高級(jí)分組檢錯(cuò)利器Sniffer Pro輔助使用(圖)
一、sniffer原理
sniffer是用于高級(jí)分組檢錯(cuò)的工具。它可提供分組獲取和譯碼的功能,它可以提供圖形以確切的指出在你的網(wǎng)絡(luò)中哪里正出現(xiàn)嚴(yán)重的業(yè)務(wù)擁塞。
在以太網(wǎng)中,所有的通訊都是廣播的,也就是說通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù),而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)***的硬件地址,這個(gè)硬件地址也就是網(wǎng)卡的MAC地址,大多數(shù)系統(tǒng)使用48比特的地址,這個(gè)地址用來表示網(wǎng)絡(luò)中的每一個(gè)設(shè)備,一般來說每一塊網(wǎng)卡上的MFC地址都是不同的,每個(gè)網(wǎng)卡廠家得到一段地址,然后用這段地址分配給其生產(chǎn)的每個(gè)網(wǎng)卡一個(gè)地址。在硬件地址和IP地址間使用ARP和RARP協(xié)議進(jìn)行相互轉(zhuǎn)換。
在正常的情況下,一個(gè)網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀:
1.與自己硬件地址相匹配的數(shù)據(jù)禎
2.發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀。
在一個(gè)實(shí)際的系統(tǒng)中,數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的,網(wǎng)卡接收到傳輸來的數(shù)據(jù),網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀的目的MAC地址,根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收,認(rèn)為該接收就接收后產(chǎn)生中斷信號(hào)通知CPU,認(rèn)為不該接收就丟掉不管,所以不該接收的數(shù)據(jù)網(wǎng)卡就截?cái)嗔耍?jì)算機(jī)根本就不知道。CPU得到中斷信號(hào)產(chǎn)生中斷,操作系統(tǒng)就根據(jù)網(wǎng)卡的驅(qū)動(dòng)程序設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù),驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。
而對(duì)于網(wǎng)卡來說一般有四種接收模式:
廣播方式:該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。
組播方式:設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。
直接方式:在這種模式下,只有目的網(wǎng)卡才能接收該數(shù)據(jù)。
混雜模式:在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù),而不管該數(shù)據(jù)是否是傳給它的。
總結(jié)一下,首先,我們知道了在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)的,也就是說,所有的物理信號(hào)都要經(jīng)過我的機(jī)器,再次,網(wǎng)卡可以置于一種模式叫混雜模式(promiscuous),在這種模式下工作的網(wǎng)卡能夠接收到一切通過它的數(shù)據(jù),而不管實(shí)際上數(shù)據(jù)的目的地址是不是他。這實(shí)際上就是我們SNIFF工作的基本原理:讓網(wǎng)卡接收一切他所能接收的數(shù)據(jù)。
二、網(wǎng)絡(luò)監(jiān)控的幾種模式
1、moniteràhosttable
圖中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機(jī)相連接的通信量的多少。本例以IP地址為測(cè)量基準(zhǔn)。
2、monitoràmatrix
該蘭色圓中的各點(diǎn)連線表明了當(dāng)前處于活躍狀態(tài)的點(diǎn)對(duì)點(diǎn)連接,也可通過將鼠標(biāo)放在IP地址上點(diǎn)右鍵àshowselectnodes查看特定的點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)連接,如下圖,表示出與192.168.0.250相連接的IP地址
3、monitoràprotocoldistribution查看協(xié)議分布狀態(tài),可以看到不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議
4、monitoràdashboard
該表顯示各項(xiàng)網(wǎng)絡(luò)性能指標(biāo)包括利用率、傳輸速度、錯(cuò)誤率
5、monitor-sizedistribution可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配。
6、monitoràapplicationresponsetime
該表顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表,并將本地網(wǎng)段的機(jī)器名以NETBIOS名的形式解析出來。
三、包的抓取與分析
1、過濾器的定制definefilter.Capture-definefilter
進(jìn)入該界面后address指定以IP地址為類型,然后在下面的station1和station2中分別指定源和目的地地址。并將該設(shè)置指定為某settingprofile.
這個(gè)圖中顯示的是sniffer設(shè)置過濾條件的對(duì)話框。過濾條件可以用邏輯關(guān)系,比如像AND、OR、NOT等組合來設(shè)置。在這里可以設(shè)置的過濾條件有IP地址或者物理地址(一般我們說的都是在Internet之中,使用的是TCP/IP協(xié)議,所以選擇Ip地址是比較合適的)、數(shù)據(jù)包、協(xié)議等。好,那就一下下來設(shè)置看看了。
***、地址類型,選擇IP了。選擇模式,如果選包括,其意義就是指sniffer在捕獲的時(shí)候就會(huì)只對(duì)你在Station1中和Station2中所列的節(jié)點(diǎn)包進(jìn)行捕獲。選擇除外則恰恰相反。也就是說它在捕獲的時(shí)候會(huì)過濾掉Station1和Station2中所列及的地址數(shù)據(jù)包的。
第二、在Station1和Station2以及DIR的設(shè)置中,你可以指定地址對(duì),而我要對(duì)它截獲的是與他連接的所有主機(jī),也就是說這個(gè)Any代表的是任何主機(jī)的意思。至于Dir,則是要選擇你要捕獲的目標(biāo)主機(jī)與其連接主機(jī)間的信息流向,這里選的是互流,即為要截獲的是與之所連接的所有主機(jī)與它的信息數(shù)據(jù).
2、captureàselectfilteràstart
在上圖中的1部分,顯示的是所監(jiān)控的202.103.190.4與202.103.137.1主機(jī)間的應(yīng)用層的協(xié)議以及對(duì)監(jiān)控之后所得到的數(shù)據(jù)包的總結(jié)以及有效數(shù)據(jù)包的長(zhǎng)度和整個(gè)數(shù)據(jù)包的長(zhǎng)度、確認(rèn)序列號(hào)的信息。上圖中是我對(duì)OICQ的監(jiān)控,所以它顯示的端口是8000和4000。
而第2部分是對(duì)應(yīng)1中的灰色區(qū)域里的數(shù)據(jù)包內(nèi)容從協(xié)議的上進(jìn)行的分析。這個(gè)圖中所顯示的是1中灰色部分的IP和TCP層的解釋,從這里可以看出這個(gè)捕獲到的數(shù)據(jù)包的組成以及數(shù)據(jù)包使用的端口、狀態(tài)、時(shí)間等許多信息,用鼠標(biāo)拉動(dòng)滾動(dòng)條可以看到更詳細(xì)的對(duì)以太楨和應(yīng)用層的解釋。
第3部分是這次捕獲的數(shù)據(jù)包的內(nèi)容,能看到的是十六進(jìn)制和ASCII兩中顯示形式。左邊是用十六進(jìn)制表示的包中每一個(gè)數(shù)據(jù)的位置,中間的部分是用十六進(jìn)制表示的被截獲的數(shù)據(jù)包中的內(nèi)容,右邊看到的則是ASCII形式。
【編輯推薦】
