實訓一 網(wǎng)絡診斷工具Sniffer的使用

1、Evaluation Warning: The document was created with Spire.Doc for .NET.實訓一、網(wǎng)絡診斷工具Sniffer的使用一、Sniffer工具介紹概述Snifffer軟軟件是NNAI公公司推出出的功能能強大的的協(xié)議分分析軟件件。本文文針對用用Sniiffeer PPro網(wǎng)網(wǎng)絡分析析器進行行故障解解決。利利用Snnifffer Proo 網(wǎng)絡絡分析器器的強大大功能和和特征，解解決網(wǎng)絡絡問題，將將介紹一一套合理理的故障障解決方方法。與Netxxrayy比較，SSniffferr支持的的協(xié)議更更豐富，例例如PPPPOEE協(xié)議等等在Neetxr

2、ray并并不支持持，在SSniffferr上能夠夠進行快快速解碼碼分析。Netxray不能在Windows 2000和Windows XP上正常運行，Sniffer Pro 4.6可以運行在各種Windows平臺上。Snifffer軟軟件比較較大，運運行時需需要的計計算機內(nèi)內(nèi)存比較較大，否否則運行行比較慢慢，這也也是它與與Nettxraay相比比的一個個缺點。功能簡介下面列出了了Sniiffeer軟件件的一些些功能介介紹，其其功能的的詳細介介紹可以以參考SSniffferr的在線線幫助。 捕獲網(wǎng)絡流流量進行行詳細分分析利用專家分分析系統(tǒng)統(tǒng)診斷問問題實時監(jiān)控網(wǎng)網(wǎng)絡活動動收集網(wǎng)絡利利用率和和錯誤等

3、等在進行流量量捕獲之之前首先先選擇網(wǎng)網(wǎng)絡適配配器，確確定從計計算機的的哪個網(wǎng)網(wǎng)絡適配配器上接接收數(shù)據(jù)據(jù)。位置置：Fiile-seelecct ssetttinggs選擇網(wǎng)絡適適配器后后才能正正常工作作。該軟軟件安裝裝在Wiindoows 98操操作系統(tǒng)統(tǒng)上，SSniffferr可以選選擇撥號號適配器器對窄帶帶撥號進進行操作作。如果果安裝了了EntterNNet5500等等PPPPOE軟軟件還可可以選擇擇虛擬出出的PPPPOEE網(wǎng)卡。對對于安裝裝在Wiindoows 20000/XXP上則則無上述述功能，這這和操作作系統(tǒng)有有關。 本文將對報報文的捕捕獲幾網(wǎng)網(wǎng)絡性能能監(jiān)視等等功能進進行詳細細的介紹

4、紹。下圖圖為在軟軟件中快快捷鍵的的位置。捕獲面板報文捕獲功功能可以以在報文文捕獲面面板中進進行完成成，如下下是捕獲獲面板的的功能圖圖：圖中中顯示的的是處于于開始狀狀態(tài)的面面板捕獲過程報報文統(tǒng)計計在捕獲過程程中可以以通過查查看下面面面板查查看捕獲獲報文的的數(shù)量和和緩沖區(qū)區(qū)的利用用率。捕獲報文查查看Snifffer軟軟件提供供了強大大的分析析能力和和解碼功功能。如如下圖所所示，對對于捕獲獲的報文文提供了了一個EExpeert專專家分析析系統(tǒng)進進行分析析，還有有解碼選選項及圖圖形和表表格的統(tǒng)統(tǒng)計信息息。專家分析專家分分析析系統(tǒng)提提供了一一個只能能的分析析平臺，對對網(wǎng)絡上上的流量量進行了了一些分分析對

5、于于分析出出的診斷斷結(jié)果可可以查看看在線幫幫助獲得得。在下圖中顯顯示出在在網(wǎng)絡中中WINNS查詢詢失敗的的次數(shù)及及TCPP重傳的的次數(shù)統(tǒng)統(tǒng)計等內(nèi)內(nèi)容，可可以方便便了解網(wǎng)網(wǎng)絡中高高層協(xié)議議出現(xiàn)故故障的可可能點。對于某項統(tǒng)統(tǒng)計分析析可以通通過用鼠鼠標雙擊擊此條記記錄可以以查看詳詳細統(tǒng)計計信息且且對于每每一項都都可以通通過查看看幫助來來了解起起產(chǎn)生的的原因。解碼分析下圖是對捕捕獲報文文進行解解碼的顯顯示，通通常分為為三部分分，目前前大部分分此類軟軟件結(jié)構構都采用用這種結(jié)結(jié)構顯示示。對于于解碼主主要要求求分析人人員對協(xié)協(xié)議比較較熟悉，這這樣才能能看懂解解析出來來的報文文。使用用該軟件件是很簡簡單的事事

