图17 “IP”标签
同样,如果选择“MAC”标签,则可以查看该计算机与哪些物理设备进行通信,从而便于排除其是否在大量进行广播。
选择“Monitor”菜单中的“Protocol Distribution”选项,显示如图18所示窗口,可以查看各种协议的分布状态,例如,我们选择“IP”标签,在“IP Protocol”中可以看到不同的网络协议以不同颜色的区块表示。
图18 Protocol Distribution
选择“Monitor”菜单中“Global Statistics”选项,在“Size Distribution”标签中,可以查看网络上传输包的大小比例分配,显示如图19所示。而在“Utilization Dist”标签中,可以查看当前网络的利用率。
图19 Global Statistics
选择“Monitor”菜单中的“Application Response Time”选项,该列表中显示拉局域网内的通信及其响应速度列表,并将本地网的计算机名以NetBIOS名的形式解析出来。
6. 设置数据包过滤
在默认情况下,Sniffer会接收网络中所有传输的数据包,但我们在分析网络协议查找网络故障时,有许多数据包不是我们需要的,这就要对捕获的数据进行过滤,只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤规则和定义,过滤规则包括二、三层地址的定义和几百种协议的定义。这里介绍一下如何过滤通过本机发送的IP数据包。
在Sniffer Pro主窗口中,选择“Capture”菜单中的“Define Filter”选项,选择“Address”选项卡,如图20所示,在“Address”下拉列表中可以选择MAC,IP,IPX过滤,这里我们选择“IP”;在“Mode”中选择“Include(包含)”单选按钮,如果选择“Exclude”单选按钮,则表示捕获除此地址外所有的数据包;在Station列表中的一栏输入要过滤的IP地址,另一栏设置为“Any”,代表任何主机;在“Dir”列表中设置过滤条件,可以用逻辑关系如AND,OR,NOT等组合来设置。在Station列表中,可以设置多个条件,也就是可以过滤多个IP地址的连接。
图20 设置过滤的IP地址
选择“Advanced”选项卡,在这里可以定义要捕获哪些协议的数据包。例如,想捕获DNS,FTP,HTTP,NetBIOS等协议的数据包,可在TCP协议列表中,选中DNS,FTP,HTTP,NetBIOS等协议复选框;在“Packet Size”下拉列表中,可以选择要过滤的数据包的大小;在“Packet Type”列表框中,可以选择要捕获的数据包的类型,如图21所示。
图21 选择协议
选择“Buffer”选项卡,用来定义捕获包缓冲器,缓冲器占用的是计算机内存的一部分空间,如图22所示。在“Buffer size”中可以定义缓冲器的大小,默认为8MB;在“Packet size”中可以设置包的大小;在“When buffer is full(当缓冲器已满)”选项区域中,可以设置缓冲器满了以后,是“Stop
capture(停止捕获)”还是“Wrap buffer(封装缓冲器)”;在“Capture buffer”选项区域可以设置捕获数据的自动保存功能。由于缓冲器会占用内存空间,如果计算机内存较小,要捕获的数据又很多,可以使用自动保存功能将捕获的数据直接保存硬盘,选中“Save to file(保存到文件)”复选框,在“Director”中设置要保存的文件路径,在“Filename”中设置文件名。
图22 设置缓冲器
如果没有使用自动保存功能,捕获数据后会自动显示出Expert对话框,用来分析数据;如果使用了自动保存功能,由于数据不再保存到缓冲器而是保存到文件,所以停止捕获以后再选择“Capture”菜单中的“Display”选项时,就要求选择打开的文件,此时需要选择在设置自动保存时的文件,才可打开。
完成以后单击“Profiles”按钮,显示“Capture Profiles”对话框,可以建立一个新的过滤器。默认已有一个名为“Default”的过滤器,单击“New”按钮显示“New Capture Profile”对话框,在“New Profile Name”文本框中为该过滤器定义一个名称,如图23所示,完成以后单击“OK”按钮。
图23 新建过滤器