网络协议分析器EtherPeek NX 2.1实验目的:ü 掌握EtherPeek NX 2.1软件的基本使用方法实验内容:EtherPeek NX 2.1是一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器主要用监听统计和捕获数据包两种方式进行网络分析下面我们对以下几个方面进行详细介绍一.监听统计(Monitor statistics)监听统计是从全局来观察网络通信,以便发现网络通信中的瓶颈和异常等问题网络统计的Gauge和Value窗口分别如图1-1和1-2所示监听统计的数据采集独立于任何捕获窗口,不能由筛选器、触发器等其它功能改变 图1-1图1-21.为监听统计选择适配器当首次启动EtherPeek NX时,要求选择一个用于采集监听统计信息的适配器步骤如下:(1)从“开始”菜单中,选择“WildPackets EtherPeek NX”来运行程序2)在打开的Monitor Options对话框的Adapter视图中,选择列表中提供的任一支持的以太网适配器,如图1-3所示EtherPeek NX将使用这个适配器捕获它所监听到的所有通信3)在“Monitor”菜单中,若未选择“Monitor Statistics”项,则选中它。
4)EtherPeek NX基于所选适配器监听到的所有通信,计算得到监听统计信息,继续收集监听统计信息,直到退出程序或重置统计信息2.概要统计(Summary Statistics)概要统计功能允许我们实时监听关键的网络统计信息,并保存这些信息以便以后进行比较使用概要统计,我们可以保存正常网络活动的统计信息,然后让存在异常网络行为时得到的统计信息与其进行比较,从而有助于准确描述问题的起因此外,概要统计也可以用来比较两个不同网络的性能下面我们来查看概要统计信息:图1-3(1)在“Monitor”菜单中选择“Summary”,即可打开Summary Statistics窗口,如图1-4所示2)单击窗口工具栏的Snapshot按钮,在Current栏中显示的实时网络通信数据将被复制到一个以“Snapshot#”命名的新栏中,其中“#”是snapshot的序号,在这个新栏中,会显示snapshot日期和起始时间3)在“File”菜单中选择“Save Summary Statistics”,来以文本文件形式保存信息图1-4二.捕获数据包1.开始捕获(Start Capture)在EtherPeek NX中捕获数据包,我们需要创建一个捕获窗口,设置它的参数(包括在特定捕获窗口中使用的适配器)。
步骤如下:(1)在“File”菜单中选择“New…”,打开Capture Options对话框,如图1-5所示图1-5(2)在Capture Options对话框的General视图中,在Capture title中输入新创建捕获窗口的名字3)在Buffer size中设置捕获缓冲区的大小,或者接受默认大小(16384 kilobytes)4)Continuous capture选项用来指定在捕获期间缓冲区的使用方法当Continuous capture未选中时,当缓冲满时捕获就停止当Continuous capture被选中时,选择单选按钮Discard all packets when wrapping或Discard oldest packets first(use ring buffer)5)在Capture Options对话框的Adapter视图中,从列表中选择一个支持的适配器6)在Triggers,Filters,Statistics Output和Performance视图中,可进行其它选项的设置,可以在第一次创建捕获窗口时设置,也可以以后通过在“Capture”菜单中选择“Capture Options…”来打开Capture Options对话框进行设置。
7)单击OK按钮,即可打开新建的捕获窗口8)单击Start Capture按钮,就会在新建的捕获窗口中出现捕获的数据包2.Packets视图捕获窗口中提供了许多方式来查看捕获的通信信息我们可以通过单击位于捕获窗口底部的标签来打开这些视图如图1-6所示图1-6数据包视图是捕获窗口的核心部分,该视图由三个可选择的窗格组成:数据包列表、解码窗格和十六进制码窗格数据包列表用来显示所有的数据包,每行一个数据包解码窗格显示对数据包列表中所选数据包的解码十六进制码窗格显示的是数据包列表中所选数据包的原始十六进制和ASCII码内容我们可以通过使用捕获窗口工具条的按钮显示这三部分在其它视图中显示的统计信息是基于数据包视图中的数据包的类似的,在其它视图中的Select操作实际上也是在数据包视图中生效的Select操作,与Edit菜单中Hide Selected Packets、Hide Unselected Packets以及Unhide All Packets命令结合起来,对复杂的分析非常有用默认数据包列表为每个数据包显示以下栏:Packet,Source地址,Destination地址,Flag,Size,Protocol,Relative Time,Summary,Expert。
