借助sniffer診斷Linux網(wǎng)絡故障（一）

2019-11-04 11:46:28

字體：大中小

供稿：網(wǎng)友

　　上次介紹了嗅探器的基本原理，以及如何用Tcpdump來截獲網(wǎng)絡上的數(shù)據(jù)包。但Tcpdump只是一個命令行方式下的網(wǎng)絡嗅探器，雖然功能強大，可分析起數(shù)據(jù)包來卻不是很方便。好在linux下還有一些具有良好GUI界面的嗅探器可以借助。Ethereal和EtherApe就是其中的佼佼者。有了Tcpdump的基礎，再使用這兩個嗅探器就感覺很輕松。

用Ethereal分析協(xié)議數(shù)據(jù)包

　　Ethereal是一個圖形用戶接口（GUI）的網(wǎng)絡嗅探器，能夠完成與Tcpdump相同的功能，但操作界面要友好很多。Ehtereal和Tcpdump都依靠于pcap庫（libpcap），因此兩者在許多方面非常相似（如都使用相同的過濾規(guī)則和要害字）。Ethereal和其它圖形化的網(wǎng)絡嗅探器都使用相同的界面模式，假如能熟練地使用Ethereal，那么其它圖形用戶界面的嗅探器基本都可以操作。

Ethereal的安裝

　　在http://www.ethereal.com網(wǎng)站上可以下載到最新的Ethereal源碼包。下面以Ethereal0.9.9為例，講述如何安裝Ethereal，此處使用的操作系統(tǒng)是RedHat8.0。

首先下載最新的源碼包，并將其解壓縮：

#cpethereal-0.9.9.tar.bz2/usr/local/src/
#cd/usr/local/src/
#bzip2-dethereal-0.9.9.tar.bz2
#tarxvfethereal-0.9.9.tar

　　同Tcpdump一樣，在編譯Ethereal之前應先確定已經(jīng)安裝pcap庫（libpcap），這是編譯Ethereal時所必需的。假如該庫已經(jīng)安裝，就可以執(zhí)行下面的命令來編譯并安裝Ethereal：

#cdethereal-0.9.9
#./configure
#make
#makeinstall

設置Ethereal的過濾規(guī)則

　　當編譯并安裝好Ethereal后，就可以執(zhí)行“ethereal”命令來啟動Ethereal。在用Ethereal截獲數(shù)據(jù)包之前，應該為其設置相應的過濾規(guī)則，可以只捕捉感愛好的數(shù)據(jù)包。Ethereal使用與Tcpdump相似的過濾規(guī)則，并且可以很方便地存儲已經(jīng)設置好的過濾規(guī)則。要為Ethereal配置過濾規(guī)則，首先單擊“Edit”選單，然后選擇“CaptureFilters...”菜單項，打開“EditCaptureFilterList”對話框（如圖1所示）。因為此時還沒有添加任何過濾規(guī)則，因而該對話框右側(cè)的列表框是空的。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖一）

圖1 Ethereal過濾器配置對話框　　在Ethereal中添加過濾器時，需要為該過濾器指定名字及規(guī)則。例如，要在主機10.1.197.162和www.sohu.com間創(chuàng)建過濾器，可以在“Filter name”編輯框內(nèi)輸入過濾器名字“sohu”，在“Filter string”編輯框內(nèi)輸入過濾規(guī)則“host 10.1.197.162 and www.sohu.com”，然后單擊“New”按鈕即可，如圖2所示。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖二）

圖2 為Ethereal添加一個過濾器　　在Ethereal中使用的過濾規(guī)則和Tcpdump幾乎完全一致，這是因為兩者都基于pcap庫的緣故。Ethereal能夠同時維護很多個過濾器。網(wǎng)絡治理員可以根據(jù)實際需要選用不同的過濾器，這在很多情況下是非常有用的。例如，一個過濾器可能用于截獲兩個主機間的數(shù)據(jù)包，而另一個則可能用于截獲ICMP包來診斷網(wǎng)絡故障。　　當所有需要的過濾器都創(chuàng)建好后，單擊“Save”按鈕保存創(chuàng)建的過濾器，然后單擊“Close”按鈕來關閉“Edit Capture Filter List”對話框。要將過濾器應用于嗅探過程，需要在截獲數(shù)據(jù)包之前或之后指定過濾器。要為嗅探過程指定過濾器，并開始截獲數(shù)據(jù)包，可以單擊“Capture”選單，選擇“Start...”選單項，打開“Capture Options”對話框，單擊該對話框中的“Filter:”按鈕，然后選擇要使用的過濾器，如圖3所示。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖三）

圖3 為Ethereal指定過濾器注重在“Capture Options”對話框中，“Update list of packets in real time”復選框被選中了。這樣可以使每個數(shù)據(jù)包在被截獲時就實時顯示出來，而不是在嗅探過程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。

　　在選擇了所需要的過濾器后，單擊“OK”按鈕，整個嗅探過程就開始了。Ethereal可以實時顯示截獲的數(shù)據(jù)包，因此能夠幫助網(wǎng)絡治理員及時了解網(wǎng)絡的運行狀況，從而使其對網(wǎng)絡性能和流量能有一個比較準確的把握。

用Ethereal分析數(shù)據(jù)包

　　Ethereal和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。

　　使用Ethereal可以很方便地對截獲的數(shù)據(jù)包進行分析，包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。圖4是在Ethereal中對一個HTTP數(shù)據(jù)包進行分析時的情形。

