最后,单击“确定”按钮保存所做的设置。然后,需要将所设置的过滤规则应用于捕获中。在Sniffer Pro主窗口中,选择“Monitor”菜单中的“Select Filter”选项,显示“Select Filter”对话框,选中“Apply monitor filter”复选框应用,并在列表框中选择所设置的过滤规则,如图24所示。
图24 选择过滤器
完成以后单击“确定”按钮,然后在Sniffer Pro主窗口中选择“Capture”菜单中的“Start”选项,此时,Sniffer Pro将会只捕获与本机计算机(192.168.1.178)连接的数据包,没有与本地连接的数据包将不再捕获,这样,便于管理员分析网络中的数据并找出问题所在。 7. 分析网络协议
网络问题对管理员来说很常见,因此管理员必须选择最好的方法来识别不同的网络故障,进行分析并解决。Sniffer Pro可以帮助管理员捕获网络流量,全面了解网络状况、分析捕获的信息。使用Sniffer Pro捕获的流量都会直接到达捕获缓冲器,捕获的数据还可以保存在硬盘,以备将来使用。在捕获流量时,既可以捕获所有数据,又可以过滤数据。如果捕获所有流量,可对网络所有数据有全面了解,但也可能因每秒通过网络的数据包过多,网络需要承载较大的数据量。因此,比较好的方法是定义一个过滤器,只捕获与管理员正在分析的问题有关的数据包。下面我们就介绍一下如何使用Sniffer Pro来捕获并分析ARP协议和ICMP协议。 (1) 捕获并分析ARP协议
ARP协议即地址识别协议,是网络中最重要的协议之一,它的作用是将网络设备的物理地址(MAC地址)自动映射成IP地址。
现在我们先定义一个过滤器,只捕获ARP数据包。在Sniffer Pro窗口中,选择“Capture”菜单中的“Define Filter”选项,显示“Define Filter”对话框,单击“Profiles”按钮来添加一个新过滤器,并命名为“ARP”,如图25所示。
图25 Define Filter
选择“Define Filter”对话框的“Advanced”选项卡,在协议列表中框中只选中“ARP”复选框。完成以后单击“确定”按钮,关闭过滤器定义窗口,一个ARP过滤器就设置成功了。现在就使用它来捕获一些数据。在Sniffer Pro窗口中选择“Capture”菜单中的“Start”选项开始捕获网络中的数据,经过一段时间后选择“Capture”菜单中的“Stop”选项停止捕获,并选择“Display”选项打开代码窗口,现在就可以开始分析捕获结果了。
(2) 分析ICMP协议来报告错误
ICMP协议即Internet控制信息协议,而且是TCP/IP协议的一部分,它是网络设备间报告错误的基于控制的协议。ICMP是一种非常强大的工具,允许我们报告20种以上不同的网络状况。 首先需要定义一个新的ICMP过滤器。在Sniffer Pro主窗口中,选择“Capture”菜单中的“Define Filter(定义过滤器)”选项,显示“Define Filter”对话框,单击“Profiles”按钮显示“Capture Profiles”对话框,单击“New”按钮定义一个名为ICMP的过滤器。完成以后在“Define Filter”对话框的“Advanced”选项卡中,只选中“IP”列表中的“ICMP”协议,最后单击“确定”按钮保存。
在Sniffer Pro主窗口中,选择“Capture”菜单中的“Start”选项开始捕获过程,向默认网关发送ping命令。选择“Stop”选项则可停止捕获。
由于ICMP信息是封装在IP数据包中的,而IP数据包又会封装在以太网帧中,因此,如果要彻底分析一个ICMP数据包,就必须查看这个数据包的所有部分,理解三种不同的文件头:DLC文件头,IP文件头和ICMP文件头。
当捕获数据完成以后,在“Expert”对话框中选择下面的“Decode”标签,展开“ICMP”列表,显示如图26所示。
图26 ICMP文件头
现在来分析各项内容:
Type=8(Echo):ICMP Echo有两种类型,类型8是请求,而类型0是响应。 Code:该代码现在在ICMP Echo信息中并不常用,经常设定为0。
Checksum:IP文件头检验和不能用来证明高层协议数据的完整性,所以ICMP信息用自己的检验和来确保数据在传输过程中没有被中断。
Identifier与Sequence number:这些数字由发送方式生成,用来将响应与请求匹配在一起。 8. Sniffer Pro的其它工具
Sniffer Pro内置了一些其它的网络工具,可以对网络管理起到辅助作用。打开Sniffer Pro的“Tools”菜单,可以看到这里有ping,trace route,DNS lookup,finger,who is等,这些工具和Windows系统中相应的命令类似,管理员使用它们可测试连接,追踪路由等,而且使用起来更简单。例如,选择“ping”选项来使用ping命令,会显示如图27所示对话框,在“Host”框中输入要ping的IP地址或者域名,单击“OK”按钮就会自动ping了,并将结果显示在“Ping”窗口中。如果想再ping其它的地址,选择“Command”菜单中的“Ping”选项即可。