大家好,玲玲来为大家解答以上问题,space sniffer怎么用,sniffer 教程很多人还不知道,现在让我们一起来看看吧!
嗅探器用户手册
首先,捕获数据包前的准备工作
默认情况下,sniffer会捕获所有在其访问冲突域中流动的数据包,但在某些场景下,有些数据包可能不是我们需要的。为了快速定位网络问题,需要过滤要捕获的数据包。嗅探器在捕获数据包之前提供过滤规则的定义。过滤规则包括第2层和第3层地址的定义以及数百种协议。定义过滤规则的实践通常如下:
1.在主界面中选择capturedefinefilter选项。
2.definefilteraddress,这是最常用的定义。包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例,如图1所示。
例如,如果要捕获地址为10.1.30.100的主机与其他主机之间的通信信息,在Mode选项卡中,选择Include(包含)(选择Exclude选项,捕获除此地址以外的所有数据包);在站选项中,任一栏填写10.1.30.100,另一栏填写any(any表示所有IP地址)。这就完成了地址的定义。
3.definefilteradvanced,定义要捕获的相关协议的数据包。图二。
例如,如果您想要捕获FTP、NETBIOS、DNS和HTTP的数据包,您应该首先打开TCP选项卡,然后选择协议。也很清楚DNS和NETBIOS的一些包属于UDP协议,所以在UDP tab上需要做一些类似TCP tab的事情,否则捕获的包是不完整的。
如果没有选择任何协议,将捕获所有协议的数据包。
在PacketSize选项中,您可以定义捕获数据包的大小。图3定义了大小为64到128字节的数据包。
4.definefilterbuffer,定义捕获数据包的缓冲区。如图4所示:
Buffersize选项卡,并将其设置为最大值40M。
Capturebuffer选项卡,它将设置缓冲文件的位置。
5.最后,定义的过滤规则应该应用于捕获。如图5所示:
单击选择过滤器捕获以选择定义的捕获规则。
二。捕获数据包时观察到的信息
CaptureStart,启动捕获引擎。
Sniffer可以实时监控主机、协议、应用程序和不同数据包类型的分布。如图6所示:
Dashboard:可以实时统计接收包数、错误包数、丢包数、广播包数、组播包数和带宽利用率。
主机表:可以查看流量最大的前10台主机。
Matrix:通过连接可以直观的看到不同主机之间的通信。
ApplicationResponseTime:可以了解不同主机通信的最小、最大和平均响应时间的信息。
HistorySamples:可以看到从历史数据中采样的统计值。
Protocoldistribution:可以实时观察数据流中不同协议的分布情况。
Switch:可以获得cisco交换机的状态信息。
在捕获过程中,您还可以为想要观察的信息定义过滤规则。操作方式类似于捕获前的过滤规则。
第三,捕获数据包后的分析工作
要阻止嗅探器捕获数据包,请单击捕获停止或捕获停止显示。前者停止捕获数据包,后者停止捕获数据包并解码和显示捕获的数据包。如图7所示:
Decode:对每个数据包进行解码,你可以看到整个包的结构,以及从链路层到应用层的信息。实际上,sniffer使用过程中的大部分时间都花在了这种分析上,同时要求用户对网络有较高的理论和实践经验。质量较高的用户可以通过这个工具看穿网络问题的症状。
Expert:这是sniffer提供的专家模式。系统本身对从链路层到应用层捕获的数据包进行分类和诊断。其中,诊断提供了有价值的诊断信息。图8是由嗅探器检测的IP地址重叠和相关分析的例子。
嗅探器还提供解码数据包的过滤显示。
要过滤包显示,您需要切换到解码模式。
Displaydefinefilter,定义过滤规则。
Displayselectfilter,应用过滤规则。
显示过滤的使用基本上与捕获过滤相同。
四。sniffer工具的应用
Sniffer不仅提供数据包捕获、解码和诊断,还提供一系列工具,包括数据包生成器、ping、traceroute、DNSlookup、finger、whois等。
其中包生成器有自己的特点,下面简单介绍一下。操作系统中还提供了其他工具,就不介绍了。
数据包生成器提供了三种生成数据包的方法:
构造一个新的数据包,包头、包内容、包长度直接由用户填写。图9,定义一个要连续发送的广播包,该包的传输延迟为1ms。
发送位于解码中的数据包,并基于该数据包如上所述修改数据包。
发送缓冲区中的所有数据包,实现数据流的重放。参见图10:
图10
您可以定义是连续发送缓冲区中的数据包,还是只发送一次。请特别注意不要在运行的网络中重播数据包,否则容易造成严重的网络问题。数据包的重放经常在实验环境中使用。
本文到此结束,希望对大家有所帮助。