第4章　网络诊断分析工具

网络每天都可能发生各种各样的问题，例如网络性能降低，数据传输不稳定等问题。甚至出现网络故障，严重影响网络的正常使用。因此，网络管理员应该掌握各种网络诊断分析工具，当网络运行不畅或发生故障时，可以利用这些工具及时解决故障。

4.1　超级网络嗅探器——Sniffer Pro

目前，网络分析软件市场占有率最高的是Network Associates公司开发的Sniffer Pro。Sniffer（后文中Sniffer Pro都统称为Sniffer）可以捕获并分析网络数据、分析网络协议等，可用于网络故障与性能管理，在网络管理中应用非常广泛。

4.1.1　Sniffer简介

Sniffer主要用来分析网络的流量，在众多流量中分析所关心的内容。例如通过使用Sniffer可以判断网络中某台计算机使用网络的具体情况，包括所使用的网络协议、数据流量大小、与哪台计算机相连等信息。另外，当网络发生故障时，可以用Sniffer对问题做出精确的判断，从而提高管理员的工作效率。

Sniffer的功能主要包括如下几方面。

捕获网络流量进行详细分析；

利用专家分析系统诊断问题；

实时监控网络活动情况；

监控单个工作站、会话或网络中任何一部分的详细的网络利用情况和错误统计；

支持主要的LAN、WAN和网络技术（包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM）。

提供在位和字节水平过滤数据包的能力。

4.1.2　Sniffer安装与配置

Sniffer安装位置的选择，是使Sniffer发挥其作用的关键。通常情况下，Sniffer应该安装在内部网络与外部网络通信的中间位置，例如代理服务器。也可以安装在局域网内的任意一台计算机上，但此时只能对局域网内部的通信进行分析。

1．Sniffer的安装

如果网络中使用了代理服务器，那么Sniffer必须安装在代理服务器上，这样Sniffer才能捕获局域网和Internet之间传输的数据。如果使用交换机或路由器方式接入Internet，可以在网络设备上配置端口镜像，并将网络设备的出口设置为目的端口，然后将安装Sniffer的计算机连接到该端口，即可实现对整个网络的监控。

通常情况下，为了实现对整个网络的监听，应当将网络总出口（如连接至代理服务器、路由器的端口或VLAN）映射为Sniffer计算机所连接的端口。Cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN。端口镜像仅适用于以太网交换端口。

Cisco交换机的SPAN端口配置过程如下：

第1步，进入全局配置模式。

        Cisco# configure terminal

第2步，为该进程移除任何已经存在的SPAN配置。

        Cisco # no monitor session {session_number — all — local — remote}

第3步，指定SPAN进程和侦听源端口。

        Cisco (config)# monitor session session_number source {interface interface-id — vlan
    vlan-id} [, — -] [both — rx — tx]

第4步，指定SPAN进程与侦听目的端口。

        Cisco (config)# monitor session session_number destination {interface interface-id
    [, — -]

第5步，返回特权配置模式。

        Cisco (config)# end

第6步，校验SPAN配置。

        Cisco # show monitor [session session_number]
        Cisco # show running-config

第7步，保存SPAN配置。

        Cisco # copy running-config startup-config

例如，若欲将g1/0/1端口的所有收发流量全部映射至g1/0/2端口，配置过程如下：

        Cisco (config)# no monitor session 2
        Cisco (config)# monitor session 2 source gigabitethernet1/0/1 rx
        Cisco (config)# monitor session 2 destination interface gigabitethernet1/0/2
        Cisco (config)# end

在使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，这些数据会被系统交换到磁盘，从而导致计算机性能下降。如果没有足够的物理内存，很容易造成安装有Sniffer的计算机死机或崩溃。因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。因此，建议Sniffer系统应有一个速度尽可能快的处理器，而且至少应安装1GB以上的物理内存。

安装Sniffer的具体操作步骤如下：

第1步，运行Sniffer安装程序，显示如图4-1所示Sniffer安装向导。

图4-1　Sniffer安装向导

第2步，单击“Next”按钮，安装程序开始检查计算机硬件，检查是否满足Sniffer的最低安装需要，如图4-2所示。如果结果均显示为“Passed”，则表示测试通过。如果其中某项没有通过检测，则不能进行安装。

图4-2　硬件测试结果

第3步，单击“Next”按钮，显示如图4-3所示“Software License Agreement”对话框，显示该软件许可协议。

图4-3　“Software License Agreement”对话框

第4步，单击“Yes”按钮，显示如图4-4所示“Choose Destination Location”对话框。单击“Browse”按钮，可以根据需要设置Sniffer的安装目录，通常情况下保持默认即可。

图4-4　“Choose Destination Location”对话框

第5步，单击“Next”按钮，开始安装Sniffer，安装完成后显示如图4-5所示“Setup Complete”对话框。选中“View the Sniffer Portable Release Notes”复选框，可以在安装完成后，查看Sniffer的说明文件。

图4-5　“Setup Complete”对话框

第6步，单击“Finish”按钮，显示如图4-6所示“Sniffer Portable Install”对话框。提示Sniffer已经安装完成，需要重新启动计算机，才能使用该软件。

图4-6　“Sniffer Portable Install”对话框

第7步，单击“确定”按钮，显示如图4-7所示“Setup Complete”对话框。选择“Yes, I want to restart my computer now.”单选按钮，安装完成后，立即重新启动计算机。

图4-7　“Setup Complete”对话框

第8步，单击“Finish”按钮，即可重新启动计算机完成安装。

2．配置网络适配器

通常情况下，代理服务器会安装多块网卡，以实现Internet共享，而Sniffer默认只监控一块网卡上的数据流。因此，在使用Sniffer捕获网络数据流前，需要指定所监控的网卡。另外，使用Sniffer实例功能，可以实现同时捕获多块网卡，但多个Sniffer实例的“Settings”窗口不能同时打开。

第1步，依次打开“开始”→“所有程序”→“Network General”→“Sniffer Portable”→“Sniffer Portable”，启动Sniffer程序。如果当前计算机上安装有多块网卡，会显示如图4-8所示“Settings”对话框，需要选择要监视的网卡。

图4-8　设置网络适配器

第2步，为了使Sniffer能够监控多个不同的网络，可以设置多个代理。在“Settings”对话框中单击“New”按钮，显示如图4-9所示“New Settings”对话框。在“Description”对话框中输入网卡描述信息，在“Network”下拉列表中选择要使用的网卡。

