图12 DLC文件头信息
如果捕获的是HTTP协议,则DLC下面显示的是IP文件头的详细内容(如图13所示),
图13 IP文件头信息
包括:
Version(版本):版本序号为4,代表IPv4。
Header length:Internet文件头长度,为20个字节。
Type of service(服务类型值):该值为00,我们会看到ToS下面一直到总长度部分都是0。这里可以提供服务质量(QoS)信息;每个二进制数位的意义都不同,这取决于最初的设定。例如,正常延迟设定为0,说明没有设定为低延迟,如果是低延迟,设定值应该为1。
Total length(总长度):显示该数据的总长度,为Internet文件头和数据的长度之和。
Identification:该数值是文件头的标识符部分,当数据包被划分成几段传送时,接收数据的主机可以用这个数值来重新组装数据。
Flag(标记):数据包的“标记”功能,例如,数据包分段用0标记,未分段用1标记。
Fragment offset(分段差距):分段差距为0个字节。可以设定0代表最后一段,或者设定1代表更多区段,这里该值为0。分段差距用来说明某个区段属于数据包的哪个部分。 Time to live(保存时间):表示TTL值的大小,说明一个数据包可以保存多久。
Protocol(协议):显示协议值,在Sniffer Pro中代表传输层协议。文件头的协议部分只说明要使用的下一个上层协议是什么,这里为UDP。
Header checksum(校验和):这里显示了校验和(只在这个头文件中使用)的值,并且已经做了标记,表明这个数值是正确的。
Source address(源地址):显示了数据的来源地址。
Destination address(目的地址):显示了数据访问的目的地址。
IP文件头下面为TCP或者UDP文件头,这里为UDP协议(如图14所示)。
图14 UDP文件头信息
UDP协议头包括下列信息:
Source port(源端口):显示了所使用的UDP协议的源端口。 Destination port(目的端口):显示了UDP协议的目的端口。 Length(长度):表示IP文件头的长度。
Checksum(校验和):显示了UDP协议的校验和。 Bytes of data:表示有多少字节的数据。
根据协议的不同,在详细资料窗口中有的还会显示ARP、HTTP、WINS等信息。通过这些信息,可以发现正在解析的协议中更多内容。
“Decode”窗口最下方为“Hex窗口”,这里显示的内容最直观,但也难以理解,如图15所示。“Hex窗口”中的信息是16进制代码的信息集合。数据的传输是按照二进制系统为基本标准进行的,二进制数据还可以转换为十六进制、十进制和八进制的格式,在“Hex窗口”中查看数据时,看到的就是处于传输状态的原始ASCⅡ格式的数据。
图15 Hex窗口
5. 监控网络的几种模式
在Sniffer中,除了使用仪表盘表示网络的当前状况以外,还可以使用其它几种模式来查看网络当前的运行状况。
选择“Monitor”菜单中的“Host Table(主机列表)”选项,显示如图16所示“Host Table”对话框,该列表框中显示了当前与该主机连接通信信息,包括连接地址、通信量、通信时间等,例如,这里选择“IP”标签,可以看到与本机相连接的所有IP地址及其信息。在该对话框左侧,可以选择不同的按钮,使该主机列表以不同的图形显示,如柱形、圆形等。
图16 主机列表
选择“Monitor”菜单中的“Matrix”选项,显示“Matrix”窗口,该窗口会监控本地网络与外部网络的连接情况,并将源地址与目的地址的连接用直线表示。如图17所示该蓝色圆中的各点连线表明了当前处于活跃状态的本地计算机与目的地址的点对点连接,在这里,选择“IP”标签,可以看到源地址与目的IP地址的连接(如图17)。不过,由于连接点太多而过于密集,用户难以看清楚各连接点的源地址和目的地址,此时可在该窗口上单击右键,选择快捷菜单中的“Zoom”子菜单中的比例值来扩展大图形,如300%,500%等。