-
Sniffer
使用简介
技术支援部
陈海滨
一、捕获数据包前的准备工作
在默认
情况下,
sniffer
将捕获其接入碰撞域中流经的所有数据
包,但在某些场景下,有些数
据包可能不是我们所需要的,
为了
快速定位网络问题所在,
有必要对所要捕获的数据包作过
滤。<
/p>
Sniffer
提供了捕获数据包前的过滤规则的定义,过滤规则
包括
2
、
3
层
地址的定义和几
百种协议的定义。定义过滤规则的做法一般如下:
1
、
在
主界面选择
capture
?
defi
ne filter
选项。
2
、
define filter
?
add
ress
,
这是最常用的定义。
其中包
括
MAC
地址、
ip
< br>地址和
ipx
地址
的定义。以定
义
IP
地址过滤为例,见图
1
。
图
1
比如,现在要捕获地址为
10.1.30.100
的主机与其他主机通信的信息,在
Mode
选项卡中,
选
I
nclude(
选
Exclude
选项
,是表示捕获除此地址外所有的数据包
)
;在
< br>station
选项中,在任
意一栏填上
10.1.30.100,
另外一栏填上
any
(
any
表示所有的
IP
地址)
。这样就完成了地址的
定义
。
注意到
Dir.
< br>栏的图标:
表示,捕获
sta
tion1
收发的数据包;
表示,捕
获
station1
发送的数据包;
表示,捕获
station1
收到的数
据包。
最后,选取
,将定义的规则保
存下来,供以后使用。
3
、
define filter
?
adv
anced
,定义希望捕获的相关协议的数据包。如图
2
。
图
2
比如,想捕获
< br>FTP
、
NETBIOS
、
p>
DNS
、
HTTP
的数据包,那么说首先打开
TCP
选项卡,再
< br>进一步选协议;还要明确
DNS
、
NETBIOS
的数据包有些是属于
UDP
< br>协议,故需在
UDP
选
项卡做类
似
TCP
选项卡的工作,否则捕获的数据包将不全。
如果不选任何协议,则捕获所有协议的数据包。
Packet
Size
选项中,可以
定义捕获的包大小,图
3
,是定义捕获包大小界于
64
至
128bytes
的
数据包。
图
3
4
、
define filter
?
buf
fer,
定义捕获数据包的缓冲区。如图
4
:
图
4
Buffer size
选项卡,将其设为最大
40M
。
Capture
buffer
选项卡,将设置缓冲区文件存放的位置。
5
、
最后,
需将定义的过滤规则应用于捕获中。如图
5
:
< br>
图
5
点选
Select Filter
?<
/p>
Capture
中选取定义的捕获规则。
二、捕获数据包时观察到的信息
Ca
pture
?
Start,
启动捕获引
擎。
sniffer
可以实时监控主
机、协议、应用程序、不同包类型等的分布情况。如图
6
:
p>
图
6
Dashboard:
可以实时统计每秒钟接收到的包的数量、出错包
的数量、丢弃包的数量、广播包
的数量、多播包的数量以及带宽的利用率等。
Host Table
:可以查看通信量最大的
前
10
位主机。
Matrix:
通过连线,可以形象的看到不同主机之间的通信。
< br>
Application Response
Time:
可以了解到不同主机通信的最小、最大、平均响应时间方面的信
-
-
-
-
-
-
-
-
-
上一篇:CRA专业术语中英文对照
下一篇:关于春的诗句和成语