有的数据包，每行一个数据包。解码窗格显示对数据包列表中所选数据包的解码。十六进制码窗格显示的是数据包列表中所选数据包的原始十六进制和ASCII码内容。我们可以通过使用捕获窗口工具条的按钮显示这三部分。在其它视图中显示的统计信息是基于数据包视图中的数据

9、包的。类似的，在其它视图中的Select操作实际上也是在数据包视图中生效的。Select操作，与 Edit菜单中HideSelected Packets 、Hide Unselected Packets 以及 Unhide All Packets命令结合起来，对复杂的分析非常有用。默认数据包列表为每个数据包显示以下栏：Packet , Source地址，Destination 地址，Flag , Size , Protocol , Relative Time, Summary Expert 。可以通过单击 Column headings 打开Packet List Options对话框来添加或

10、删除栏目。如图 1-7所示。this packethas a noteRane View Options aColumn Headings A图1-7三.查看解码数据包通过查看数据包的详细信息能够很快地解决一些网络问题。数据包解码窗口使得我们 能够打开数据包来观察数据包的内部，准确描述问题来源，跟踪出故障的硬件，了解和检验协议的结构和规范。数据包解码窗口表示的是单个数据包的详细结构和内容。EtherPeek NX能够对数以万计的协议和子协议解码， 能够显示出以太网数据包的组成元素，并有英文解释其含义。 我们按下面步骤查看一个数据包的解码。(1)在捕获窗口或数据包文件窗口中打开Packets视图

11、的解码窗格和十六进制码窗格，也可以在Packets窗口中双击任一数据包来打开。如图 1-8所示。Window navigation - Decoder optionsInformation added by EtherFek NX Offsets HexadecimalASCIIWindow headerHu图1-8Flag , Status ,(2)查看解码窗格顶部以绿色显示的部分。这部分包含数据包的PacketLength 和 Timestamp 信息。(3)查看解码窗格的主体部分。信息排列的顺序同数据包自身一致。通过观察这部分通常 能够分析出问题所在。(4)查看解码窗格下面的十六进制码窗

12、格，该窗格显示了数据包原始十六制码，左部是每行首字符的偏移量，右部是原始数据包数据的ASCII码。(5)当在解码窗格中单击一部分使其高亮显示时，在十六进制码窗格和ASCII码窗格数据包中对应字节部分也高亮显示。(6)单击窗口顶部的 Decode Previous 或Decode Next按钮，来观察捕获窗口或数据包文 件窗口中数据包列表中当前数据包的前后数据包。四.在捕获窗口中设置筛选器筛选器可以使我们集中于某些特定的通信。如果想检查两个设备间的问题，比如一台计算机和一台打印机， 地址筛选器能够只捕获两个设备间的通信。如果网络中某个特定功能存在问题，协议筛选器能够帮助我们准确地给出与该功能相关

13、的通信。1 .定义和设置一个基于地址和协议的筛选器地址筛选器用于筛选两个特定网络设备间，或一个特定网络设备和其它设备间的通信。协议筛选器则集中于特定的通信类型或网络功能。下面我们定义一个简单的筛选器，用于筛选通过某个特定协议(Kerberos )进出服务器接口的通信。步骤如下：(1)打开捕获窗口的Filters 视图，或者通过选择View菜单下的Filters ”来打开Filters 窗口。如图1-9所示。图1-9(2)单击Insert按钮，打开 Edit Filter对话框。默认情况下是 Simple视图。从Type下拉列表中可选择 Simple和Advanced视图。Advanced视图提

14、供了额外的 筛选器参数，以及在单一命名筛选器中利用逻辑与、或、非进行多项测试的能力。(3)在Filter 域中输入名字。(4)单击Color控件来为筛选器选择颜色，或者接受默认颜色(黑色)。(5)在Commen做中，可以输入一个评论，此功能可选。(6)选中Address filter 复选框。Type下拉列表中的选项用来确定输入的地址类型，我 们在此选择 Physical 。(7)在Address 1中，输入服务器 NIC的物理地址。物理地址是一些十六进制字符组，并 以冒号间隔。(8)在 Address 2中，单击 Any address 单选按钮。精品文档（ 9 ）单击位于Address f

15、ilter 部分中间的按钮，从下拉列表中选择Both directions 。（10）选中Protocol filter复选框，单击 Protocol按钮来打开 Protocol Filter 对话框。（11 ）在顶部的下拉列表中选择定义协议的方法ProtoSpecs 。（12）选择 Ethernet Type2IPTCPKerberos ,单击 OK接受当前选项，同时关闭 Protocol Filter 对 话 框 ， 返 回 Edit Filter 对 话 框 。 （ 如 果 网 络 是 IEEE802.3 ， 则 选 择 IEEE802.3SNAPIPTCPKerberos。 ）（13）单击OK接受修改并关闭 Edit Filter对话框，新建的筛选器出现在筛选器列表中。（ 14 ）为了在捕获窗口中激活新建的筛选器，打开Filter 视图，选中新建筛选器前的复选框。则将只会捕获筛选器指定的通信。2 Make Filter