图4-9　“New Settings”对话框

第3步，单击“OK”按钮，保存设置即可。

第4步，配置完成后，单击“确定”按钮，显示如图4-10所示Sniffer主窗口。依次打开“File”→“Settings”选项，选择不同的网卡，即可监控不同的网络。

图4-10　Sniffer主窗口

4.1.3　Sniffer的监控模式

Sniffer的监控功能可以查看当前网络中的数据传输情况。Sniffer具有7大监控功能，包括Dashboard（仪表）、Host Table（主机列表）、Matrix（矩阵）、ART（Application Response Time，应用响应时间）、Protocol Distribution（协议分类）、History Sample（历史采样）和Global Statistics（球状统计）。这些功能可以实时显示当前网络中传输的数据，便于网络管理员及时发现故障并解决。

1．Dashboard（仪表）

Sniffer的仪表盘使用图形化界面，可以直观地观测到网络的利用情况。

在Sniffer窗口中，依次选择“Monitor”→“Dashboard”选项，或者单击工具栏上的仪表盘按钮，显示如图4-11所示仪表盘窗口，以后每次启动Sniffer时都会自动打开该仪表盘。这里共有三个仪表盘，分别为“Utilization%”、“Packets/s”和“Errors/s”，分别用来显示网络利用率、传输的数据和错误统计。其中，表盘的红色区域表示警戒值，下方的两个数字分别表示当前和最大的利用率。

图4-11　Sniffer主界面

通过这三个仪表盘，管理员可以很容易地看到从捕获开始，有多少数据包经过网络、多少帧被过滤，以及遗失了多少帧。还可以看到网络的利用率、数据包数目和广播数，如果发现网络在每天的特定时间都会收到大量的组播数据包，这说明网络可能出现了问题，需及时分析哪个应用程序在发送组播数据包。

各个表盘的作用分别如下：

Utilization%（利用率百分比）：使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。由于网络数据流通常都是突发的，一个几秒钟内爆发的数据流和能长期保持活性数据流的重要性是不同的，因此，表示网络利用率的理想方法要因网络不同而改变，而且很大程度上要取决于网络的拓扑结构。在以太网端口，利用率为40%，效率可能已经很高了，但是在全双工可转换端口，80%的利用率才是高效的。

Packets/s（每秒传输的数据包）：显示网络中当前数据包的传输速度。例如，如果网络利用率很高，而数据包传输速度相对较低，则说明网络上的帧比较大。如果网络利用率很高，数据包传输速度也很高，说明帧比较小。通过查看规模分布的统计结果，可以更详细地了解帧的大小。

Errors/s（每秒产生的错误）：显示当前网络中的出错率。但并非所有的错误都产生故障。例如，以太网中经常会发生冲突，并不一定会对网络造成影响，但过多的冲突就会带来问题。

如果想查看详细的传输数据，可单击仪表盘下方“Detail”（详细）按钮，显示如图4-12所示表格，以数值形式显示网络的使用信息。

图4-12　表格形式

其中，“Network”表格中显示了当前网络的使用情况。

Packets：网络中传输的数据包总数。

Drops：网络中遗失的数据包数量（在网络活动高峰期经常会遗失数据包）。

Broadcasts：网络中广播帧的数量。子网或VLAN上所有的组件都必须处理所有的广播数据包，过多的广播会使网络上所有系统的性能整体下降。

Multicasts：网络中组播帧的数量。

Bytes：数据包的总字节数。

Utilization：当前网络的利用率。

Errors：网络中存在的错误的总数。

在“Size Distribution”表格中列出了网络中数据包（包括4字节的CRC）的分布状态，包括64字节、65～127字节、128～255字节等各种不同字节的数据包总数。“Detail Errors”表格中列出了错误出现率，即“Errors/s”表盘中显示的错误的详细情况。

Sniffer的很多网络分析结果都可以设定阈值，若超出阈值，报警记录就会生成一条信息，并在仪表盘上以红色来标记阈值的警告值。网络管理员可根据警告信息，通过对超过阈值的次数和超出阈值的频率进行分析，从而让管理员判断网络的健康状况。

单击仪表盘上的“Set Thresholds（设定阈值）”按钮，显示如图4-13所示“Dashboard Properties”对话框，根据网络状况配置仪表阈值即可，以保证仪表能准确地显示网络情况。

图4-13　“Dashboard Properties”对话框

2．Host Table（主机列表）

Sniffer的主机列表功能是以列表形式显示当前网络上计算机的流量信息。

依次选择“Monitor”→“Host Table”选项，显示如图4-14所示窗口，列出了当前所捕获的网络上的各个主机的流量信息。

图4-14　主机列表

Hw Addr（硬件地址）：以MAC地址形式显示计算机。

In Pkts（传入数据包）：网络上发送到此主机的数据包。

Out Pkts（传出数据包）：本地主机发送到网络上的数据包。

In Bytes（传入字节数）：网络上发送到此主机的字节数。

Out Bytes（传出字节数）：本地主机发送到网络上的字节数。

在查看网络主机信息时，默认以MAC地址形式显示网络中的计算机。如果计算机处于局域网中，可以清楚地显示计算机的MAC地址。如果计算机处于Internet中，则不能获得计算机的MAC地址，此时会以IP地址形式显示。单击窗口下方的“IP”标签，如图4-15所示，即可显示计算机的IP地址。

图4-15　以IP地址形式显示

3．Matrix（矩阵）

Matrix是Sniffer中最常用的功能之一，它以矩阵方式列出当前网络中的连接情况。管理员通过它可以清楚地掌握某计算机正在与哪些地址进行连接，并可查看因蠕虫、BT软件等造成的网络异常情况。

在Sniffer主窗口中，依次选择“Monitor”→“Matrix”选项，显示如图4-16所示窗口，显示了当前所捕获的网络中各计算机的连接情况。单击窗口下方的“IP”标签，可以以IP地址方式显示各主机。

图4-16　矩阵对话框

在窗口空白处单击鼠标右键，在快捷菜单中选择“Zoom”选项，在子菜单中选择100%、200%、300%等选项，可以放大显示比例，以解决因为连接过多或连接太密集而无法查看具体连接情况的问题。

如果要详细查看某台主机的连接情况，可以在该窗口中只显示该主机的连接。右键单击要查看的主机IP地址，在快捷菜单中选择“Show Select Nodes”选项，显示如图4-17所示，此时可以清楚地看到该计算机正在与哪些地址连接。如果将鼠标指针放在连线上，还会显示出该主机所传输的数据大小。右键单击窗口并选择快捷菜单中的“Show All”选项，即可返回查看所有主机的连接情况。

