一、設置捕包選項
1����、選擇好捕包網(wǎng)卡,左邊還有一些其它捕包條件供選擇,如果當所選網(wǎng)卡不支持“雜項接收”功能�,系統(tǒng)會提示相應信息,出現(xiàn)該情況時您將無法獲取與本網(wǎng)卡無關的數(shù)據(jù)包�����,換言之,您無法獲取其他電腦之間的通訊包,所以����, 建議您更換網(wǎng)卡。 不支持“雜項接收”的網(wǎng)卡�,多數(shù)為一部分無線網(wǎng)卡及少數(shù)專用服務器/筆記本網(wǎng)卡�����。
2、協(xié)議過濾
通常情況下�����,可不選���,除非您對協(xié)議類型較為熟悉���。
3����、設置捕包緩沖
確省的捕包緩沖區(qū)大小為 1M,如果您的要追蹤的網(wǎng)絡規(guī)模較大�,可適當調(diào)大該值;另外���,如果追蹤主機 CPU 處理能力不夠�����,也需加大緩沖;否則,可能出現(xiàn)丟包的情況��。
4�����、IP過濾
IP過濾里可以設置想要捕包的IP地址或是設置要排除的IP地址等信息���。
5�、端口過濾
端口過濾過濾里可以設置想要捕包的端口或是設置要排除過濾的端口等信息���。
二����、體驗“捕包分析”
1、設置捕包過濾項
這里的過濾和“追蹤任務”過濾設置是獨立分開的��,請不要混淆�����,其可選內(nèi)容項更多���。點【過濾】按鈕��。
上述選項中,最為復雜的是“數(shù)據(jù)塊匹配”部分�����,詳細的介紹將在下面的章節(jié)部分出現(xiàn)�,這里只需要配置好正確的網(wǎng)卡即可,其他選項可以不做任何設置���。
2、開始捕獲����,點【開始】按鈕�����。
通過上述步驟����,基本上可以體驗到該產(chǎn)品的最基礎的功能。
三���、IP包回放
IP包回放的目的是:
1、有助于了解原始包通訊的地理分布情況���。
2、通過將IP包回放到網(wǎng)卡上�����,模擬原始IP包在網(wǎng)絡上傳輸情況��,也可供同類捕包軟件捕獲分析�����。
四、通訊協(xié)議分析
捕包準備
捕包分析工具條:
開始捕包前,用戶需先進行過濾設置�,選項內(nèi)容包括:
選網(wǎng)卡
如果您有多塊網(wǎng)卡��,需要選中能捕包到預想中的數(shù)據(jù)的網(wǎng)卡。
協(xié)議過濾
針對Internet通訊部分,常見的IP包類型為:TCP/UDP/ICMP���。絕大部分是TCP連接的,比如HTTP(s)/SMTP/POP3/FTP/TELNET等等;一部分聊天軟件中除了采用TCP通訊方式外,也采用了UDP的傳輸方式��,如QQ/SKYPE等;而常見的ICMP包是由客戶的Ping產(chǎn)生的���。設置界面如下:
IP過濾
“IP過濾”在捕包過濾使用最為常見����,IP匹配主要分兩類:一是不帶通訊方向,單純的是范圍的匹配�,如上圖中的“From:to”類型;另外一類是帶通訊方向的一對一匹配�����,如上圖“< -- >”類型,不僅匹配IP地址,也匹配通訊的源IP和目標IP的方向。
端口過濾
“端口過濾”只針對兩種類型的DoD-IP包:TCP/UDP�����。
數(shù)據(jù)區(qū)大小
“數(shù)據(jù)區(qū)大小” 的匹配針對所有DoD-IP類型包�,不過需要說明的是,TCP/UDP的IP數(shù)據(jù)區(qū)是以實際數(shù)據(jù)區(qū)位置開始計算的,而其他類型的則把緊隨IP包頭后面的部分當作數(shù)據(jù)區(qū)���。
五、數(shù)據(jù)塊匹配
“數(shù)據(jù)塊匹配”較為復雜,但卻非常有用�,設置界面如下:
在這里����,用戶可以輸入文本����,也可以輸入二進制,可以選擇特定位置的匹配,也可以選擇任意位置的匹配�,總之����,該設置非常靈活好用��。
結(jié)束條件
如下圖�,缺省條件下�,當捕獲的包占用空間多余10M時,自動停止。
結(jié)束于某個時間點,是指捕包的截止時間��。
六����、分析捕獲包
用戶按下“開始”按鈕啟動捕包功能后,列表框中會自動顯示出符合條件的數(shù)據(jù)包,并附帶簡單的解析����。用鼠標右鍵點擊內(nèi)容,彈出下圖中的菜單:
選中“分析”�,出現(xiàn)下面的畫面:
上圖中�����,左邊和右下部分是分析結(jié)果,右上部是原始二進制代碼�����,選中左邊某一條目時��,在右邊二進制區(qū)域的色塊和其一一對應�����。
