Sniffer使用教程

Sniffer软件使用介绍Sniffer介绍•与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析•Netxray不能在Windows2000和WindowsXP上正常运行，SnifferPro4.6可以运行在各种Windows平台上。•Sniffer软件比较大，运行时需要的计算机内存比较大功能介绍•捕获网络流量进行详细分析•利用专家分析系统诊断问题•实时监控网络活动•收集网络利用率和错误等•在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。位置：File-selectsettingsAdapterToolsPingTraceRouteDNSLookupFingerWhoIsTriggerAlarmsMonitorFiltersMonitorApplicationsDashboardHostTableMatrixARTHistorySamplesProtocolDistributionGlobalStatisticsCaptureFiltersDisplayFiltersDisplaysDecodeMatrixHostTableProtocolDistStatisticsProbeDirProfilesConfigsAddrBkDatabaseTracesExportedDataSnifferPortableOperation系统要求•Windows98SE,2000,orNT4.0•SnifferPortableSoftware(ProvidedbyNetworkAssociates)•MicrosoftInternetExplorerwithMSVirtualMachineandmediaplayer•Pentium400MHzCPUwithminimum128MBRAM(256MBrecommended)andminimum125MBfreediskspace•NetworkInterfaceCardwithNDIS3.0+driver•EnhancedNAIdriversforselectedcardsenhanceperformanceandallowerrorframestobecapturedandanalyzed支持的接口类型•Ethernet10/100•TokenRing4/16•FDDI•HSSI•FullDuplex(supportedwithapod)•ATM•WAN•GigabitEthernet•802.11bWirelessLANTheOSIModelandFrames•FramesincludeheadersatseverallayersoftheOSImodel–Thenumberofheadersinaframeisprotocol-dependent–Eachheaderhasmultiplefieldsthatarealsoprotocol-dependent•TheSnifferNetworkAnalyzerreadstheentireframeanddecodeseachbyte(andsometimeseachbit)intoanEnglishexplanationofthevaluesDLCApplicationPresentationSessionTransportNetworkLLCRI启用Sniffer开启Sniffer•开启SNIFFER.EXE应用程序•选择[File--SelectSettings...]选择想用的本地代理–AdaptersmustbepreviouslyconfiguredinWindowsanduseNAIenhancedorNDIS3.0+compliantdrivers•应用程序自动开始通过活动的本地代理监控流量本地代理?•本地代理指一组设定、地址及与网卡相关的配置文件的逻辑概念–在Sniffer的程序目录中，每个本地代理都有唯一的目录；–所作的修改奖杯保存在活动本地代理的目录中AdapterLocalAgent2ConfigurationsThresholdsAddressBookProfiles(Filters)LocalAgent1ConfigurationsThresholdsAddressBookProfiles(Filters)SelectSettings...Thetitlebarindicatestheactivelocalagent选择网卡•设定对话框患有已设定的所有本地代理•程序目录下的“Local”目录有每个代理的设置信息用户界面StatusBar标题主菜单工具栏捕获工具图标工具栏FileOpenSaveAddressBookAbortPrintDashboardHostsApplicationResponseTimeMatrixHistoryProtocolDistributionGlobalStatsAlarmsCapturePanelPrint使用包生成器发包器?•发包器的主要目的是测试网络性能•你能配置:–已捕获被缓存的帧–被显示的帧–新配置的帧–无数据帧环回模式•从缓存传输帧，“replay”的跟踪文件有利于快速显示监控或捕获数据•WARNING:在发包前确保使能了环回模式发包器•捕获或显示包跟踪文件•ToolsPacketGenerator发送当前缓存重发停止配置并发新包发送当前包发包器AnimationView—显示数据被“pumped”到网络中Detailview—显示统计数据:右下角的计数器:从文件监控并捕获•现有网络存在问题，为使能Monitor，必须–设置localagent为LoopbackMode–加载跟踪文件–从跟踪文件产生流量•监控器将接收数据，好像他们来自于网络，并给我们统计信息产生于文件•打开Files:–选择LoopbackMode–打开跟踪文件•帧将存储在捕获缓存中•显示数据Displaythedata•打开Tools:–选择PacketGenerator–选择SendBuffer图标–配置缓存发送次数–注意右下角计数器缓存发包配置配置发送频率:监控网络性能监控物件显示监控数据.