6、情，要要能夠利利用軟件件解碼分分析來解解決問題題關鍵是是要對各各種層次次的協(xié)議議了解的的比較透透徹。工工具軟件件只是提提供一個個輔助的的手段。因因涉及的的內(nèi)容太太多，這這里不對對協(xié)議進進行過多多講解，請請參閱其其他相關關資料。對于MACC地址，SSnfffierr軟件進進行了頭頭部的替替換，如如00ee0fcc開頭的的就替換換成Huuaweei，這這樣有利利于了解解網(wǎng)絡上上各種相相關設備備的制造造廠商信信息。功能是按照照過濾器器設置的的過濾規(guī)規(guī)則進行行數(shù)據(jù)的的捕獲或或顯示。在在菜單上上的位置置分別為為 Caaptuure-Deefinne FFiltter和和Dissplaay-Deffine

7、e Fiilteer。過濾器可以以根據(jù)物物理地址址或IPP地址和和協(xié)議選選擇進行行組合篩篩選。統(tǒng)計分析對于Mattrixx，Hosst TTablle，Porrtoccol Disst. Staatissticcs等提提供了豐豐富的按按照地址址，協(xié)議議等內(nèi)容容做了豐豐富的組組合統(tǒng)計計，比較較簡單，可可以通過過操作很很快掌握握這里就就不再詳詳細介紹紹了。設置捕獲條條件基本捕獲條條件基本的捕獲獲條件有有兩種：1、鏈路層層捕獲，按按源MAAC和目目的MAAC地址址進行捕捕獲，輸輸入方式式為十六六進制連連續(xù)輸入入，如：00EE0FCC12334566。2、IP層層捕獲，按按源IPP和目的的IP進行行捕

8、獲。輸輸入方式式為點間間隔方式式，如：10.1077.1.1。如如果選擇擇IP層捕捕獲條件件則ARRP等報報文將被被過濾掉掉。高級捕獲條條件在“Advvancce”頁頁面下，你你可以編編輯你的的協(xié)議捕捕獲條件件，如圖圖：高級捕獲條條件編輯輯圖在協(xié)議選擇擇樹中你你可以選選擇你需需要捕獲獲的協(xié)議議條件，如如果什么么都不選選，則表表示忽略略該條件件，捕獲獲所有協(xié)協(xié)議。在捕獲幀長長度條件件下，你你可以捕捕獲，等等于、小小于、大大于某個個值的報報文。在錯誤幀是是否捕獲獲欄，你你可以選選擇當網(wǎng)網(wǎng)絡上有有如下錯錯誤時是是否捕獲獲。在保存過濾濾規(guī)則條條件按鈕鈕“Prrofiiless”，你你可以將將你當前前設

9、置的的過濾規(guī)規(guī)則，進進行保存存，在捕捕獲主面面板中，你你可以選選擇你保保存的捕捕獲條件件。任意捕獲條條件在Dataa Paatteern下下，你可可以編輯輯任意捕捕獲條件件，如下下圖：用這種方法法可以實實現(xiàn)復雜雜的報文文過濾，但但很多時時候是得得不償失失，有時時截獲的的報文本本就不多多，還不不如自己己看看來來得快。 編輯報文發(fā)發(fā)送Snifffer軟軟件報文文發(fā)送功功能就比比較弱，如如下是發(fā)發(fā)送的主主面板圖圖：發(fā)送前，你你需要先先編輯報報文發(fā)送送的內(nèi)容容。點擊擊發(fā)送報報文編輯輯按鈕?？煽傻玫饺缛缦碌膱髨笪木庉嬢嫶翱冢菏紫纫付ǘ〝?shù)據(jù)幀幀發(fā)送的的長度，然然后從鏈鏈路層開開始，一一個一個個將報文文填

