实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用SnifferPro网络分析器进行故障解决。利用SnifferPro网络分析器的强大功能和特征,解决网络问题,将介绍一套合理的故障解决方法。与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray并不支持,在Sniffer上能够进行快速解码分析。Netxray不能在Windows2000和WindowsXP上正常运行,SnifferPro4.6可以运行在各种Windows平台上。Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。功能简介下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer的在线帮助。捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。位置:File-selectsettings选择网络适配器后才能正常工作。该软件安装在Windows98操作系统上,Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。对于安装在Windows2000/XP上则无上述功能,这和操作系统有关。本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。捕获面板报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获报文数捕获报文的数据缓冲大小详细统计信息捕获报文数捕获报文的数据缓冲大小详细统计信息专家分析专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。解码分析下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息双击此记录可以查看详细信息双击此记录可以查看详细信息解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture-DefineFilter和Display-DefineFilter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。统计分析对于Matrix,HostTable,PortocolDist.Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。设置捕获条件基本捕获条件基本的捕获条件有两种:1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。捕获的报文报文解码二进制内容捕获的报文报文解码二进制内容高级捕获条件在“Advance”页面下,你可以编辑你的协议捕获条件,如图:高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。在保存过滤规则条件按钮“Profiles”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。任意捕获条件在DataPattern下,你可以编辑任意捕获条件,如下图:任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件链路层捕获IP层捕获数据流方向链路层捕获地址条件任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件链路层捕获IP层捕获数据流方向链路层捕获地址条件选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件用这种方法可以实现复杂的报文过滤,但很多时候是得不偿失,有时截获的报文本就不多,还不如自己看看来得快。编辑报文发送Sniffer软件报文发送功能就比较弱,如下是发送的主面板图:发送前,你需要先编辑报文发送的内容。点击发送报文编辑按钮。可得到如下的报文编辑窗口:添加关系节点模板间关系控制模板编辑增加模板添加排除添加关系节点模板间关系控制模板编辑增加模板添加排除发送报文编辑发送报文编辑首先要指定数据帧发送的长度,然后从链路层开始,一个一个将报文填充完成,如果是NetXray支持可以解析的协议,从“Decode”页面中,可看见解析后的直观表示。捕获编辑报文发送将捕获到的报文直接转换成发送报文,然后修修改改可也。如下是一个捕获报文后的报文查看窗口:选中某个捕获的报文,用鼠标右键激活菜单,选择“SendCurrentPacket”,这时你就会发现,该报文的内容已经被原封不动的送到“发送编辑窗口”中发送模式发送内容指定报文长度发送间隔发送模式发送内容指定报文长度发送间隔了。这时,你在修修改改,就比你全部填充报文省事多了。发送模式有两种:连续发送和定量发送。可以设置发送间隔,如果为0,则以最快的速度进行发送。网络监视功能网络监视功能能够时刻监视网络统计,网络上资源的利用率,并能够监视网络流量的异常状况,这里只介绍一下Dashbord和ART,其他功能可以参看在线帮助,或直接使用即可,比较简单。DashbordDashbord可以监控网络的利用率,流量及错误报文等内容。通过应用软件可以清楚看到此功能。ApplicationResponseTime(ART)ApplicationResponseTime(ART)是可以监视TCP/UDP应用层程序在客户端和服务器响应时间,如HTTP,FTP,DNS等应用。统计平均数据或总和连续的统计图为统计图选择统计指标统计平均数据或总和连续的统计图为统计图选择统计指标此三个按钮可以选择按图形或表格方式显示监控的应用属性按钮主要设置监控参数如要监控哪种应用等监控参数此三个按钮可以选择按图形或表格方式显示监控的应用属性按钮主要设置监控参数如要监控哪种应用等监控参数1数据报文解码详解数据报文分层如下图所示,对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成。如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”;网络层对应“IP”;传输层对应“UDP”;应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。以太报文结构EthernetII以太网帧结构Ethernet_II以太网帧类型报文结构为:目的MAC地址(6bytes)+源MAC地址+(6bytes)上层协议类型(2bytes)+数据字段(46-1500bytes)+校验(4bytes)。应用层传输层网络层链路层TelnetFTP和e-mail等TCP和UDPIPICMPIGMP设备驱动程序及接口卡应用层传输层网络层链路层TelnetFTP和e-mail等TCP和UDPIPICMPIGMP设备驱动程序及接口卡Ethernet_IIDMACSMACTypeDATA/PADFCSEthernet_IIDMACSMACTypeDATA/PADFCS2Sniffer会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来,方便定位问题,例如网络上2台设备IP地址设置冲突,可以通过解码翻译出厂商信息方便的将故障设备找到,如00e0fc为华为,010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址,在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议,0x806为ARP协议。IEEE802.3以太网报文结构上图为IEEE802.3SNAP帧结构,与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。IP协议Sniffer自动添加时间戳目的MAC地址源MAC地址上层协议类型Sniffer自动添加时间戳目的MAC地址源MAC地址上层协议类型LLC子层MAC子层DSAPSSAPControl8bit8bit8/16bitDMACSMACLengthLLCDATA/FCSIEEE802.3帧结构LLC子层MAC子层DSAPSSAPControl8bit8bit8/16bitDMACSMACLengthLLCDATA/FCSIEEE802.3帧结构3IP报文结构为IP协议头+载荷,其中对IP协议头部的分析,时分析IP报文的主要内容之一,关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。版本:4——IPv4首部长度:单位为4字节,最大60字节TOS:IP优先级字段总长度:单位字节,最大65535字节标识:IP报文标识字段标志:占3比特,只用到低位的两个比特MF(MoreFragment)MF=1,后面还有分片的数据包MF=0,分片数据包的最后一个DF(Don'tFragment)DF=1,不允许分片DF=0,允许分片段偏移:分片后的分组在原分组中的相对位置,总共13比特,单位为8字节寿命:TTL(TimeToLive)丢弃TTL=0的报文协议:携带的是何种协议报文1:ICMP6:TCP17:UDP89:OSPF头部检验和:对IP协议首部的校验和源IP地址:IP报文的源地址目的IP地址:IP报文的目的地址4上图为Sniffer对IP协议首部的解码分析结构,和IP首部各个字段相对应,并给出了各个字段值所表示含义的英文解释。如上图报文协议(Protocol)字段的编码为0x11,通过Sniffer解码分析转换为十进制的17,代表UDP协议。其他字段的解码含义可以与此类似,只要对协议理解的比较清楚对解码内容的理解将会变的很容易。二.实验内容及步骤DNS测试使用命令行工具,输入nslookup,请给出该域名对应的IP地址和别名,同时给出是哪个域名服务器解析的。telnet测试使用命令行工具,输入telnetbbs.nju.edu.cn,进入南大BBS,进去操作一下,看看文章等,然后退出telnet。捕获HTTP报文51、打开sniffer,点击“捕获”-“定义过滤器”,选择DNS和HTTP(在I