图4-17　显示单个主机的连接情况

4．Application Response Time（应用响应时间）

Sniffer的“Application Response Time”功能主要用来显示网络中Web网站的连接情况，可以看到局域网中有哪些计算机正在上网，浏览的是哪些网站等。

在Sniffer主窗口中，依次选择“Monitor”→“Application Response Time”选项，显示如图4-18所示“Application Response Time”对话框。该列表框中显示了局域网内的通信及数据传输大小，并且显示了本地计算机与Web网站的IP地址。

图4-18　应用程序响应时间

通过单击左侧工具栏中的图标，可以以柱形图方式显示网络中计算机的数据传输情况。不同顺序的图形柱代表右侧列表中的相应的连接，并以柱形的长短显示传输量的大小，如图4-19所示。

图4-19　服务器-客户响应时间柱形图

5．History Samples（历史采样）

Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。在Sniffer主窗口中，依次选择“Monitor”→“History Samples”选项，显示如图4-20所示“History Samples”窗口，包括了多种记录。

图4-20　“History Samples”窗口

现在来看一个网络中每秒发送的数据包数。双击“Packets/s”图标，显示如图4-21所示“Packets/s”窗口，Sniffer便开始记录每秒所发送的数据包数量，并且每隔15秒钟便记录一次，以柱形方式显示。

图4-21　“Packets/s”窗口

经过一段时间的记录后，便可以将记录结果保存起来，便于管理员分析各个时间段的数据流量。依次选择“File”→“Save”选项保存即可。

6．Protocol Distribution（协议分类）

在Sniffer主窗口中，依次选择“Monitor”→“Protocol Distribution”选项，显示如图4-22所示窗口，以不同颜色的柱形显示网络中不同协议的使用情况。

图4-22　协议分布状况

通过单击左侧工具栏上饼形、表格型图标，还可以分别以饼形、表格等方式显示。如图4-23所示以表格方式显示。

图4-23　以表格方式显示

7．Global Statistics（全局统计）

Sniffer的“Global Statistics”功能用来显示不同大小数据包的使用情况。

在Sniffer主窗口中，依次选择“Monitor”→“Global Statistics”选项，显示如图4-24所示“Global Statistics”对话框，默认以柱形方式显示不同大小数据包的使用情况。也可以单击左侧工具栏中的柱形图标，以柱形方式显示。

图4-24　“Global Statistics”对话框

4.1.4　创建过滤器

默认情况下，Sniffer会监控网络中所有传输的数据包，但在分析网络协议、查找网络故障时，有许多数据包并不是管理员所关心的。通过定义过滤器，管理员可以设定捕获条件，Sniffer只接收与问题或事件相关的数据，从而便于进行数据分析。Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括二、三层地址的定义和几百种协议的定义。

1．过滤IP地址

这里创建一个过滤器，使Sniffer只捕获IP地址段为192.168.1.10到192.168.1.100范围内传输的数据。

第1步，在Sniffer主窗口中，设置过滤方式，依次选择“Capture”→“Define Filer”选项，显示如图4-25所示“Define Filter - Capture”对话框。在“Settings For”列表框中显示过滤器名，默认只有“default”，该过滤器对所有经过网卡的数据全部捕获。

图4-25　“Define Filter - Capture”对话框

第2步，单击“Profiles”按钮，显示如图4-26所示“Capture Profiles”对话框。

图4-26　“Capture Profiles”对话框

第3步，单击“New”按钮，显示如图4-27所示“New Capture Profile”对话框，在“New Profile Name”文本框中输入新过滤器的名称，如10-100。

图4-27　“New Capture Profile”对话框

第4步，单击“OK”按钮返回“Capture Profiles”对话框，一个新的过滤器创建完成，并添加到“Profiles”列表中，单击“Done”按钮返回“Define Filter - Capture”对话框，新过滤器将显示在“Settings For”列表中。

第5步，在“Settings For”列表框中，选择过滤器“10-100”，切换到“Address”选项卡，在“Station”列表中用来设定要监视的IP地址范围。分别在“Station 1”和“Station 2”中输入IP地址192.168.1.10和192.168.1.100，如图4-28所示。

图4-28　“Address”选项卡

第6步，单击“确定”按钮，过滤器创建完成。

在网络管理过程中，应设定多个过滤器，根据不同的监控用途进行选择。在Sniffer窗口中，依次选择“Capture”→“Select Filter”选项，显示“Select Filter”对话框，在左侧列表中即可选择要使用过滤器，并可看到过滤器设定的条件，如图4-29所示。单击“确定”按钮，应用所选择的过滤器，Sniffer会根据过滤器所设置的条件来捕获网络中特定的数据。

图4-29　“Select Filter”对话框

2．过滤端口

Sniffer 4.8/4.9中增加了端口过滤功能，可以让Sniffer只捕获特定端口内传输的数据，可以是固定的一个或几个端口，也可以是一个端口范围。这里创建一个过滤器，只捕获80和445端口所传输的数据，来监控网络中访问Internet网页和网络共享的数据。

第1步，按照上述操作先创建一个过滤器，如“80-445”。在“Define Filter- Capture”对话框中，切换到“Port”选项卡，在“Port 1”的1和2文本框中分别输入80、445, “Port 2”中为“Any”即可，如图4-30所示。

图4-30　“Port”选项卡

第2步，单击“确定”按钮，只捕获80和445端口数据的过滤器创建成功。在选择使用该过滤器监控网络时，Sniffer就会只捕获网络中通过80和445的数据，从而了解网络资源的占用情况。

3．过滤网络协议

虽然Sniffer可以通过IP地址、端口等形式捕获数据，但如果客户端更改了IP地址，或者一些软件使用随机端口，如BT、PPLive等软件，每次都使用不同的端口，那么Sniffer将很难捕获到相应的数据。此时，可以根据网络协议进行捕获，Sniffer支持网络中大部分的网络协议，无论客户端怎样改，软件所使用的协议是不会变的，通过监控协议，可以使各种软件无所遁形。

这里创建一个过滤器，只捕获网络中使用FTP协议传输的数据，来查看有多少人在通过FTP下载文件。

第1步，创建一个新过滤器，例如FTP。

第2步，选择“FTP”过滤器，切换到“Advanced”选项卡，依次展开“Available”→“Protocols”→“IP”→“TCP”，选中“FTP”复选框，如图4-31所示，使该过滤器只捕获使用FTP协议传输的数据。