可以通过单击Column headings打开Packet List Options对话框来添加或删除栏目如图1-7所示图1-7三.查看解码数据包通过查看数据包的详细信息能够很快地解决一些网络问题数据包解码窗口使得我们能够打开数据包来观察数据包的内部,准确描述问题来源,跟踪出故障的硬件,了解和检验协议的结构和规范数据包解码窗口表示的是单个数据包的详细结构和内容EtherPeek NX能够对数以万计的协议和子协议解码,能够显示出以太网数据包的组成元素,并有英文解释其含义我们按下面步骤查看一个数据包的解码1)在捕获窗口或数据包文件窗口中打开Packets视图的解码窗格和十六进制码窗格,也可以在Packets窗口中双击任一数据包来打开如图1-8所示图1-8(2)查看解码窗格顶部以绿色显示的部分这部分包含数据包的Flag,Status,PacketLength和Timestamp信息3)查看解码窗格的主体部分信息排列的顺序同数据包自身一致通过观察这部分通常能够分析出问题所在4)查看解码窗格下面的十六进制码窗格,该窗格显示了数据包原始十六制码,左部是每行首字符的偏移量,右部是原始数据包数据的ASCII码。
5)当在解码窗格中单击一部分使其高亮显示时,在十六进制码窗格和ASCII码窗格数据包中对应字节部分也高亮显示6)单击窗口顶部的Decode Previous或Decode Next按钮,来观察捕获窗口或数据包文件窗口中数据包列表中当前数据包的前后数据包四.在捕获窗口中设置筛选器筛选器可以使我们集中于某些特定的通信如果想检查两个设备间的问题,比如一台计算机和一台打印机,地址筛选器能够只捕获两个设备间的通信如果网络中某个特定功能存在问题,协议筛选器能够帮助我们准确地给出与该功能相关的通信1.定义和设置一个基于地址和协议的筛选器地址筛选器用于筛选两个特定网络设备间,或一个特定网络设备和其它设备间的通信协议筛选器则集中于特定的通信类型或网络功能下面我们定义一个简单的筛选器,用于筛选通过某个特定协议(Kerberos)进出服务器接口的通信步骤如下:(1)打开捕获窗口的Filters视图,或者通过选择“View”菜单下的“Filters”来打开Filters窗口如图1-9所示图1-9(2)单击Insert按钮,打开Edit Filter对话框默认情况下是Simple视图从Type下拉列表中可选择Simple和Advanced视图。
Advanced视图提供了额外的筛选器参数,以及在单一命名筛选器中利用逻辑与、或、非进行多项测试的能力3)在Filter域中输入名字4)单击Color控件来为筛选器选择颜色,或者接受默认颜色(黑色)5)在Comment域中,可以输入一个评论,此功能可选6)选中Address filter复选框Type下拉列表中的选项用来确定输入的地址类型,我们在此选择Physical7)在Address 1中,输入服务器NIC的物理地址物理地址是一些十六进制字符组,并以冒号间隔8)在Address 2中,单击Any address单选按钮9)单击位于Address filter部分中间的按钮,从下拉列表中选择Both directions10)选中Protocol filter复选框,单击Protocol…按钮来打开Protocol Filter对话框11)在顶部的下拉列表中选择定义协议的方法ProtoSpecs12)选择Ethernet Type2>IP>TCP>Kerberos,单击OK接受当前选项,同时关闭Protocol Filter对话框,返回Edit Filter对话框如果网络是IEEE802.3,则选择IEEE802.3>SNAP>IP>TCP>Kerberos。
13)单击OK接受修改并关闭Edit Filter对话框,新建的筛选器出现在筛选器列表中14)为了在捕获窗口中激活新建的筛选器,打开Filter视图,选中新建筛选器前的复选框则将只会捕获筛选器指定的通信2.Make Filter命令创建新筛选器的一个简单的方法就是使用Make Filter命令,在许多窗口提供了Make Filter按钮,或者在适当位置右击得到的菜单中有Make Filter命令Make Filter命令对所选数据包或统计项来创建筛选器Make Filter也可以用于Name Table中,对所选命名结点、协议或端口来创建筛选器,还可以用在数据包解码窗口中对所选数据项来创建筛选器如果选择了多项,则Make Filter命令为每项创建一个筛选器。