实训一网络诊断工具Sniffer的使用

实训一、网络诊疗工具Sniffer的使用一、Sniffer工具介绍概括Sniffer软件是NAI企业推出的功能强盛的协议剖析软件。本文针对用SnifferPro网络剖析器进行故障解决。利用SnifferPro网络剖析器的强盛功能和特点，解决网络问题，将介绍一套合理的故障解决方法。与Netxray比较，Sniffer支持的协议更丰富，比如PPPOE协议等在Netxray其实不支持，在Sniffer上能够进行迅速解码剖析。Netxray不可以在Windows2000和WindowsXP上正常运转，SnifferPro能够运转在各样Windows平台上。Sniffer软件比较大，运转时需要的计算机内存比较大，不然运转比较慢，这也是它与Netxray对比的一个弊端。功能简介下边列出了Sniffer软件的一些功能介绍，其功能的详尽介绍能够参照Sniffer的在线帮助。捕捉网络流量进行详尽剖析利用专家剖析系统诊疗问题及时监控网络活动采集网络利用率和错误等在进行流量捕捉以前第一选择网络适配器，确立从计算机的哪个网络适配器上接收数据。地点：File->selectsettings选择网络适配器后才能正常工作。该软件安装在Windows98操作系统上，Sniffer能够选择拨号适配器对窄带拨号进行操作。假如安装了EnterNet500等PPPOE软件还能够选择虚构出的PPPOE网卡。对于安装在Windows2000/XP上则无上述功能，这和操作系统有关。本文将对报文的捕捉几网络性能监督等功能进行详尽的介绍。下列图为在软件中快捷键的地点。捕捉面板报文捕捉功能能够在报文捕捉面板中进行达成，以下是捕捉面板的功能图：图中显示的是处于开始状态的面板捕捉过程报文统计在捕捉过程中能够经过查察下边面板查察捕捉报文的数目缓和冲区的利用率。捕捉报文查察Sniffer软件供给了强盛的剖析能力和解码功能。以下列图所示，对于捕捉的报文供给了一个Expert专家剖析系统进行剖析，还有解码选项及图形和表格的统计信息。专家剖析专家分剖析系统供给了一个只好的剖析平台，对网络上的流量进行了一些剖析对于剖析出的诊疗结果能够查察在线帮助获取。在下列图中显示出在网络中WINS查问失败的次数及TCP重传的次数统计等内容，能够方便认识网络中高层协议出现故障的可能点。对于某项统计剖析能够经过用鼠标双击此条记录能够查察详尽统计信息且对于每一项都能够经过查察帮助来认识起产生的原由。解码剖析下列图是对捕捉报文进行解码的显示，往常分为三部分，目前大多数此类软件构造都采纳这类构造显示。对于解码主要要求剖析人员对协议比较熟习，这样才能看懂分析出来的报文。使用该软件是很简单的事情，要能够利用软件解码剖析来解决问题重点是要对各样层次的协议认识的比较透辟。工具软件不过供给一个协助的手段。因波及的内容太多，这里不对协议进行过多解说，请参阅其余有关资料。对于MAC地点，Snffier软件进行了头部的替代，如00e0fc开头的就替代成Huawei，这样有益于认识网络上各样有关设施的制造厂商信息。功能是依据过滤器设置的过滤规则进行数据的捕捉或显示。在菜单上的地点分别为Capture->DefineFilter和Display->DefineFilter。过滤器能够依据物理地点或IP地点和协议选择进行组合挑选。统计剖析对于Matrix，HostTable，PortocolDist.Statistics等供给了丰富的依据地点，协议等内容做了丰富的组合统计，比较简单，能够经过操作很快掌握这里就不再详尽介绍了。设置捕捉条件基本捕捉条件基本的捕捉条件有两种：1、链路层捕捉，按源MAC和目的MAC地点进行捕捉，输入方式为十六进制连续输入，如：00E0FC123456。2、IP层捕捉，按源IP和目的IP进行捕捉。输入方式为点间隔方式，如：。假如选择IP层捕捉条件则ARP等报文将被过滤掉。高级捕捉条件在“Advance”页面下，你能够编写你的协议捕捉条件，如图：高级捕捉条件编写图在协议选择树中你能够选择你需要捕捉的协议条件，假如什么都不选，则表示忽视该条件，捕捉所有协议。在捕捉帧长度条件下，你能够捕捉，等于、小于、大于某个值的报文。在错误帧能否捕捉栏，你能够选择当网络上有以下错误时能否捕捉。在保留过滤规则条件按钮“Profiles”，你能够将你目前设置的过滤规则，进行保留，在捕捉主面板中，你能够选择你保留的捕捉条件。随意捕捉条件在DataPattern下，你能够编写随意捕捉条件，以下列图：用这类方法能够实现复杂的报文过滤，但好多时候是得失相当，有时截获的报文本就不多，还不如自己看看来得快。编写报文发送Sniffer软件报文发送功能就比较弱，以下是发送的主面板图：发送前，你需要先编写报文发送的内容。点击发送报文编写按钮。可获取以下的报文编写窗口：第一要指定数据帧发送的长度，而后从链路层开始，一个一个将报文填补达成，假如是NetXray支持能够分析的协议，从“Decode”页面中，可看看法析后的直观表示。捕捉编写报文发送将捕捉到的报文直接变换成发送报文，而后修改正改可也。以下是一个捕捉报文后的报文查察窗口：选中某个捕捉的报文，用鼠标右键激活菜单，选择“SendCurrentPacket”，这时你就会发现，该报文的内容已经被纹丝没动的送到“发送编写窗口”中了。这时，你在修改正改，就比你所有填补报文省事多了。发送模式有两种：连续发送和定量发送。能够设置发送间隔，假如为0，则以最快的速度进行发送。网络监督功能网络监督功能能够时刻监督网络统计，网络上资源的利用率，并能够监督网络流量的异样情况，这里只介绍一下Dashbord和ART，其余功能能够参看在线帮助，或直接使用即可，比较简单。DashbordDashbord能够监控网络的利用率，流量及错误报文等内容。经过应用软件能够清楚看到此功能。ApplicationResponseTime(ART)ApplicationResponseTime(ART)是能够监督TCP/UDP应用层程序在客户端和服务器响应时间，如HTTP,FTP,DNS等应用。数据报文解码详解数据报文分层以下列图所示，对于四层网络构造，其不一样层次达成不通功能。每一层次有众多协议构成。如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码剖析。链路层对应“DLC”；网络层对应“IP”；传输层对应“UDP”；应用层对对应的是“NETB”等高层协议。Sniffer能够针对众多协议进行详尽构造化解码剖析。并利用树形构造优秀的表现出来。以太报文构造EthernetII以太网帧构造Ethernet_II以太网帧种类报文构造为：目的MAC地点（

