Sniffer使用簡介（下）

2019-11-04 11:44:53

字體：大中小

來源：轉載

供稿：網友

二、捕捉數據包時觀察到的信息

CaptureàStart,啟動捕捉引擎。

sniffer可以實時監控主機、協議、應用程序、不同包類型等的分布情況。如圖6：

Sniffer使用簡介（下）（圖一）

圖6

Dashboard:可以實時統計每秒鐘接收到的包的數量、出錯包的數量、丟棄包的數量、廣播包的數量、多播包的數量以及帶寬的利用率等。

HostTable：可以查看通信量最大的前10位主機。

Matrix:通過連線，可以形象的看到不同主機之間的通信。

applicationResponseTime:可以了解到不同主機通信的最小、最大、平均響應時間方面的信息。

HistorySamples:可以看到歷史數據抽樣出來的統計值。

PRotocoldistribution:可以實時觀察到數據流中不同協議的分布情況。

Switch:可以獲取cisco交換機的狀態信息。

在捕捉過程中，同樣可以對想觀察的信息定義過濾規則，操作方式類似捕捉前的過濾規則。

三、捕捉數據包后的分析工作

要停止sniffer捕捉包時，點選CaptureàStop或者CaptureàStopandDisplay,前者停止捕捉包，后者停止捕捉包并把捕捉的數據包進行解碼和顯示。如圖7：

Sniffer使用簡介（下）（圖二）

圖7

Decode:對每個數據包進行解碼，可以看到整個包的結構及從鏈路層到應用層的信息，事實上，sniffer的使用中大部分的時間都花費在這上面的分析，同時也對使用者在網絡的理論及實踐經驗上提出較高的要求。素質較高的使用者借此工具便可看穿網絡問題的結癥所在。

EXPert:這是sniffer提供的專家模式，系統自身根據捕捉的數據包從鏈路層到應用層進行分類并作出診斷。其中diagnoses提出非常有價值的診斷信息。圖8，是sniffer偵查到ip地址重疊的例子及相關的解析。

Sniffer使用簡介（下）（圖三）

圖8
sniffer同樣提供解碼后的數據包過濾顯示。

要對包進行顯示過濾需切換到Decode模式。

Displayàdefinefilter，定義過濾規則。

Displayàselectfilter,應用過濾規則。

顯示過濾的使用基本上跟捕捉過濾的使用相同。

四、sniffer提供的工具應用

sniffer除了提供數據包的捕捉、解碼及診斷外，還提供了一系列的工具，包括包發生器、ping、traceroute、DNSlookup、finger、whois等工具。

其中，包發生器比較有特色，將做簡單介紹。其他工具在操作系統中也有提供，不做介紹。

包發生器提供三種生成數據包的方式：

點選

Sniffer使用簡介（下）（圖四）