图4-31　“Advanced”选项卡

第3步，单击“确定”按钮保存，即可使Sniffer使用该过滤器只捕获使用FTP协议传输的数据。

4．设置缓冲器

缓冲器用来临时保存Sniffer捕获的数据，它占用的是计算机的内存。当缓冲器已满后，Sniffer就会自动停止捕获，但缓冲器中的内容不会自动保存，当重新捕获或关闭Sniffer时，缓冲器会自动清空。Sniffer 4.9的缓冲器大小默认为64MB，比以前版本大了许多。网络管理员可以创建一个过滤器，自定义缓冲器的大小，并可设置将缓冲器中的数据保存到文件中，以备日后进行分析。

这里创建一个捕获网络中使用HTTP协议数据的过滤器，设置缓冲区大小为40MB，缓冲器中的数据保存到E:\sniffer文件夹下。

第1步，创建一个过滤器如“new buffer”，切换到“Advanced”选项卡，依次选择“IP”→“TCP”→“HTTP”。

第2步，切换到如图4-32所示“Buffer”选项卡，在“Buffer size”下拉列表中选择“40MB”，在“Capture buffer”选项区域中，选中“Save to file”复选框，在“Director”文本框中输入地址“E:\sniffer”，或者单击“浏览”按钮选择保存目录即可，在“Filename”文本框中设置保存的文件名。

图4-32　“Buffer”选项卡

第3步，单击“确定”按钮，新过滤器创建完成。当Sniffer使用该过滤器捕获时，即可将捕获的数据保存到文件中。

5．过滤器的使用

在Sniffer中，新创建的过滤器会被设置为默认过滤器，当单击“Start”时就会自动使用新过滤器捕获数据。如果要使用其他过滤器，则需要选择。

第1步，依次选择“Capture”→“Select Filter”选项，显示如图4-33所示“Select Filter”对话框，在左侧的列表框中显示了所有的过滤器。其中，“Capture”列表中显示的是用户自定义的过滤器，而“PreDefined”列表中则是Sniffer内置的过滤器。当选择一个过滤器后，在右侧窗口中会显示该过滤器定义的详细信息。

图4-33　“Select Filter”对话框

第2步，单击“确定”按钮即可应用。

第3步，单击“Start”按钮，即可根据所选择的过滤器中定义的条件捕获网络中的数据。

另外，Sniffer中所有的过滤器都会显示在工具栏上的下拉列表中，在该下拉列表中单击要使用的过滤器，然后单击“Start”按钮，即可根据选择的过滤器捕获数据。

4.1.5　Sniffer的使用

通常情况下，Sniffer根据所设置的过滤器捕获数据，管理员再对这些数据进行分析，并从中发现网络中所存在的问题。如果捕获到的数据比较重要，还可以将这些数据进行保存，从而可以在以后进行详细的分析。

1．捕获数据

通过Sniffer进行网络和协议分析，需要先捕获网络中的数据。默认状态下，由于Sniffer没有进行过滤设置，会捕获网络中所有的数据。

第1步，单击工具栏上的按钮，或者依次选择“Capture”→“Start”选项，显示“Expert”窗口，Sniffer开始捕获网络中的数据，并显示所捕获到的数据的概要信息，如图4-34所示。

图4-34　“Expert”对话框

第2步，如果要查看当前捕获的各种数据，单击对话框左侧的“Service”、“Connection”等选项，在右侧即可显示相应数据的概要信息。单击窗口左侧“Objects”选项卡，可显示出当前所监视对象的详细信息，如图4-35所示。

图4-35　“Objects”选项卡

第3步，当Sniffer捕获了一定的数据，就可以停止捕获并进行分析。单击工具栏上快捷按钮，或者依次选择“Capture”→“Stop”选项，即可停止捕获。此时，管理员就查看并分析所捕获的数据，从而了解网络的使用状况。

2．查看分析捕获的数据

依次选择“Capture”→“Display”选项，即可查看所有捕获的内容了。选择该窗口下方的“Decode（解码）”选项卡，显示如图4-36所示窗口，该窗口共分为三个部分，由上到下依次为总结、详细资料和Hex窗格的内容，可以查看所捕获的每个帧的详细信息。

图4-36　捕获的数据信息

所捕获的数据的各部分的含义具体如下：

DLC

在DLC区域中显示了捕获的帧的来源信息，包括Source Addess（源地址）、Dest Address（目标地址）、帧大小（以字节计）及Ethertype（以太类型）。在这里，以太类型值为0800，表示是IPv4协议。对于IPv4协议，它的标识符用二进制表示是2048，十六进制表示就是0800，十进制表示是513，而以八进制表示是1001。其中，“Source Addess”或“Dest Address”中会显示网卡的MAC地址。

IP

如果捕获的是HTTP协议，则IP区域中显示了IP文件头的详细内容，如图4-37所示，各项内容含义如下：

图4-37　IP文件头信息

Version（版本）：版本序号为4，代表IPv4。

Header length:Internet文件头长度，为20个字节。

Type of service（服务类型值）：该值为00，会看到Tos下面一直到总长的部分都是0。这里可以提供服务质量（QoS）信息。每个二进制数位的意义都不同，这取决于最初的设定。例如，正常延迟设定为0，说明没有设定为低延迟，如果是低延迟，设定值应为1。

Total length（总长度）：显示该数据的总长度，为Internet文件头和数据的长度之和。

Identification：该数值是文件头的标识符部分，当数据报被划分成几段传送时，发送数据的主机可以用这个数值来重新组装数据。

Flag（标记）：数据报的“标记”功能，例如，数据报分段用0标记，未分段用1标记。

Fragment offset（分段差距）：分段差距为0个字节。可以设定0代表最后一段，或者设定1代表更多区段。这里这个值为0。分段差距用来说明某个区段属于数据包的哪个部分。

Time to live（保存时间）：表示TTL值的大小，说明一个数据包可以保存多久。

Protocol（协议）：显示协议值，在Sniffer中代表TCP协议。文件头的协议部分只说明要使用的下一个上层协议是什么，在这里为TCP。

Header checksum（校验和）：这里显示了校验和（只在这个文件头中使用）的值，并且已经做了标记，表明这个数值是正确的。

Source address（来源地址）：显示了数据的来源地址。

Destination address（目的地址）：显示了数据访问的目的地址。

UDP

IP文件头，如图4-38所示，下面为TCP或UDP文件头，这里为UDP文件头，包括下列信息。

图4-38　UDP文件头信息

Source port（源端口）：显示了所使用的UDP协议的源端口。

Destiantion port（目的端口）：显示了UDP协议的目的端口。

Length（长度）：表示IP文件头的长度。

Checksum（校验和）：显示了UDP协议的校验和。

Byep（s）of date：表示有多少字节的数据。

ARP

ARP构架（如图4-39所示）中具有如下的一些信息。

图4-39　ARP文件头信息

Hardware type（硬件类型）：这是一个16比特字段，用来定义运行ARP的网络的类型。每一个局域网基于其类型被指派给一个整数。例如，以太网是类型1。ARP可使用在任何网络上。

