分析捕获的数据.pptVIP

分析捕获的数据 数据分析概述 在合适的网络环境下，使用局域网内合适的主机就可以进行网络监听活动。 监听活动主要是捕获数据。 实际上，每个Sniffer捕获数据流的过程就是一个捕获数据包的过程。 数据包主要由“目的ip地址”、“源ip地址”、“净载数据”等部分构成。 Sniffer针对数据包的结构进行捕获和分析。 捕获数据流 Sniffer pro是一个强大的网络嗅探软件，但它不能监测网络任意节点的所有流量。 Sniffer pro主要用于捕获该工具所在网络线路的流量并对之进行分析。具体说只能在局域网内使用，而不能运用到广域网中。 Sniffer pro可在局域网内的任一台机器上使用，而且应用在网关或路由器上，可以得到更多的信息。 注意使用时，如果对监测条件不加限制的话，将会捕获所有的数据包的信息。 开始捕获 单击capture—start（F10键），弹出expert窗口。 单击capture—capture panel，弹出capture窗口。 捕获面板是整个捕获的中心，其中的两个捕获表盘分别代表捕获过程中捕获到的数据包的数量和缓冲器的容量。 单击capture窗口的detail选项卡，切换到捕获面板的详细资料模式。 表盘模式直观，详细资料模式提供数据。 停止（F10键）显示（F5键）停止并显示（F9键） 详细资料模式提供数据 参数略解： 捕获数量 丢弃数量 缓冲器大小 缓冲区状态 捕获的结果文件是否保存 放入缓冲器中的数量 拒收的数量 捕获帧是否完整 捕获启动的时间的长短 捕获的文件是否按照事先设定的文件序号来重新命名 保存捕获的数据 Sniffer pro捕获是一种实时过程，所以每一次捕获后都应该保存捕获信息。 单击file—save as，选取保存文件的格式，确定保存。 载入文件并使用：单击file—open。 Sniffer pro支持的文件格式： .cap 未经压缩的文件 .caz 自动压缩文件 .enc 应用于以太网的原始跟踪文件 .trc 应用于令牌网的原始跟踪文件 .fdc FDDI的原始跟踪文件 .etm 网络广播和功能地址 .trm 网络广播和功能地址 .hst 历史纪录 .csv 历史纪录 .btr Sniffer pro所支持的令牌网厂商ID .bet Sniffer pro所支持的以太网厂商ID 分析地址解析协议 ARP（地址解析协议）协议是重要的TCP/IP协议，用于确定对应的IP地址的网卡MAC（物理）地址。 ARP缓存表采用老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这可以大大减少ARP缓存表的长度，加快查询速度。 ARP协议的数据包结构 ARP简单命令 arp –a 查看高速缓存中的所有项目。 arp –a [IP地址] 如果系统中有多个网卡，可以只显示与相应IP相关的缓存项目。 运用Sniffer pro捕获ARP数据包 必须先建立过滤器 单击capture—define filter—profile按钮—new按钮，给出名字，确定； 单击done按钮，返回设置过滤器窗口； 选择advanced选项卡—选择ARP复选框，确定后完成过滤器的设置。 分析ARP数据包 注意：为了保证ARP连接真正存在，所以需要使用arp –a来获得正确的信息，如果没有获得正确的信息是无法进行实验的。 提供的附加信息： DLC文件头： 发送帧的数目 发送帧的目的主机 帧的来源，即帧的MAC地址 协议的以太网类型 分析ARP数据包 ARP/RARP frame的数据帧 硬件类型=1：显示捕获时所用的硬件设备（网卡） 协议类型=0080（IP）：显示请求要求的上层协议 硬件地址的长度=6字节：显示的是MAC地址 协议地址的长度=4字节：显示的是高级协议地址 Opcode=1：显示ARP帧的类型 发送方的硬件地址：显示发送设备的MAC地址 发送方的IP地址：显示发送设备的IP地址 目标的硬件地址：显示目标设备的MAC地址 目标的IP地址：显示目标设备的IP地址 分析ICMP协议 分析TCP协议 分析UDP协议 分析IPX协议 分析PPPoE协议 Sniffer Pro的高级应用过滤器 过滤器是Sniffer Pro一切捕获的基础，建立良好的过滤器对于一个数据捕获分析来说是必要的过程。 Sniffer Pro使用的所有工作中最困难的是定义合适的过滤器。是基于TCP协议，还是使用UDP协议，使用IP地址还是限制MAC地址。 建立合适的过滤器，是使用判断网络故障的重中之重。 预定义的过滤器 使用默认的过滤器 单击capture—define filter， Default：表示无条件捕获，即所有经过网卡的数据包全部捕获。 或得更多的过滤器 Sniffer Pro提供了大量的过滤器供用户下