sniffer pro（sniffer）

1、首先，捕获数据包前的准备工作

2、默认情况下，sniffer会捕获所有在其访问冲突域中流动的数据包，但在某些场景下，有些数据包可能不是我们需要的。为了快速定位网络问题，需要过滤要捕获的数据包。

3、Sniffer提供了捕获数据包前过滤规则的定义，包括三层地址的定义和上百种协议的定义。定义过滤规则的实践通常如下：

【资料图】

4、在主界面中选择capturedefinefilter选项。

5、Definefilteraddress，这是最常用的定义。包括MAC地址、ip地址和ipx地址的定义。以IP地址过滤为例，如图1所示。

6、

7、例如，要捕获地址为10.1.30.100的主机与其他主机之间的通信信息，在Mode选项卡中，选择Include(选择Exclude选项意味着捕获除此地址之外的所有数据包)；在电台选项中，

8、在任意一列中填入10 . 1 . 30 . 100 any(另一列中的any(any)表示所有IP地址)。这就完成了地址的定义。

9、定义filteradvanced，定义要捕获的相关协议的数据包。2。

10、

11、比如你要抓取FTP、NETBIOS、DNS、HTTP的数据包，首先要打开TCP标签，然后选择协议。还需要明确的是，DNS和NETBIOS的部分数据包属于UDP协议。

12、所以需要在UDP tab中做一些类似TCP tab的事情，否则抓取的数据包会不完整。

13、如果没有选择任何协议，则捕获所有协议的数据包。

14、在PacketSize选项中，您可以定义捕获的包大小，如图3所示，它定义了捕获的包大小在64和128字节之间的包。

15、

16、Definefilterbuffer定义捕获数据包的缓冲区。4:

17、

18、Buffersize选项卡，将其设置为最大值40M。

19、Capturebuffer选项卡将设置缓冲文件的存储位置。

20、最后，需要将定义的过滤规则应用于捕获。5:

21、

22、单击SelectFilterCapture中定义的捕获规则。

23、第二，捕获数据包时观察到的信息

24、CaptureStart，启动捕获引擎。

25、Sniffer可以实时监控主机、协议、应用程序和不同包类型的分布。6:

26、

27、Dashboard:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。

28、HostTable：可以查看通信量最大的前10位主机。

29、Matrix:通过连线，可以形象的看到不同主机之间的通信。

30、ApplicationResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。

31、HistorySamples:可以看到历史数据抽样出来的统计值。

32、Protocoldistribution:可以实时观察到数据流中不同协议的分布情况。

33、Switch:可以获取cisco交换机的状态信息。

34、在捕获过程中，同样可以对想观察的信息定义过滤规则，操作方式类似捕获前的过滤规则。

35、三、捕获数据包后的分析工作

36、要停止sniffer捕获包时，点选CaptureStop或者CaptureStopandDisplay,前者停止捕获包，后者停止捕获包并把捕获的数据包进行解码和显示。7：

37、

38、Decode:对每个数据包进行解码，可以看到整个包的结构及从链路层到应用层的信息，事实上，sniffer的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实践经验上提出较高的要求。

39、素质较高的使用者借此工具便可看穿网络问题的结症所在。

40、Expert:这是sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出非常有价值的诊断信息。图8，

41、是sniffer侦查到IP地址重叠的例子及相关的解析。

42、

43、sniffer同样提供解码后的数据包过滤显示。

44、要对包进行显示过滤需切换到Decode模式。

45、Displaydefinefilter，定义过滤规则。

46、Displayselectfilter,应用过滤规则。

47、显示过滤的使用基本上跟捕获过滤的使用相同。

48、四、sniffer提供的工具应用

49、sniffer除了提供数据包的捕获、解码及诊断外，还提供了一系列的工具，包括包发生器、ping、traceroute、DNSlookup、finger、whois等工具。

50、其中，包发生器比较有特色，将做简单介绍。其他工具在操作系统中也有提供，不做介绍。

51、包发生器提供三种生成数据包的方式：

52、新构一个数据包，包头、包内容及包长由用户直接填写。图9，定义一个广播包，使其连续发送，包的发送延迟位1ms　

53、

54、发送在Decode中所定位的数据包，同时可以在此包的基础上对数据包进行如前述的修改。

55、发送buffer中所有的数据包，实现数据流的重放。见图10：

56、 图10

57、可以定义连续地发送buffer中地数据包或只发送一次buffer中地数据包。请特别注意，不要在运行的网络中重放数据包，否则容易引起严重的网络问题。数据包的重放经常用于实验环境中。

本文到此结束，希望对大家有所帮助。

关键词：