一、設(shè)置捕包選項(xiàng)

　　1、選擇好捕包網(wǎng)卡，左邊還有一些其它捕包條件供選擇，如果當(dāng)所選網(wǎng)卡不支持“雜項(xiàng)接收”功能，系統(tǒng)會(huì)提示相應(yīng)信息,出現(xiàn)該情況時(shí)您將無(wú)法獲取與本網(wǎng)卡無(wú)關(guān)的數(shù)據(jù)包，換言之，您無(wú)法獲取其他電腦之間的通訊包，所以， 建議您更換網(wǎng)卡。 不支持“雜項(xiàng)接收”的網(wǎng)卡，多數(shù)為一部分無(wú)線(xiàn)網(wǎng)卡及少數(shù)專(zhuān)用服務(wù)器/筆記本網(wǎng)卡。

　　2、協(xié)議過(guò)濾

　　通常情況下，可不選，除非您對(duì)協(xié)議類(lèi)型較為熟悉。

　　3、設(shè)置捕包緩沖

　　確省的捕包緩沖區(qū)大小為 1M，如果您的要追蹤的網(wǎng)絡(luò)規(guī)模較大，可適當(dāng)調(diào)大該值;另外，如果追蹤主機(jī) CPU 處理能力不夠，也需加大緩沖;否則，可能出現(xiàn)丟包的情況。

　　4、ip過(guò)濾

　　IP過(guò)濾里可以設(shè)置想要捕包的IP地址或是設(shè)置要排除的IP地址等信息。

　　5、端口過(guò)濾

　　端口過(guò)濾過(guò)濾里可以設(shè)置想要捕包的端口或是設(shè)置要排除過(guò)濾的端口等信息。

　　二、體驗(yàn)“捕包分析”

　　1、設(shè)置捕包過(guò)濾項(xiàng)

　　這里的過(guò)濾和“追蹤任務(wù)”過(guò)濾設(shè)置是獨(dú)立分開(kāi)的，請(qǐng)不要混淆，其可選內(nèi)容項(xiàng)更多。點(diǎn)【過(guò)濾】按鈕。

　　上述選項(xiàng)中，最為復(fù)雜的是“數(shù)據(jù)塊匹配”部分，詳細(xì)的介紹將在下面的章節(jié)部分出現(xiàn)，這里只需要配置好正確的網(wǎng)卡即可，其他選項(xiàng)可以不做任何設(shè)置。

　　2、開(kāi)始捕獲，點(diǎn)【開(kāi)始】按鈕。

　　通過(guò)上述步驟，基本上可以體驗(yàn)到該產(chǎn)品的最基礎(chǔ)的功能。

　　三、IP包回放

　　IP包回放的目的是：

　　1、有助于了解原始包通訊的地理分布情況。

　　2、通過(guò)將IP包回放到網(wǎng)卡上，模擬原始IP包在網(wǎng)絡(luò)上傳輸情況，也可供同類(lèi)捕包軟件捕獲分析。

　　四、通訊協(xié)議分析

　　捕包準(zhǔn)備

　　捕包分析工具條：

　　開(kāi)始捕包前，用戶(hù)需先進(jìn)行過(guò)濾設(shè)置，選項(xiàng)內(nèi)容包括：

　　選網(wǎng)卡

　　如果您有多塊網(wǎng)卡，需要選中能捕包到預(yù)想中的數(shù)據(jù)的網(wǎng)卡。

　　協(xié)議過(guò)濾

　　針對(duì)Internet通訊部分，常見(jiàn)的IP包類(lèi)型為：TCP/UDP/ICMP。絕大部分是TCP連接的，比如HTTP(s)/SMTP/POP3/FTP/TELNET等等;一部分聊天軟件中除了采用TCP通訊方式外，也采用了UDP的傳輸方式，如QQ/SKYPE等;而常見(jiàn)的ICMP包是由客戶(hù)的Ping產(chǎn)生的。設(shè)置界面如下：

　　IP過(guò)濾

　　“IP過(guò)濾”在捕包過(guò)濾使用最為常見(jiàn)，IP匹配主要分兩類(lèi)：一是不帶通訊方向，單純的是范圍的匹配，如上圖中的“From:to”類(lèi)型;另外一類(lèi)是帶通訊方向的一對(duì)一匹配，如上圖“< -- >”類(lèi)型，不僅匹配IP地址，也匹配通訊的源IP和目標(biāo)IP的方向。

　　端口過(guò)濾

　　“端口過(guò)濾”只針對(duì)兩種類(lèi)型的DoD-IP包：TCP/UDP。

　　數(shù)據(jù)區(qū)大小

　　“數(shù)據(jù)區(qū)大小” 的匹配針對(duì)所有DoD-IP類(lèi)型包，不過(guò)需要說(shuō)明的是，TCP/UDP的IP數(shù)據(jù)區(qū)是以實(shí)際數(shù)據(jù)區(qū)位置開(kāi)始計(jì)算的，而其他類(lèi)型的則把緊隨IP包頭后面的部分當(dāng)作數(shù)據(jù)區(qū)。

　　五、數(shù)據(jù)塊匹配

　　“數(shù)據(jù)塊匹配”較為復(fù)雜，但卻非常有用，設(shè)置界面如下：

　　在這里，用戶(hù)可以輸入文本，也可以輸入二進(jìn)制，可以選擇特定位置的匹配，也可以選擇任意位置的匹配，總之，該設(shè)置非常靈活好用。

　　結(jié)束條件

　　如下圖，缺省條件下，當(dāng)捕獲的包占用空間多余10M時(shí)，自動(dòng)停止。

　　結(jié)束于某個(gè)時(shí)間點(diǎn)，是指捕包的截止時(shí)間。

　　六、分析捕獲包

　　用戶(hù)按下“開(kāi)始”按鈕啟動(dòng)捕包功能后，列表框中會(huì)自動(dòng)顯示出符合條件的數(shù)據(jù)包，并附帶簡(jiǎn)單的解析。用鼠標(biāo)右鍵點(diǎn)擊內(nèi)容，彈出下圖中的菜單：

　　選中“分析”，出現(xiàn)下面的畫(huà)面：

　　上圖中，左邊和右下部分是分析結(jié)果，右上部是原始二進(jìn)制代碼，選中左邊某一條目時(shí)，在右邊二進(jìn)制區(qū)域的色塊和其一一對(duì)應(yīng)。