　　在圖3最上邊的數(shù)據(jù)包列表中，顯示了被截獲的數(shù)據(jù)包的基本信息。從圖中可以看出，當前選中數(shù)據(jù)包的源地址是10.1.197.162，目的地址為61.135.150.65，該數(shù)據(jù)包所屬的協(xié)議是超文本傳輸協(xié)議(HTTP)。更具體的信息表明該數(shù)據(jù)包中含有一個HTTP的GET命令，要求下載starrtlog.js文件到客戶端的Web瀏覽器。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖四）

圖4 用Ethereal分析數(shù)據(jù)包內(nèi)容圖4中間是協(xié)議樹，通過協(xié)議樹可以得到被截獲的數(shù)據(jù)包的更多信息，如主機的MAC地址(Ethernet II)、IP地址(Internet PRotocol)、TCP端口號(Transmission Control Protocol)，以及HTTP協(xié)議的具體內(nèi)容(Hypertext Trnasfer Protocol)。通過擴展協(xié)議樹中的相應節(jié)點，可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息。

　　圖4最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容，這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時的最終形式，當在協(xié)議樹中選中某行時，與其對應的十六進制代碼同樣會被選中，這樣就可以很方便地對各種協(xié)議的數(shù)據(jù)包進行分析。

　　Ethereal提供的圖形化用戶界面非常友好，治理員可以很方便地查看到每個數(shù)據(jù)包的具體信息，協(xié)議樹及其對應的十六進制表示對分析每個數(shù)據(jù)包的目的很有幫助，綜合使用Ethereal和Tcpdump能夠基本滿足網(wǎng)絡治理員在Linux系統(tǒng)上的所有嗅探要示。

用EtherApe查看網(wǎng)絡流量

　　EtherApe也是一個圖形化的網(wǎng)絡嗅探器。與Ehtereal不同，EtherApe通過驗證主機與主機之間的鏈接，圖形化地顯示網(wǎng)絡目前所處的狀態(tài)。EtherApe使用不同顏色的連線來表示位于不同主機之間的連接，而連線的粗細則表明主機間數(shù)據(jù)流量的大小。這些信息都是實時變化的，因而能夠協(xié)助治理員隨時了解到網(wǎng)絡中各部分流量的變化情況。

EtherApe的安裝

　　EhterApe支持Ethernet、FDDI和Token Ring等多種網(wǎng)絡，能夠?qū)崟r地從網(wǎng)絡或文件中讀取網(wǎng)絡流量的變化情況。此外它還可以將網(wǎng)絡流量信息保存下來，以便在之后需要時再顯示出來。在http://www.sourceforge.net/projects/etherape/網(wǎng)站上可以下載到最新的EtherApe源碼包。下面以Ethereal 0.8.2為例，講述如何安裝EtherApe（使用的操作系統(tǒng)是RedHat 8.0）。

首先下載最新的源碼包并將其解壓縮，代碼如下：

# cp etherape-0.8.2.tar.gz /usr/local/src/# cd /usr/local/src/# tar xzvf etherape-0.8.2.tar.gz

　　EtherApe使用的是GNOME這一圖形用戶接口庫。與Ethereal和Tcpdump一樣，它也使用pcap庫(libpcap)對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包進行截獲和過濾。在編譯EtherApe之前，應先確定所需的這些庫已經(jīng)安裝好，因為這是編譯EtherApe時所必需的。假如這些庫已經(jīng)安裝，就可以執(zhí)行下面的命令來編譯并安裝EtherApe：

# cd etherape-0.8.2# ./configure# make# make install

　　用EtherApe分析網(wǎng)絡流量

當編譯并安裝好EtherApe后，就可以執(zhí)行“etherape”命令來啟動EtherApe。

　　當用EtherApe截獲在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包時，也需要先為其指定過濾規(guī)則，否則EthreApe將捕捉網(wǎng)絡中的所有數(shù)據(jù)包。單擊工具欄上的“Pref.”按鈕，打開“Preferences”對話框，在該對話框中的“Capture”屬性頁中，可以找到用于設置過濾規(guī)則的“Capture filter”下拉框。由于采用的都是pcap庫，因此EtherApe過濾規(guī)則的設置與Tcpdump和Ethereal是相同的。

　　設置好過濾規(guī)則后，單擊工具欄上的“Start”按鈕，就可以開始對網(wǎng)絡中感愛好的數(shù)據(jù)包進行嗅探。EhterApe圖形化地顯示網(wǎng)絡流量，圖5是當EtherApe處于Ethernet模式下時的網(wǎng)絡流量圖。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖五）

圖5 EtherApe監(jiān)測的Ethernet流量圖 　　EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五種監(jiān)聽模式。當處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網(wǎng)數(shù)據(jù)包，但有時網(wǎng)絡治理員可能只對IP數(shù)據(jù)包感愛好，這時可以將EtherApe切換到IP模式。單擊“Capture”菜單，選擇“Mode”菜單項，然后再選擇相應的模式，就可以完成模式之間的切換。圖6是當EhterApe處于IP模式下時的網(wǎng)絡流量圖。

借助sniffer診斷Linux網(wǎng)絡故障（一）（圖六）

圖6 EtherApe監(jiān)測的IP流量圖　　EtherApe能夠以圖形的方式顯示網(wǎng)絡流量。用戶看到的是一個很直觀的用于表示網(wǎng)絡上各主機間流量大小的圖，而不是單個的數(shù)據(jù)包，因而更輕易從整體上把握整個網(wǎng)絡的運行狀況，在定位網(wǎng)絡故障時相對來說也變得更加輕易。

上一篇：如何讀懂SNIFFER PRO

下一篇：防范網(wǎng)絡SNIFFER嗅探