Protocol type（协议类型）：这是一个16比特字段，用来定义协议的类型。例如，对IPv4协议，这个字段的值是0800。ARP可用于任何高层协议。

Length of hardware address（硬件长度）：这是一个8比特字段，用来定义以字节为单位的物理地址的长度。例如，对以太网这个值是6。

Length of Protocol address（协议长度）：这是一个8比特字段，用来定义以字节为单位的逻辑地址的长度。例如，对IPv4协议这个值是4。

Opcode（操作）：这是一个16byte的字段，用来定义分组的类型。已定义了两种类型，ARP请求第1步，ARP回答第2步。

Sender' s Hardware address（发送站硬件地址）：这是一个可变长度字段，用来定义发送站的物理地址的长度。例如，对以太网这个字段是6字节长。

Sender' s Protocol address（发送站协议地址）：这是一个可变长度字段，用来定义发送站的逻辑（例如IP）地址的长度。对于IP协议，这个字段是4字节长。

Target Hardware address（目标硬件地址）：这是一个可变长度字段，用来定义目标的物理地址的长度。例如，对以太网这个字段是6字节长。对于ARP请求报文，这个字段是全0，因为发送站不知道目标的物理地址。

Target Protocol address（目标协议地址）：这是一个可变长度字段，用来定义目标的逻辑地址（例如，IP地址）的长度。对于IPv4协议，这个字段是4字节长。

ICMP

ICMP协议即Internet控制信息协议，是TCP/IP协议栈的一部分。ICMP是一种非常强大的工具，允许报告20种以上不同的网络状况。首先需要创建一个新的ICMP过滤器，即在“Advanced”选项卡中选中“IP”列表中的“ICMP”协议，捕获足够数据后便可以进行分析。

由于ICMP信息封装在IP数据包中，而IP数据包又会封装在以太网帧中，如果要彻底分析一个ICMP数据包，就必须查看这个数据包的所有部分，即理解三种不同的文件头，分别为DLC文件头、IP文件头和ICMP文件头，如图4-40所示。其中，ICMP文件头包括如下内容。

图4-40　ICMP文件头

Type=8（Echo）:ICMP Echo有两种类型，类型8是请求，而类型0是响应。

Coad：该代码现在在ICMP Echo信息中并不常用，经常设定为0。

Checksum:IP文件头校验和不能用来证明高层协议数据的完整性，所以ICMP信息用自己的校验和来确保数据在传输过程中没有被中断。

Identifier与Sequence number：这些数字由发送方式生成，用来将响应与请求匹配在一起。

Hex

“Decode”窗口最下方为“Hex窗格”，这里显示的内容最直观，但也难以理解。“Hex窗格”中的信息是十六进制代码的信息集合。数据的传输是按照二进制系统为基本标准进行的，二进制数据还可以转换为十六进制、十进制和八进制的格式，在“Hex窗格”中查看数据时，看到的就是处于传输状态的原始ACSⅡ格式的数据。

Matrix

Sniffer的矩阵功能可以直观地显示网络中各计算机之间的连接。单击窗口下方的“Matrix”标签，显示如图4-41所示界面，以“Matrix”方式显示了网络中各计算机之间的连接情况，默认以MAC地址代表计算机。这里的图形界面类似于Sniffer监视功能中的“Matrix”界面。所不同的是，此处显示的是固定数据，即曾经捕获到的数据，而“Monitor”中的“Matrix”是不断变化的，并会随时添加即时捕获的数据。

图4-41　“Matrix”图表

为便于查看，可以以IP地址形式显示计算机。在“MAC”下拉列表中选择“IP”选项，即可显示各计算机的IP地址，并使用不同颜色的连线来显示各连接所使用的不同协议，如图4-42所示。

图4-42　显示IP协议连接

Host Table

主机列表是一个很有用的功能，如图4-43所示。该功能可以清楚地显示出在该捕获过程中各计算机所传输的数据，并且可以根据所传输数据多少按顺序排列。与“Matrix”结合使用，网络管理员可以轻松分析出各计算机的使用情况。

图4-43　“Host Table”窗口

例如，当管理员发现上网速度特别慢，而服务器又运行正常，即可通过Sniffer的“HostTable”和“Matrix”功能进行分析。如果在“Host Table”中发现有计算机在某段时间内传输的数据特别多，并且在“Matrix”中显示该计算机有大量的并发连接，由此可以得出结论：该计算机很可能在使用BT等P2P软件下载文件。为避免该用户过多占用带宽，管理员即可中止该用户的下载进程。

3．保存数据

使用Sniffer捕获数据以后，为便于日后再次进行分析或比较，应该先将其保存，以后再重新打开并分析。

当捕获结束后，依次选择“File”→“Save”选项，即可将当前已捕获的数据保存到硬盘上。当再想重新分析时，可以使用“File”菜单中的“Open”选项，选择事先保存的文件即可。

4.1.6　应用实例

Sniffer在实际中的应用非常广泛，例如检查网络中使用QQ的用户、检查使用BT、PPLive等P2P软件的用户。下面用两个实例说明一下Sniffer在具体工作中的应用方法。

1．检查网络中使用QQ的用户

许多企业单位不允许员工在上班时间上网聊天，但仍有不少人私下使用QQ、UC等工具聊天。即时通信工具占用带宽较小，不会对网络造成什么影响，如果不借助相关软件，是很难发现的。而使用Sniffer，则可以很容易地查出网络中有哪些人在使用聊天软件。像QQ一般使用UDP或TCP协议登录，默认登录端口为8000。管理员可以使用Sniffer捕获局域网中连接到Internet上8000端口的计算机，即可查出有哪些人在使用QQ。

第1步，在Sniffer窗口中，依次选择“Capture”→“Define Filter”选项，显示“Define Filter - Capture”对话框，创建一个过滤器，如QQ。

第2步，切换到“Port”选项卡，在“Port2”中键入端口号8000, “Port1”中为空，单击“Dir.”下拉列表选择“→”选项，如图4-44所示，即只捕获连接到8000端口的计算机。

