《实训一 网络诊断工具Sniffer的使用》由会员分享,可在线阅读,更多相关《实训一 网络诊断工具Sniffer的使用(23页珍藏版)》请在金锄头文库上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Snifffer软软件是NNAI公公司推出出的功能能强大的的协议分分析软件件。本文文针对用用Sniiffeer PPro网网络分析析器进行行故障解解决。利利用Snnifffer Proo 网络络分析器器的强大大功能和和特征,解解决网络络问题,将将介绍一一套合理理的故障障解决方方法。与Netxxrayy比较,SSniffferr支持的的协议更更丰富,例例如PPPPOEE协议等等在Neetxr
2、ray并并不支持持,在SSniffferr上能够够进行快快速解码码分析。Netxray不能在Windows 2000和Windows XP上正常运行,Sniffer Pro 4.6可以运行在各种Windows平台上。Snifffer软软件比较较大,运运行时需需要的计计算机内内存比较较大,否否则运行行比较慢慢,这也也是它与与Nettxraay相比比的一个个缺点。功能简介下面列出了了Sniiffeer软件件的一些些功能介介绍,其其功能的的详细介介绍可以以参考SSniffferr的在线线帮助。 捕获网络流流量进行行详细分分析利用专家分分析系统统诊断问问题实时监控网网络活动动收集网络利利用率和和错误等
3、等在进行流量量捕获之之前首先先选择网网络适配配器,确确定从计计算机的的哪个网网络适配配器上接接收数据据。位置置:Fiile-seelecct ssetttinggs选择网络适适配器后后才能正正常工作作。该软软件安装装在Wiindoows 98操操作系统统上,SSniffferr可以选选择拨号号适配器器对窄带带拨号进进行操作作。如果果安装了了EntterNNet5500等等PPPPOE软软件还可可以选择择虚拟出出的PPPPOEE网卡。对对于安装装在Wiindoows 20000/XXP上则则无上述述功能,这这和操作作系统有有关。 本文将对报报文的捕捕获几网网络性能能监视等等功能进进行详细细的介绍
4、绍。下图图为在软软件中快快捷键的的位置。捕获面板报文捕获功功能可以以在报文文捕获面面板中进进行完成成,如下下是捕获获面板的的功能图图:图中中显示的的是处于于开始状状态的面面板捕获过程报报文统计计在捕获过程程中可以以通过查查看下面面面板查查看捕获获报文的的数量和和缓冲区区的利用用率。捕获报文查查看Snifffer软软件提供供了强大大的分析析能力和和解码功功能。如如下图所所示,对对于捕获获的报文文提供了了一个EExpeert专专家分析析系统进进行分析析,还有有解码选选项及图图形和表表格的统统计信息息。专家分析专家分分析析系统提提供了一一个只能能的分析析平台,对对网络上上的流量量进行了了一些分分析对
5、于于分析出出的诊断断结果可可以查看看在线帮帮助获得得。在下图中显显示出在在网络中中WINNS查询询失败的的次数及及TCPP重传的的次数统统计等内内容,可可以方便便了解网网络中高高层协议议出现故故障的可可能点。对于某项统统计分析析可以通通过用鼠鼠标双击击此条记记录可以以查看详详细统计计信息且且对于每每一项都都可以通通过查看看帮助来来了解起起产生的的原因。解码分析下图是对捕捕获报文文进行解解码的显显示,通通常分为为三部分分,目前前大部分分此类软软件结构构都采用用这种结结构显示示。对于于解码主主要要求求分析人人员对协协议比较较熟悉,这这样才能能看懂解解析出来来的报文文。使用用该软件件是很简简单的事事
6、情,要要能够利利用软件件解码分分析来解解决问题题关键是是要对各各种层次次的协议议了解的的比较透透彻。工工具软件件只是提提供一个个辅助的的手段。因因涉及的的内容太太多,这这里不对对协议进进行过多多讲解,请请参阅其其他相关关资料。对于MACC地址,SSnfffierr软件进进行了头头部的替替换,如如00ee0fcc开头的的就替换换成Huuaweei,这这样有利利于了解解网络上上各种相相关设备备的制造造厂商信信息。功能是按照照过滤器器设置的的过滤规规则进行行数据的的捕获或或显示。在在菜单上上的位置置分别为为 Caaptuure-Deefinne FFiltter和和Dissplaay-Deffine
7、e Fiilteer。过滤器可以以根据物物理地址址或IPP地址和和协议选选择进行行组合筛筛选。统计分析对于Mattrixx,Hosst TTablle,Porrtoccol Disst. Staatissticcs等提提供了丰丰富的按按照地址址,协议议等内容容做了丰丰富的组组合统计计,比较较简单,可可以通过过操作很很快掌握握这里就就不再详详细介绍绍了。设置捕获条条件基本捕获条条件基本的捕获获条件有有两种:1、链路层层捕获,按按源MAAC和目目的MAAC地址址进行捕捕获,输输入方式式为十六六进制连连续输入入,如:00EE0FCC12334566。2、IP层层捕获,按按源IPP和目的的IP进行行捕
8、获。输输入方式式为点间间隔方式式,如:10.1077.1.1。如如果选择择IP层捕捕获条件件则ARRP等报报文将被被过滤掉掉。高级捕获条条件在“Advvancce”页页面下,你你可以编编辑你的的协议捕捕获条件件,如图图:高级捕获条条件编辑辑图在协议选择择树中你你可以选选择你需需要捕获获的协议议条件,如如果什么么都不选选,则表表示忽略略该条件件,捕获获所有协协议。在捕获帧长长度条件件下,你你可以捕捕获,等等于、小小于、大大于某个个值的报报文。在错误帧是是否捕获获栏,你你可以选选择当网网络上有有如下错错误时是是否捕获获。在保存过滤滤规则条条件按钮钮“Prrofiiless”,你你可以将将你当前前设
