You are on page 1of 16

Sniffer 主界面

打開 / 保存
捕捉過濾器 捕捉的數據包 儀表盤 / 主機表 / 矩陣 / 應用回應時間 / 歷史 / 協議分佈 /
全局統計 / 警報 / 捕捉面板 / 位址本 / 停止
捕捉控制按鈕 :
開始 / 暫停 / 停止 / 停止並查看 / 查看

已捕捉的包計數

警報計數
準備工作

SPAN ︰源為多個端口或 VLAN ,目標為連接 Sniffer 的交換機端口


Cisco Catalyst 6500

如果 Sniffer 與監視
對象在同一台交換
機上,使用 SPAN

監視對象可以是 Cisco Catalyst 3550


多個交換機端口
或VLAN

如果 Sniffer 與監視
對象不 在同一台交
換機上,使用 RSPAN

RSPAN(2) ︰ RSPAN 專用 VLAN

RSPAN(1) ︰源為多個端口或 VLAN , RSPAN(3) ︰源為 RSPAN 專用 VLAN ,


目標為 RSPAN 專用 VLAN 目標為連接 Sniffer 的交換機端口
Tips: 可以以文件
模式保存捕捉到
的數據
捕捉與顯示

1. 點擊“ start” 開始捕捉 , 注意右下角狀態欄上的已捕捉數據包計


數器
2. 點擊“ stop and display” 停止捕捉 , 查看已捕捉的數據

捕捉到的數據包的列表 , 包括序號、源及目標位址、
概要、長度、時間等。當前選中的數據包(藍色背景
)在下框中詳細顯示

按層次顯示數據包架構及內容
如︰ [dlc [ip [udp [snmp… ] ] ]
欄目高度可調

二進製及 ASCII 格式顯


3. 點擊“ Decode” 對數據包進行解碼顯 示

顯示︰全局

按對象分析︰連接
捕捉數據包所屬的連接

協議分析顯示︰
Netbios 、
FTP 控制數據及其它

Tips:Sniffer 會智
能發現一些網路
故障現象
(Expert 分析 )

矩陣分析顯示︰主機 hwei 向
172.18.7.10
及廣播位址發送了不同數量的數據包 用于調整分析參數的工具
顯示︰過濾

2. 定義要顯示的數據類型 ( 可以按源
/目的IP位址或MAC位址、協
議、匹配字元串等進行過濾 )

1. 在 Decode 窗口右鍵彈出關聯菜單

點擊 Define Filter 定義過濾器

3. Select Filter 應用
預定義好的過濾器

4. 結果
捕捉︰過濾
下拉列表選擇要使用的捕捉過濾器

定義捕捉過濾器︰只捕捉感興趣的數據包
Tips:
Capture/Trigger Setup
可以根據特定條件開
始 / 停止捕捉 定義方法同顯示過濾器

保存定義好的捕捉過濾器
例子︰觀察 telnet
1. 定義過濾器並捕捉感興
趣的數據包

2. 解碼分析

telnet 參數協商

用戶名 :root( 有
echo)

密碼 :root( 有 echo)

3. 登錄失敗原因︰“ Not on system


console”
即︰主機系統禁止 root 用戶透過 telnet 登

telnet 協議中客戶端默認(未用 nagle 算法時)一個數據包發送一個字母


監控︰ Dashboard

清除數據 / 設置網路正常狀態閥值

儀表
盤/ 儀表盤模式 : 實時顯示
詳細 利用率、每秒數據包數
顯示 、錯誤數
模式

圖示分析期間︰短期 / 長期

更改時間指
針,最右側
的 2,0 等數
數據包總數 / 秒
據是時間指 顏
利用率
針指示時刻 色
錯誤 / 秒
的值 顯
丟棄 / 秒

位元組 / 秒
廣播包 / 秒
組播包 / 秒

選中顯示數據包的大小分佈情況
監控︰ Host Table
Tips:
雙擊欄目標題
可以進行升 / 降
序排列

概況
詳情
條形圖
餅圖

捕捉選中流量
定義相應過濾器

暫停數據更新
刷新數據更新
清空數據

導出數據
IP 位址 / 接收、發送數據包數量 / 接收、發送位元組數 / 廣播、組播包數量 / 最近、最早通
設置
訊時間
單一工作站分析

更改顯示模式︰ MAC 位址 /IP 位址 /IPX 位



監控︰ Matrix

實時比例分析
色標說明

Tips:
MAC 位址
OUI 已譯成
公司名稱

實時通訊分析

更改顯示模式︰ MAC/IP/IPX 位址
監控︰ ART

網路應用回應時間︰平均、絕大多數情況下 (90%) 、最小、最大


設置要進行
分析的協議

Tips:
隨機幫助是很
好的參考資料
噢 !
監控︰歷史取樣

設置歷史
取樣時間
間隔
監控︰協議分佈

Tips:
不記得某個按
鈕的功能了?
鼠標停留一會
─給你個小提
示!
監控︰其它
位址表 : 主機名 /MAC 位址 / 網路位址
(IP/IPX)…

全局統計︰不同大小的數據包的比例

位址發現

Tips:
將位址表導
出可作參考
文檔
其它工具
•交換機流量統計
•發包程式
•Ping
•Tracer Route
•DNS Lookup
•Finger
•Whois
參考資料

Sniffer 主頁︰ www.sniffer.com

NAI 公司主頁︰ www.nai.com

NAI 公司 ( 中文 ) ︰ www.nai.com/international/china/
FAQ ︰ www.robertgraham.com/pubs/sniffing-faq.html

新聞組︰ cn.bbs.comp.security

編寫︰麥子 2003 年 5 月