图4-44　“Port”选项卡

第3步，单击“确定”按钮，过滤器创建完成。

第4步，在Sniffer主窗口中，单击“Start”按钮即可使用该过滤器捕获网络中的数据。打开“Matrix”查看当前活动连接，在左侧显示的就是本地局域网中的计算机地址，说明这些计算机在使用QQ，如图4-45所示。根据这些计算机的IP地址，就可以轻易地查找正在使用QQ的用户。

图4-45　查看当前活动连接

由于每台计算机可能会连接多个地址，说明有的用户登录了多个QQ，或者QQ尝试从多个服务器中选择登录。当然，由于登录QQ的地址可能是域名形式，需要解析出IP地址，因此这些连接中也包括DNS的地址。

当捕获的数据足够时，停止捕获，然后依次选择“Capture”→“Display”选项，切换到“Decode”选项卡，即可查看登录QQ的IP地址，如图4-46所示，并可以分析用户登录了几个QQ。在“UDP”区域中，“Source port”中显示的是该计算机使用的端口。QQ在本地计算机上默认使用4000端口，如果登录多个QQ，则可以使用4001、4002……，依次类推。

图4-46　分析用户登录的QQ

另外，QQ也可能会使用SOCKS或HTTP代理登录，由于代理地址和端口比较多且不固定，因此无法再通过端口来捕获网络中的QQ数据。

2．彻底解决IP地址盗用问题

在公司中，经常会出现IP地址被非法盗用的事情。以前，为了找出是哪台计算机盗用了IP地址，管理员需要提前登记所有计算机网卡的MAC地址。当发现有IP地址被盗用的情况，需要使用ping命令ping相应的IP地址，然后再使用arp -a命令查看当前的ARP解析表，从中获得对方网卡的MAC地址，如图4-47所示。

图4-47　获得网卡的MAC地址

此时，对比事先登记的MAC地址列表，即可轻易找出盗用IP地址的计算机。但许多用户为了防范网络蠕虫和网络攻击，都安装了防火墙软件，并关闭了ICMP端口，此时ping命令就失效了。

由于盗用IP地址的计算机必然会使用访问，也就会在网络上传输数据，只要用Sniffer监听到这些数据并进行分析，就可以找出它们的位置。

第1步，在Sniffer上创建一个过滤器，用来监听被盗用的IP地址上传输的数据。

第2步，单击“Start”按钮开始捕获数据，当捕获到一定数据后停止并显示，开始解码所捕获到的数据。此时，在“DLC”区域的“Station”字段中，即可看到盗用IP地址的计算机网卡的MAC地址，如图4-48所示。

图4-48　“Expert”窗口

第3步，查看MAC地址登记表，即可找到盗用IP地址的计算机了。

4.2　流量统计分析利器——CommView

CommView是一款功能强大的工具，可以用来捕获Internet和局域网中传输的数据，收集网络传输中的每个信息包，也可以显示信息包和网络连接列表、关键统计信息、协议分布图等重要信息，并可显示内部及外部IP地址、端口、主机名称、各种数据的数量等重要资料。管理员可以分析各种IP协议，分析网络性能。CommView的过滤器功能还可以只过滤需要的数据包。

CommView可以运行于Windows 9x/NT/2000/XP/Vista等操作系统，用户可以从其官方网站（http://www.tamos.com/）下载。

4.2.1　CommView的安装与运行

通常情况下，为了使CommView能够捕获到网络中的数据，应将其安装在网络的网关计算机上，如安装代理服务器。如果网络使用路由器，则应使用端口映射，将路由器端口映射到CommView计算机上即可。

CommView的安装操作比较简单，大部分操作只需单击“Next”按钮即可，这里就不再赘述。CommView首次运行的操作步骤如下：

第1步，双击桌面上的CommView图标运行软件，显示如图4-49所示对话框。提示需要安装CommView驱动程序。

图4-49　提示安装CommView驱动程序

第2步，单击“确定”按钮，即可完成安装。安装完成后，显示如图4-50所示对话框，询问是否安装RAS拔号适配器，单击“是”按钮安装，单击“否”按钮则不安装。

图4-50　提示安装RAS拔号适配器

第3步，单击“否”按钮，显示如图4-51所示提示框，显示欢迎信息。

图4-51　欢迎界面

第4步，单击“Start Using CommView”超级链接，显示CommView主窗口，如图4-52所示。

图4-52　CommView窗口

如果当前计算机安装了多个网卡，各个网卡连接不同的网段，则应先从工具栏上的下拉列表中选择与要监控的网络相连的网卡，这样才能正确地捕获网络中的数据。

4.2.2　捕获并分析网络数据

CommView可以捕获局域网中所有计算机与外部网络间传输的数据，通过分析这些数据，管理员可以清楚地了解到网络的运行状况，如果网络出现了故障，还可以迅速找出故障所在，操作步骤如下所述。

第1步，在CommView窗口中，单击工具栏上的“Start Capture”按钮，或者单击“File”菜单中的“Start Capture”选项，CommView便开始捕获网络内传输的数据，如图4-53所示。CommView捕获的数据信息非常详细，“Latest IP Connections”选项卡中显示了各个网络连接的各种信息，包括本地IP地址（Local IP）、远程IP地址（Remote IP）、传入的数据量（In）、传出的数据量（Out）、数据传输方向（Direction）、会话时间（Sessions）、端口（Ports）、主机名（Hostname）、传输字节数（Bytes）、使用的进程名称（Process）。另外，还会以国旗的方式显示远程IP地址所在的国籍。

图4-53　捕获数据

第2步，当捕获到一定的数据后，单击工具栏上的“Stop Capture”按钮即可停止捕获，此时即可对所捕获到的数据进行分析。通过这些信息，管理员可以清楚地看到网络中哪台计算机正在与外部网络的哪些地址进行通信，有哪些可疑端口正在使用等，从而迅速地找到问题所在。例如，通过查看端口即可得知，使用8000,4000端口的用户正在使用QQ，端口为mirosoft-ds则表示用户正在访问共享文件。

第3步，选择“Packets”选项卡，在这里可以看到每个数据包的详细信息。此处共分为三个窗格，最上面的窗格中显示了传输数据的源地址和目标地址的网卡MAC地址、端口及时间。中间的窗格为“Hex窗格”，这里是以十六进制代码显示的信息，如图4-54所示。在“MAC Addresses”列表中，不仅显示网卡的MAC地址，也显示了网卡的型号或名称。