10、充完完成，如如果是NNetXXrayy支持可可以解析析的協(xié)議議，從“Decode”頁面中，可看見解析后的直觀表示。捕獲編輯報報文發(fā)送送將捕獲到的的報文直直接轉(zhuǎn)換換成發(fā)送送報文，然然后修修修改改可可也。如如下是一一個捕獲獲報文后后的報文文查看窗窗口：選中某個捕捕獲的報報文，用用鼠標右右鍵激活活菜單，選選擇“SSendd Cuurreent Pacckett”，這這時你就就會發(fā)現(xiàn)現(xiàn)，該報報文的內(nèi)內(nèi)容已經(jīng)經(jīng)被原封封不動的的送到“發(fā)發(fā)送編輯輯窗口”中中了。這這時，你你在修修修改改，就就比你全全部填充充報文省省事多了了。發(fā)送模式有有兩種：連續(xù)發(fā)發(fā)送和定定量發(fā)送送?？梢砸栽O置發(fā)發(fā)送間隔隔，如果果為0，則以

11、以最快的的速度進進行發(fā)送送。網(wǎng)絡監(jiān)視功功能網(wǎng)絡監(jiān)視功功能能夠夠時刻監(jiān)監(jiān)視網(wǎng)絡絡統(tǒng)計，網(wǎng)網(wǎng)絡上資資源的利利用率，并并能夠監(jiān)監(jiān)視網(wǎng)絡絡流量的的異常狀狀況，這這里只介介紹一下下Dasshboord和和ARTT，其他他功能可可以參看看在線幫幫助，或或直接使使用即可可，比較較簡單。Dashbbordd Dashbbordd可以監(jiān)監(jiān)控網(wǎng)絡絡的利用用率，流流量及錯錯誤報文文等內(nèi)容容。通過過應用軟軟件可以以清楚看看到此功功能。Appliicattionn Reespoonsee Tiime (ARRT)Appliicattionn Reespoonsee Tiime (ARRT) 是可以以監(jiān)視TTCP/UDP

12、P應用層層程序在在客戶端端和服務務器響應應時間，如如HTTTP,FFTP,DNSS等應用用。數(shù)據(jù)報文解解碼詳解解數(shù)據(jù)報文分分層如下圖所示示，對于于四層網(wǎng)網(wǎng)絡結(jié)構構，其不不同層次次完成不不通功能能。每一一層次有有眾多協(xié)協(xié)議組成成。如上圖所示示在Snnifffer的的解碼表表中分別別對每一一個層次次協(xié)議進進行解碼碼分析。鏈鏈路層對對應“DDLC”；網(wǎng)絡層層對應“IP”；傳輸層對應“UDP”；應用層對對應的是“NETB”等高層協(xié)議。Sniffer可以針對眾多協(xié)議進行詳細結(jié)構化解碼分析。并利用樹形結(jié)構良好的表現(xiàn)出來。以太報文結(jié)結(jié)構EtherrnettII以以太網(wǎng)幀幀結(jié)構Etherrnett_III以太

13、網(wǎng)網(wǎng)幀類型型報文結(jié)結(jié)構為：目的MMAC地地址（66byttes）源MAAC地址址（66byttes）上上層協(xié)議議類型（2bytes）數(shù)據(jù)字段（46-1500bytes)校驗（4bytes）。 Snifffer會會在捕獲獲報文的的時候自自動記錄錄捕獲的的時間，在在解碼顯顯示時顯顯示出來來，在分分析問題題時提供供了很好好的時間間記錄。源目的MAAC地址址在解碼碼框中可可以將前前3字節(jié)代代表廠商商的字段段翻譯出出來，方方便定位位問題，例例如網(wǎng)絡絡上2臺設備備IP地址址設置沖沖突，可可以通過過解碼翻翻譯出廠廠商信息息方便的的將故障障設備找找到，如如00ee0fcc為華為為，01100442為Cissc

14、o等等等。如如果需要要查看詳詳細的MMAC地地址用鼠鼠標在解解碼框中中點擊此此MACC地址，在在下面的的表格中中會突出出顯示該該地址的的16進制制編碼。IP網(wǎng)絡來來說Ettherrtyppe字段段承載的的時上層層協(xié)議的的類型主主要包括括0 x8800為為IP協(xié)議議，0 xx8066為ARPP協(xié)議。IEEE8802.3以太太網(wǎng)報文文結(jié)構 上圖為IEEEE8802.3SNNAP幀幀結(jié)構，與與EthhernnetIII不通通點是目目的和源源地址后后面的字字段代表表的不是是上層協(xié)協(xié)議類型型而是報報文長度度。并多多了LLLC子層層。IP協(xié)議IP報文結(jié)結(jié)構為IIP協(xié)議議頭載載荷，其其中對IIP協(xié)議議頭部的

