补充资料四.docVIP

PAGE PAGE 6 补充资料四 关键词：Sniffer 协议分析 摘要：本文对Sniffer软件的功能和使用作了简要的介绍，讲述了利用工具软件解决问题的思路和一些分析方法。 缩略语清单： 参考资料清单： 第1章Sniffer软件简介 1.1 概述 Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析 器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介 绍一套合理的故障解决方法。 与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在 Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常 运行，Sniffer Pro 4.6可以运行在各种Windows平台上。 Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与 Netxray相比的一个缺点。 1.2 功能简介 下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮 助。 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数 据。位置：File-select settings 选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上，Sniffer可以 选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选 择虚拟出的PPPOE网卡。对于安装在Windows 2000/XP上则无上述功能，这和操作系 统有关。 本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的 位置。 第2章报文捕获解析 2.1 捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的 是处于开始状态的面板 2.2 捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 2.3 捕获报文查看 Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一 个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析 出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方 便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都 可以通过查看帮助来了解起产生的原因。 解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用 这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的 报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各 种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太 多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这 样有利于了解网络上各种相关设备的制造厂商信息。 功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture-Define Filter和Display-Define Filter。 过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内 容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。 2.4 设置捕获条件 基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入， 如：00E0FC123456。 2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：。如 果选择IP层捕获条件则ARP等报文将被过滤掉。 高级捕获条件 在“Advance”页面下，你可以编辑你的协议捕获条件，如图：高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条 件，捕获所有协议。 在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles”，你可