图4-54　“Packets”选项卡

最下面的窗格中显示了所使用的传输协议的详细信息，也是网络管理员最需要注意的地方。在“Ethernet”选项中，显示信息如图4-55所示，主要包括如下内容。

图4-55　“Ethernet”选项

Destination MAC：目的地址网卡的物理地址。

Source MAC：源地址网卡的物理地址。

Ethertype：以太网类型。

Direction：数据包传输方向。

Date：数据传输日期，Time中显示的则是传输的时间。

Frame size：每个帧的大小。

Frame number：帧的总数量。

在“Ethernet”下面是IP列表，显示的IP文件头信息如图4-56所示，主要包括如下内容。

图4-56　IP文件头信息

IP version：以16进制显示所使用的IP版本号，这里为4，即所使用的IP版本号为IPv4，如果为6则表示是IPv6。

Header length:Internet文件头的长度，为20个字节。

Flag：数据报的“标记”功能，例如，数据报分段用0标记，未分段用1标记。

Fragment offset（分段差距）：用来说明某个区段属于数据包的哪个部分。分段差距为0个字节。可以设定0代表最后一段，或者设定1代表更多区段。此处值为0。

Time to live：数据包的生存时间，表示TTL值的大小，说明一个数据包可以保存多久。

Protocol：数据所使用的协议。

Checksum（校验和）：校验和（只在这个文件头中使用）的值，并且已经做了标记，表明这个数值是正确的。

Destination IP：数据访问的目的地址。

Source address：数据的来源地址。

在IP文件头下面为协议信息，根据所捕获的数据不同，显示TCP、UDP或ICMP文件头信息等。在TCP协议中显示信息如图4-57所示，主要包括如下内容。

图4-57　TCP文件头信息

Source port：使用TCP协议的网络连接的源端口。

Destination port：使用TCP协议的网络连接使用的目的端口。

Sequence：该帧的排列顺序。

Acknowledgement：该帧的应答信息。

Header length：该TCP协议的头长度。

Checksum:TCP文件头校验和的值。

如果所使用的协议为UDP，则在下方会显示UDP文件头信息，如图4-58所示，主要包括如下内容。

图4-58　UDP文件头信息

Source port：所使用的UDP协议的源端口。

Destination port:UDP协议的网络连接的目的端口。

Length:UDP文件头的长度。

Checksum:UDP协议校验和的值。

通过对协议信息进行分析，网络管理员可以了解网络状况及数据来源。

4.2.3　查看网络传输状态

在捕获数据的过程中，不仅可以查看网络中各台计算机所传输的数据包，还能以图形方式查看网络中各种协议的使用状况及数据传输状态，并根据这些数据分析网络中是否有蠕虫、木马或网络风暴占用带宽，从而迅速找出网络故障发生的原因。

当捕获数据完成以后，依次选择“View”→“Statistics”选项，或者单击工具栏上的“Statistics”按钮，显示如图4-59所示“Statistics”窗口。默认在左侧列表中选中“General”选项，在这里以图形形式显示了网络的使用状况，如数据包的传输速率（Packets per sencod）、当前传输的字节数（Bytes per sec.）、网络利用率（Current network utilzation）等，并在最下方的“Total”中显示了传输的数据包总数（packets）和字节总数（bytes），这些信息比单纯的数值方式更清楚。

图4-59　查看网络传输状态

在左侧列表中选择“Packets”选项，即可查看各种数据包协议的传输状态。在“Protocols”窗口中，以圆饼图显示了各种协议的使用状态，如图4-60所示。使用不同的颜色代表不同的协议，如IP、ARP、NetBIOS、IPX等协议。根据这些协议的使用率，就可以了解网络传输状态。例如，网络中网速特别慢，而在该窗口中发现ARP使用率特别高，这就有可能是网络风暴所致，必须及时解决故障。

图4-60　协议使用情况

在“Protocols”列表中选择“IP Protocols”选项，显示了TCP、UDP、ICMP和IGMP等协议的利用率，如图4-61所示。

图4-61　“IP Protocols”选项

在“Protocols”列表中选择“IP Sub-protocols”选项，显示了各种网络服务的使用情况，如HTTP、FTP、POP3、SMTP、Telnet、NNTP、NetBIOS、HTTPS和DNS服务等，如图4-62所示。

图4-62　“IP Sub-protocols”选项

在“Protocols”列表中选择“Sizes”选项，显示了各种不同字节的数据包的传输情况，包括小于64字节、64～127字节、128～255字节、256～511字节、512～1023字节，以及大于1024字节的数据包，如图4-63所示。

图4-63　“Sizes”选项

在左侧列表中选择“Hosts”选项，显示了各个网卡的MAC地址，并列出了各个网卡所发送和接收的数据包、字节数量，如图4-64所示。

图4-64　“Hosts”选项

在左侧列表中选择“Matrix”选项，然后选择“By IP”选项，将以矩阵方式列出当前网络中有哪些IP地址正在连接，如图4-65所示，并且使用连线将正在连接的计算机连接起来，便于管理员查看。默认情况下，矩阵中只显示10个活动最多的节点，如果想多显示一些，可以在“Most active pairs”文本框中输入欲设置的值。默认没有显示广播和多播的连接，如果想显示这些内容，取消“Ignore broadcasts”和“Ignore multicasts”复选框即可。

图4-65　查看IP地址连接情况

在“Errors”窗口中显示了网络中错误的传输数据；“Report”窗口中可将当前捕获结果作为报告，输出成HTML网页进行保存。

通过端口可以更容易了解到某个连接正在干什么，但如果不知道某个端口的作用以及端口会被哪些协议使用，可打开“View”菜单中的“Port Reference”（端口参考）选项，显示如图4-66所示“Port Reference”窗口。在该窗口中列出了大部分常用端口的信息，例如各个端口所使用服务、协议等，在分析网络数据时可作为参考。

图4-66　“Port Reference”窗口

4.2.4　设置过滤器

CommView虽然可以捕获网络中的所有数据，但有许多数据并不是所需要的，通过设置过滤器，可以根据过滤器中设定的条件，只捕获特定的数据，便于管理员查看分析。

1．自定义过滤器

通过自定义过滤器，可以捕获网络中管理员所关心的数据，从而解决某些具有针对性的问题，例如广播风暴等。其操作步骤如下。

第1步，在CommView窗口中，切换到如图4-67所示“Rules”选项卡，在左侧列表中默认选中“AdvancedRules”选项，在右侧栏中选中“Enable advanced rules”复选框，启动过滤器功能。