在Monitor菜单下和主工具栏都有下7个物件:DashboardHostTableMatrixProtocolDistributionHistorySamplesGlobalStatisticsApplicationResponseTimeTheDashboard•Sniffer启动后马上开始收集网络段的数据•要实时浏览网络数据,从Monitor菜单选择Dashboard•需通过诊断等工具察看红色区域。红色区域位域值每秒的错误数利用百分比每秒包HostTable•提供收集到的每个节点流量数据的实时快速分析•有四种浏览模式:–Outlinetable–Detailtable–Barchart–PiechartHostTable-ToolbarDisplaystatsforselectedstationExportdatatospreadsheet(tableviewsonly)RefreshdisplayDefinefilterPiechartviewDetailtableviewBarchartviewCapturedataPausescreenupdatesRestartdatacollectionPropertiesOutlinetableviewHostTable-OutlineTableViewTheoutlinetable提供每个节点输入输出总字节数的概要:HostTable-DetailTableViewThedetailtable提供每个节点高层协议类型和输入输出流量的概要:HostTable-BarChartView柱状图实时显示最忙的前N名节点HostTable-PieChartView饼状图显示最前N名忙的节点，即其相关百分比HostTable数据的应用•获得单个站点的数据•了解那个站点应用了特殊协议•掌握高流量站点–快速定位发送广播的站点•设定怀疑地址，过滤•为基础分析输出历史数据Matrix-TrafficMap•TheMatrix实时收及网络节点间的回话数据•以流量图方式流览Matrix,或以柱状或饼状图Matrix的应用•用不同的浏览方式快速定位通信双方–找出配错的路由器，他让本应过滤的帧通过–找出通过防火墙的帧•看连接的数据•设置节点地址过滤ApplicationResponseTime测试服务器/客户端应用程序协议响应时间TableView:HistorySamples•用HistorySamples来收集不同时段的不同网络数据，从而建立网络性能的基准–基准数据有助于设定有非正常网络事件发生时的高警域值•也可用来导出长期的网络趋势，有利于将来网络的扩展和改造计划ProtocolDistribution•用ProtocolDistribution提供网络基于network-,transport-,和application层的网络应用–监控IPX/SPX,TCP/IP,NetBIOS,AppleTalk,DECnet,SNA,Banyan,andotherprotocolsGlobalStatistics•GlobalStatistics有助于–理解网络中的所有活动指标–PinpointlargeandsmallsizepackettrafficloadsUsetabstoselectframesizeorUtil.%保存监控数据选择Database/Options…来保存监控或专家数据到一CSV文件捕获网络流量捕获环境•缓存大小–捕获缓存缺省设为8M–可通过选择Capture菜单,再选择DefineFilter然后选择Buffer莱修改•物理位置–Sniffer的物理连接方式决定了所能捕获的数据量•CaptureFilters–CaptureFilters提供选择标准，那种类型的帧能被捕获进入缓存CaptureControls用工具栏中的capture按钮:捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件实时分析捕获一开始，,Sniffer就开始分类并分析进入的数据，执行实时专家分析设置捕获缓存选项•点击工具栏的DefineCaptureFilter图标•选择Buffer–BufferSize–PacketSize–Stoporwrap–SavetoFileExpertWindow:DefaultViewExpertSummarySelectobjecttypeforsummaryExpertOverviewExpandtoDetailViewTabExpertWindow:OverviewClickonnumbertoviewsummarydataProtocolStatisticsExpertOverviewExpertWindow:StationLayerObjectDetailRelatedAddressesDouble-clicktoviewobjectdetailAddressingDetailsAlarmsObjectDetailAnalyzingNetworkIssues显示捕获数据能显示和分析存储的帧代码:–捕获的帧OR–开启捕获的文件StopanddisplaycapturePost-AnalysisTabs定义过滤器DisplaysthecurrentcapturefilterSelectapreviouslydefinedcapturefilter为捕获过程定义过滤器–从下拉菜单OR–从工具栏应用过滤配置文件创建捕获过滤配置文件:1.点击工具栏的DefineFiltericon2.点击Profiles…按钮3.点击New…按钮4.