15、的分析，時時分析IIP報文文的主要要內(nèi)容之之一，關關于IPP報文詳詳細信息息請參考考相關資資料。這這里給出出了IPP協(xié)議頭頭部的一一個結(jié)構構。版本：4IPPv4首部長度：單位為為4字節(jié)，最最大600字節(jié)TOS：IIP優(yōu)先先級字段段總長度：單單位字節(jié)節(jié)，最大大655535字字節(jié)標識：IPP報文標標識字段段標志：占33比特，只只用到低低位的兩兩個比特特 MMF（Morre FFraggmennt） MMF=11，后面面還有分分片的數(shù)數(shù)據(jù)包 MMF=00，分片片數(shù)據(jù)包包的最后后一個 DDF（Donnt Fraagmeent） DDF=11，不允允許分片片 DDF=00，允許許分片段偏移：分分片后的的

16、分組在在原分組組中的相相對位置置，總共共13比特特，單位位為8字節(jié)壽命：TTTL（Timme TTo LLivee）丟棄棄TTLL=0的的報文協(xié)議：攜帶帶的是何何種協(xié)議議報文 11 ：ICMMP 66 ：TCPP 117：UDPP 889：OSPPF頭部檢驗和和：對IIP協(xié)議議首部的的校驗和和源IP地址址：IPP報文的的源地址址目的IP地地址：IIP報文文的目的的地址上圖為Snnifffer對對IP協(xié)議議首部的的解碼分分析結(jié)構構，和IIP首部部各個字字段相對對應，并并給出了了各個字字段值所所表示含含義的英英文解釋釋。如上上圖報文文協(xié)議（Protocol）字段的編碼為0 x11，通過Sniffe

17、r解碼分析轉(zhuǎn)換為十進制的17，代表UDP協(xié)議。其他字段的解碼含義可以與此類似，只要對協(xié)議理解的比較清楚對解碼內(nèi)容的理解將會變的很容易。二. 實驗驗內(nèi)容及及步驟DNS測試試使用命令行行工具，輸輸入nssloookupp wwww.bbaiddu.ccom ，請給出出該域名名對應的的IP地址址和別名，同同時給出出是哪個個域名服服務器解解析的。telneet測試試使用命令行行工具，輸輸入teelneet bbbs.njuu.eddu.ccn，進進入南大大BBSS，進去去操作一一下，看看看文章章等，然然后退出出tellnett。捕獲HTTTP報文文1、打開ssniffferr，點擊擊“捕獲獲”-“定義

18、義過濾器器”，選選擇DNNS和HTTTP（在在IP里面面的TCCP和UDPP里面）2、點擊“捕捕獲”-“開開始”，開開始捕獲獲DNSS和HTTTP報文文3、打開瀏瀏覽器，訪訪問學校校主頁。4、捕獲到到報文后后，點擊擊“捕獲獲”-“停止止并顯示示”，彈彈出窗口口中點擊擊下面的的“解碼碼”問題：分析所抓取取的訪問問學校主主頁時發(fā)發(fā)送的第第一條HHTTPP請求報報文和第第一條HHTTPP響應報報文的格格式，指指出兩種種HTTTP報文文中各行行所代表表的消息息含義（主主體部分分的不需需要分析析）。分析所抓取取的訪問問學校主主頁時前前面5條HTTTP請求求報文中中的請求求行中的的URLL，即請請求傳送送的文件件。注意意后面的的每條HHTTPP請求都都帶有SSESSSIONNID號號，該SSESSSIONNID號號是由wweb服服務器在在第一條條HTTTP響應應報文給給的，每每條HTTTP請請求都帶帶有該SSESSSIONNID號號起什么么作用。分析所抓取取的訪問問學校主主頁時共共建立了了多少個個連接，即即進行了了多少次次TCPP的握手手過程。如如何區(qū)分分這些連連接？重新抓包，打打開學校校主頁，然然后再分分別打開開“OAA系統(tǒng)