高級分組檢錯利器Sniffer Pro輔助使用(圖)
一、sniffer原理
sniffer是用于高級分組檢錯的工具。它可提供分組獲取和譯碼的功能,它可以提供圖形以確切的指出在你的網絡中哪里正出現嚴重的業務擁塞。
在以太網中,所有的通訊都是廣播的,也就是說通常在同一個網段的所有網絡接口都可以訪問在物理媒體上傳輸的所有數據,而每一個網絡接口都有一個***的硬件地址,這個硬件地址也就是網卡的MAC地址,大多數系統使用48比特的地址,這個地址用來表示網絡中的每一個設備,一般來說每一塊網卡上的MFC地址都是不同的,每個網卡廠家得到一段地址,然后用這段地址分配給其生產的每個網卡一個地址。在硬件地址和IP地址間使用ARP和RARP協議進行相互轉換。
在正常的情況下,一個網絡接口應該只響應這樣的兩種數據幀:
1.與自己硬件地址相匹配的數據禎
2.發向所有機器的廣播數據幀。
在一個實際的系統中,數據的收發是由網卡來完成的,網卡接收到傳輸來的數據,網卡內的單片程序接收數據幀的目的MAC地址,根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收,認為該接收就接收后產生中斷信號通知CPU,認為不該接收就丟掉不管,所以不該接收的數據網卡就截斷了,計算機根本就不知道。CPU得到中斷信號產生中斷,操作系統就根據網卡的驅動程序設置的網卡中斷程序地址調用驅動程序接收數據,驅動程序接收數據后放入信號堆棧讓操作系統處理。
而對于網卡來說一般有四種接收模式:
廣播方式:該模式下的網卡能夠接收網絡中的廣播信息。
組播方式:設置在該模式下的網卡能夠接收組播數據。
直接方式:在這種模式下,只有目的網卡才能接收該數據。
混雜模式:在這種模式下的網卡能夠接收一切通過它的數據,而不管該數據是否是傳給它的。
總結一下,首先,我們知道了在以太網中是基于廣播方式傳送數據的,也就是說,所有的物理信號都要經過我的機器,再次,網卡可以置于一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠接收到一切通過它的數據,而不管實際上數據的目的地址是不是他。這實際上就是我們SNIFF工作的基本原理:讓網卡接收一切他所能接收的數據。
二、網絡監控的幾種模式
1、moniteràhosttable
圖中不同顏色的區塊代表了同一網段內與你的主機相連接的通信量的多少。本例以IP地址為測量基準。
2、monitoràmatrix
該蘭色圓中的各點連線表明了當前處于活躍狀態的點對點連接,也可通過將鼠標放在IP地址上點右鍵àshowselectnodes查看特定的點對多點的網絡連接,如下圖,表示出與192.168.0.250相連接的IP地址
3、monitoràprotocoldistribution查看協議分布狀態,可以看到不同顏色的區塊代表不同的網絡協議
4、monitoràdashboard
該表顯示各項網絡性能指標包括利用率、傳輸速度、錯誤率
5、monitor-sizedistribution可以查看網絡上傳輸包的大小比例分配。
6、monitoràapplicationresponsetime
該表顯示了局域網內的通信其響應速度列表,并將本地網段的機器名以NETBIOS名的形式解析出來。
三、包的抓取與分析
1、過濾器的定制definefilter.Capture-definefilter
進入該界面后address指定以IP地址為類型,然后在下面的station1和station2中分別指定源和目的地地址。并將該設置指定為某settingprofile.
這個圖中顯示的是sniffer設置過濾條件的對話框。過濾條件可以用邏輯關系,比如像AND、OR、NOT等組合來設置。在這里可以設置的過濾條件有IP地址或者物理地址(一般我們說的都是在Internet之中,使用的是TCP/IP協議,所以選擇Ip地址是比較合適的)、數據包、協議等。好,那就一下下來設置看看了。
***、地址類型,選擇IP了。選擇模式,如果選包括,其意義就是指sniffer在捕獲的時候就會只對你在Station1中和Station2中所列的節點包進行捕獲。選擇除外則恰恰相反。也就是說它在捕獲的時候會過濾掉Station1和Station2中所列及的地址數據包的。
第二、在Station1和Station2以及DIR的設置中,你可以指定地址對,而我要對它截獲的是與他連接的所有主機,也就是說這個Any代表的是任何主機的意思。至于Dir,則是要選擇你要捕獲的目標主機與其連接主機間的信息流向,這里選的是互流,即為要截獲的是與之所連接的所有主機與它的信息數據.
2、captureàselectfilteràstart
在上圖中的1部分,顯示的是所監控的202.103.190.4與202.103.137.1主機間的應用層的協議以及對監控之后所得到的數據包的總結以及有效數據包的長度和整個數據包的長度、確認序列號的信息。上圖中是我對OICQ的監控,所以它顯示的端口是8000和4000。
而第2部分是對應1中的灰色區域里的數據包內容從協議的上進行的分析。這個圖中所顯示的是1中灰色部分的IP和TCP層的解釋,從這里可以看出這個捕獲到的數據包的組成以及數據包使用的端口、狀態、時間等許多信息,用鼠標拉動滾動條可以看到更詳細的對以太楨和應用層的解釋。
第3部分是這次捕獲的數據包的內容,能看到的是十六進制和ASCII兩中顯示形式。左邊是用十六進制表示的包中每一個數據的位置,中間的部分是用十六進制表示的被截獲的數據包中的內容,右邊看到的則是ASCII形式。
【編輯推薦】