9、置的的过滤规规则,进进行保存存,在捕捕获主面面板中,你你可以选选择你保保存的捕捕获条件件。任意捕获条条件在Dataa Paatteern下下,你可可以编辑辑任意捕捕获条件件,如下下图:用这种方法法可以实实现复杂杂的报文文过滤,但但很多时时候是得得不偿失失,有时时截获的的报文本本就不多多,还不不如自己己看看来来得快。 编辑报文发发送Snifffer软软件报文文发送功功能就比比较弱,如如下是发发送的主主面板图图:发送前,你你需要先先编辑报报文发送送的内容容。点击击发送报报文编辑辑按钮。可可得到如如下的报报文编辑辑窗口:首先要指定定数据帧帧发送的的长度,然然后从链链路层开开始,一一个一个个将报文文填
10、充完完成,如如果是NNetXXrayy支持可可以解析析的协议议,从“Decode”页面中,可看见解析后的直观表示。捕获编辑报报文发送送将捕获到的的报文直直接转换换成发送送报文,然然后修修修改改可可也。如如下是一一个捕获获报文后后的报文文查看窗窗口:选中某个捕捕获的报报文,用用鼠标右右键激活活菜单,选选择“SSendd Cuurreent Pacckett”,这这时你就就会发现现,该报报文的内内容已经经被原封封不动的的送到“发发送编辑辑窗口”中中了。这这时,你你在修修修改改,就就比你全全部填充充报文省省事多了了。发送模式有有两种:连续发发送和定定量发送送。可以以设置发发送间隔隔,如果果为0,则以
11、以最快的的速度进进行发送送。网络监视功功能网络监视功功能能够够时刻监监视网络络统计,网网络上资资源的利利用率,并并能够监监视网络络流量的的异常状状况,这这里只介介绍一下下Dasshboord和和ARTT,其他他功能可可以参看看在线帮帮助,或或直接使使用即可可,比较较简单。Dashbbordd Dashbbordd可以监监控网络络的利用用率,流流量及错错误报文文等内容容。通过过应用软软件可以以清楚看看到此功功能。Appliicattionn Reespoonsee Tiime (ARRT)Appliicattionn Reespoonsee Tiime (ARRT) 是可以以监视TTCP/UDP
12、P应用层层程序在在客户端端和服务务器响应应时间,如如HTTTP,FFTP,DNSS等应用用。数据报文解解码详解解数据报文分分层如下图所示示,对于于四层网网络结构构,其不不同层次次完成不不通功能能。每一一层次有有众多协协议组成成。如上图所示示在Snnifffer的的解码表表中分别别对每一一个层次次协议进进行解码码分析。链链路层对对应“DDLC”;网络层层对应“IP”;传输层对应“UDP”;应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。以太报文结结构EtherrnettII以以太网帧帧结构Etherrnett_III以太
13、网网帧类型型报文结结构为:目的MMAC地地址(66byttes)源MAAC地址址(66byttes)上上层协议议类型(2bytes)数据字段(46-1500bytes)校验(4bytes)。 Snifffer会会在捕获获报文的的时候自自动记录录捕获的的时间,在在解码显显示时显显示出来来,在分分析问题题时提供供了很好好的时间间记录。源目的MAAC地址址在解码码框中可可以将前前3字节代代表厂商商的字段段翻译出出来,方方便定位位问题,例例如网络络上2台设备备IP地址址设置冲冲突,可可以通过过解码翻翻译出厂厂商信息息方便的的将故障障设备找找到,如如00ee0fcc为华为为,01100442为Cissc
14、o等等等。如如果需要要查看详详细的MMAC地地址用鼠鼠标在解解码框中中点击此此MACC地址,在在下面的的表格中中会突出出显示该该地址的的16进制制编码。IP网络来来说Ettherrtyppe字段段承载的的时上层层协议的的类型主主要包括括0x8800为为IP协议议,0xx8066为ARPP协议。IEEE8802.3以太太网报文文结构 上图为IEEEE8802.3SNNAP帧帧结构,与与EthhernnetIII不通通点是目目的和源源地址后后面的字字段代表表的不是是上层协协议类型型而是报报文长度度。并多多了LLLC子层层。IP协议IP报文结结构为IIP协议议头载载荷,其其中对IIP协议议头部的的分
15、析,时时分析IIP报文文的主要要内容之之一,关关于IPP报文详详细信息息请参考考相关资资料。这这里给出出了IPP协议头头部的一一个结构构。版本:4IPPv4首部长度:单位为为4字节,最最大600字节TOS:IIP优先先级字段段总长度:单单位字节节,最大大655535字字节标识:IPP报文标标识字段段标志:占33比特,只只用到低低位的两两个比特特 MMF(Morre FFraggmennt) MMF=11,后面面还有分分片的数数据包 MMF=00,分片片数据包包的最后后一个 DDF(Donnt Fraagmeent) DDF=11,不允允许分片片 DDF=00,允许许分片段偏移:分分片后的的分组在在原分组组中的相相对位置置,总共共13比特特,单位位为8字节寿命:TTTL(Timme TTo LLivee)丢弃弃TTLL=0的的报文协议:携带带的是何何种协议议报文 11 :ICMMP 66 :TCPP 117:UDPP 889:OSPPF头部检验和和:对IIP协议议首部的的校验和
