2004/11/24 | Sniffer使用简介(上)
类别(技术) | 评论(0) | 阅读(66) | 发表于 16:05
一、捕获数据包前的准备工作

在默认情况下,sniffer将捕获其接入碰撞域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下:

  1、在主界面选择captureàdefine filter选项。

  2、define filteràaddress,这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例,见图1。


图1
比如,现在要捕获地址为10.1.30.100的主机与其他主机通信的信息,在Mode选项卡中,选Include(选Exclude选项,是表示捕获除此地址外所有的数据包);在station选项中,在任意一栏填上10.1.30.100,另外一栏填上any(any表示所有的IP地址)。这样就完成了地址的定义。

注意到Dir.栏的图标:

表示,捕获station1收发的数据包;

表示,捕获station1发送的数据包;

表示,捕获station1收到的数据包。
最后,选取

,将定义的规则保存下来,供以后使用。
  3、define filteràadvanced,定义希望捕获的相关协议的数据包。如图2。


图2

比如,想捕获FTP、NETBIOS、DNS、HTTP的数据包,那么说首先打开TCP选项卡,再进一步选协议;还要明确DNS、NETBIOS的数据包有些是属于UDP协议,故需在UDP选项卡做类似TCP选项卡的工作,否则捕获的数据包将不全。

如果不选任何协议,则捕获所有协议的数据包。

Packet Size选项中,可以定义捕获的包大小,图3,是定义捕获包大小界于64至128bytes的数据包。


图3

  4、define filteràbuffer,定义捕获数据包的缓冲区。如图4:


图4

Buffer size选项卡,将其设为最大40M。

Capture buffer选项卡,将设置缓冲区文件存放的位置。

  5、最后,需将定义的过滤规则应用于捕获中。如图5:


图5

点选Select FilteràCapture中选取定义的捕获规则。
0

评论Comments

日志分类
首页[1019]
技术[317]
English[3]
下载[59]
IT业界[203]
发现[47]
音乐[17]
网文[322]
blog应用[36]
BLOG参考[15]