6bytes

）＋源

MAC地点＋（6bytes）上层协议种类（2bytes）＋数据字段（46-1500bytes)＋校验4bytes）。Sniffer会在捕捉报文的时候自动记录捕捉的时间，在解码显示时显示出来，在剖析问题时供给了很好的时间记录。源目的MAC地点在解码框中能够将前3字节代表厂商的字段翻译出来，方便定位问题，比如网络上2台设施IP地点设置矛盾，能够经过解码翻译出厂商信息方便的将故障设施找到，如00e0fc为华为，010042为Cisco等等。假如需要查察详尽的MAC地点用鼠标在解码框中点击此MAC地点，在下边的表格中会突出显示该地点的16进制编码。IP网络来说Ethertype字段承载的时上层协议的种类主要包含议，0x806为ARP协议。以太网报文构造

0x800

为

IP协上图为帧构造，与EthernetII不通点是目的和源地点后边的字段代表的不是上层协议种类而是报文长度。并多了LLC子层。IP协议IP报文构造为IP协议头＋载荷，此中对IP协议头部的剖析，时剖析的主要内容之一，对于IP报文详尽信息请参照有关资料。这里给出了议头部的一个构造。版本：4——IPv4

IP报文IP协首部长度：单位为4字节，最大60字节TOS：IP优先级字段总长度：单位字节，最大65535字节表记：IP报文表记字段标记：占3比特，只用到低位的两个比特MF（MoreFragment）MF=1，后边还有分片的数据包MF=0，分片数据包的最后一个DF（Don'tFragment）DF=1，不一样意分片DF=0，同意分片段偏移：分片后的分组在原分组中的相对地点，总合13比特，单位为8字节寿命：TTL（TimeToLive）抛弃TTL=0的报文协议：携带的是何种协议报文1：ICMP6：TCP17：UDP89：OSPF头部查验和：对IP协议首部的校验和源IP地点：IP报文的源地点目的IP地点：IP报文的目的地点上图为Sniffer对IP协议首部的解码剖析构造，和IP首部各个字段相对应，并给出了各个字段值所表示含义的英文解说。如上图报文协议（Protocol）字段的编码为0x11，经过Sniffer解码剖析变换为十进制的17，代表UDP协议。其余字段的解码含义能够与此近似，只需对协议理解的比较清楚对解码内容的理解将会变的很简单。二.实验内容及步骤DNS测试使用命令行工具，输入，请给出该域名对应的IP地点和又名，同时给出是哪个域名服务器分析的。telnet测试使用命令行工具，输入，进入南大BBS，进去操作一下，看看文章等，然退后出telnet。捕捉HTTP报文1、翻开sniffer，点击“捕捉”->“定义过滤器”，选择DNS和HTTP（在IP里面的TCP和UDP里面）2、点击“捕捉”->“开始”，开始捕捉DNS和HTTP报文、翻开阅读器，接见学校主页。、捕捉到报文后，点击“捕捉”->“停止并显示”，弹出窗口中点击下边的“解码”问题：1、剖析所抓取的接见学校主页时发送的第一条HTTP恳求报文和第一条HTTP响应报文的格式，指出两种HTTP报文中各行所代表的信息含义（主体部分的不需要剖析）。2、剖析所抓取的接见学校主页时前面5条HTTP恳求报文中的恳求行中的URL，即恳求传递的文件。注意后边的每条HTTP恳求都带有SESSIONID号，该SESSIONID号是由web服务器在第一条HTTP响应报文给的，每条HTTP恳求都带有该SESSIONID号起什么作用。3、剖析所抓取的接见学校主页时共成立了多少个连结，即进行了多少次TCP的握手过程。如何划分这些连结？4、从头抓包，翻开学校主页，而后再分别翻开“O