2.6 协议分析工具Sniffer的应用

Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个方面。

Sniffer软件是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收在网络上传输的每一个信息包。在某些操作系统中，由于普通用户缺少相应的权限，所以必须以管理员身份进行安装，如Linux下就必须以root身份进行安装。

2.6.1 Sniffer的启动和设置

1.启动Sniffer

Sniffer安装好后，启动Sniffer执行程序。进入Sniffer主界面后，要对Sniffer启动的网络适配器进行选择，选择后就可以在该网络适配器上捕捉流量。单击“file”菜单下的“selectsettings”，弹出“Settings”对话框，如图2-26所示，选择想要进行流量捕捉的适配器，选中“LogOn”复选框，单击“确定”按钮，Sniffer变成“LogOn”状态，如图2-27所示，此时Sniffer在选定的网络适配器下就处于工作状态了。

图2-26 “Settings”对话框

图2-27 Sniffer主界面（LogOn状态）

2.设置

设置过滤器：从“Capture”菜单启动“Definefilter”，弹出如图2-28所示的“Define Filter-Monitor”对话框，其中包括“Summary”“Address”“DataPattern”“Advanced”“Buffer”5个选项卡，即摘要、地址、数据模式、高级、缓冲5个选项卡。

1）“Summary”选项卡。显示摘要信息，主要显示过滤器的一些信息，如地址、选定的协议类型、缓冲器信息等。

2）“Address”选项卡。可以选择地址类型并按相应的类型添加地址。若在“Address”下拉列表框中选择“Hardware”，即在下面的“Station1”和“Station2”设备中填写MAC地址；若选择“IP”，即填写IP地址。如图2-28所示，“Station1”处的源MAC地址为0019213d7d44，“Station2”不填写，默认为任意MAC地址。也可以选择IP层捕获，即按源IP和目的IP进行捕获。还可以对“Include”“Exclude”进行设定，即捕获是否包含选择条件的流量。

3）“DataPattern”选项卡。自定义要过滤的数据模式。

图2-28 “Define Filter-Capture”对话框

4）“Advanced”选项卡。如图2-29所示，可以在此选项卡中编辑数据包的大小、协议类型、数据包的类型，并可以通过单击“Profiles”按钮将设置进行保存。

图2-29 选择捕获协议、类型和长度

5）“Buffer”选项卡。对Sniffer的缓冲进行设置，即可以对缓冲大小、缓冲满后的处理方式、数据包大小、保存文件位置等进行设置，如图2-30所示。

过滤器编辑好后保存，以后可以随时通过在“Capture”菜单栏中选择过滤器来调用该设置以启用Sniffer。

还可以设置触发器来设置捕获，选择“Capture”中的触发设置命令来进行触发器设置。可以定义触发器的时间、警报类型来启用触发，也可以按捕获量或自定义条件来定义停止触发器的条件。

图2-30 缓冲设置

3.报文捕获解析

1）捕获面板。可以按已定义的捕获条件单击“捕获开始”图标按钮进行捕获；也可以在开始捕获前重新定义捕获条件，进行捕获操作；在“选择捕获条件”下拉菜单中可以选择已保存的过滤器设置对捕获条件进行编辑，如图2-31所示是处于开始状态的捕获面板。

图2-31 捕获面板

2）捕获过程报文统计。如图2-32所示的面板可以查看捕获报文数和捕获报文的数据缓冲大小。

图2-32 捕获报文统计

3）捕获报文查看。提供专家分析系统、解码分析、矩阵分析和其他统计信息，如图2-33所示。

图2-33 专家分析界面

2.6.2 解码分析

如图2-34所示是对捕获的报文进行解码分析的显示，此工具的使用要求对协议比较熟悉。图2-35和图2-36分别是Sniffer对ARP报文和IP协议首部的解码分析结构。

图2-34 解码分析界面

图2-35 通过Sniffer解码的ARP报文结构

图2-36 Sniffer对IP协议首部的解码分析结构