图4-67　添加过滤器

第2步，在“Add Edit Record”选项区域中，选择“Capture packets”单选按钮，即只捕获符合该规则的数据包，如图4-68所示。如果选择“Ignore packets”单选按钮，则不捕获该规则中的数据包。在“Name”文本框中，输入新规则的名称，在“Formula”文本框中，编该规则的公式，主要是设置要捕获哪些IP地址传输的数据。例如，在“Formula”文本框中，输入“sip=192.168.1.77 and dip=192.168.1.10”，表示捕获源地址为192.168.1.77与目的地址为192.168.1.10传输的数据。其中，sip表示源地址，dip表示目的地址，多个条件可使用逻辑关系来连接，如and、or、not等。

图4-68　编辑公式

第3步，单击“Add/Edit”按钮，即可将该规则添加到规则列表中，还可以设置详细的条件。

第4步，设置完成以后不需保存可即可生效，如果想删除某个已添加的规则，右键单击该规则，在快捷菜单中选择“Clear Select”选项即可。

第5步，设置完成后单击“Start Capture”按钮，CommView即可根据此过滤器的设置捕获网络中的符合条件的数据了。

2．简单过滤器

简单过滤器主要是指软件自带的具有某些单一功能的过滤器，通过结合使用多种过滤器，达到分析网络流量的目的。

Protocols & Direction

在左侧列表中，选择“Protocols & Direction”选项，如图4-69所示。在右侧栏中，选中“Enable Ethernet protocol rules”复选框，启用以太网协议规则，在“Action”（操作）选项区域中选择“Capture”单选按钮，然后在“Description”列表框中选择要捕获的协议。选中“Enable IP protocol rules”复选框，启用IP协议规则，选中“Action”选项中的“Capture”单选按钮，并在“Description”列表框中选择要捕获的IP协议，如TCP、UDP等。选中“Enable direction rules”复选框。其中，“Capture inbound packets”复选项表示捕获传入的数据包，“Capture outbound packets”复选项表示捕获传出的数据包，“Capture pass-through packets”复选项表示捕获传递会话数据包。

图4-69　Protocols & Direction

MAC Address

在左侧列表中选择“MAC Address”选项，如图4-70所示。在右侧栏中，可根据MAC地址来设置要捕获内容，但由于MAC地址即难记又难写，通常不使用该过滤器，而是设置要捕获的IP地址。

图4-70　MAC Address

IP Address

在左侧列表中选择“IP Address”选项，如图4-71所示，在右侧选中“Enable IP address rules”复选框，启用IP地址规则。选择“Action”中的“Capture”单选按钮，在“Add Record”选项区域可设置IP规则，“To”表示目的地址，“From”表示源地址，“Both”表示两者都有。例如，要捕获从192.168.1.100的计算机发出的数据包，可选择“Form”单选按钮，在该文本框中输入“192.168.1.100”，单击“Add IP Address”按钮即可添加到左侧的列表框中，CommView则只捕获从192.168.1.100发出的数据包，而不捕获其他数据。按照同样步骤，可以设置多个IP地址。

图4-71　设置IP地址规则

Ports

在左侧列表中选择“Ports”选项，设置要捕获的端口，如图4-72所示。在右侧列表中，选中“Enable port rules”复选框，启用端口规则，选中“Action”中的“Capture”单选按钮，在“Add Record”选项区域中即可添加要捕获的端口。例如，捕获从135、445等端口发出的数据包，可先选择“From”单选按钮，在文本框中入端口号，单击“Add Port”按钮添加到列表框中，CommView即可捕获从这些端口传出的数据。

图4-72　设置端口规则

Text

在左侧列表中选择“Text”选项，设置捕获具有哪些关键字的数据，如图4-73所示。在右侧列表中，选中“Enable text rules”复选框启用该功能，选择“Capture”单选按钮，在“Add record”选项区域中，即可选择关键字格式。其中，“As String”单选按钮表示使用文本格式，“As Hex”单选按钮则表示使用Hex格式。通常情况下，使用文本格式更容易理解。例如，要捕获网络中QQ的传输数据，就可以捕获具有“shenzhen”字样的数据。

图4-73　“Text”窗口

TCP Flags

选择左侧列表中的“TCP Flags”选项，设置捕获带有TCP标记的数据包，如图4-74所示。在右侧列表中，选中“Enable TCP flags rules”复选框，启动TCP标记规则，选择“Action”选项区域中的“Capture”单选按钮，然后在“Add Record”选项区域中即可选择要添加的标记，如FIN、ACK等。最后，单击“Add Flags”按钮，即可添加到“Flags”列表框中。此时，CommView在捕获数据时只捕获具有标记此的数据。

图4-74　设置TCP标记

Process

允许用户基于处理名称捕获数据包，在左侧列表中选择“Process”选项，如图4-75所示。在右侧栏中，选中“Enable Process rules”复选框，启用进程名称捕获数据包。选择“Capture”单选按钮，在“Add Record”文本框中，输入进程名称。单击“Add Process Name”按钮，即可将该进程过滤器添加到列表中。

图4-75　Process

3．保存过滤器

将设置的过滤器进行保存，可以方便以后再次使用。在CommView窗口中，依次选择“Rules”→“Save Current Rules As”选项，根据需要保存过滤器即可。

需要再次使用该过滤器时，可依次选择“Rules”→ “Load Rules From”选项，选择已保存的规则即可。

4.2.5　设置警报

CommView还可以设置警报，可以将特殊数据包设定为警报信息，当捕获到警报数据包时或未知的IP地址时，就会向网络管理员自动发出警报。

第1步，在CommView窗口中，切换到“Alarms”选项卡，显示如图4-76所示窗口，首先需要选中“Enable alarms”复选框，启用报警功能。

图4-76　设置警报

第2步，单击“Add”按钮，添加一个警报，显示如图4-77所示“Alarm Setup”对话框。在“General”的“Name”文本框中为该警报设置一个名称。在“Alarm type”中选择警报类型，若选择“Packet occurrence”单选按钮，并在该框中设定数据包公式，当捕获到该类数据包时就会自动报警。例如，要将从4000端口传出的数据包做为警报，可输入公式“dir=out and dport=4000”。对于“Unknown MAC address”和“Unknown IP address”选项，如果选择并单击“Configure”按钮允许接收的添加MAC或IP地址，当捕获到不在该MAC或IP地址列表中的地址时就会发出警报。

图4-77　“Alarm Setup”对话框

在“Action”选项区域中，可设置如下报警方式。

Display message：显示消息。选中复选框并在该文本框中输入要显示的消息，当报警时就会显示这些字符。

Play sound：声音报警。选中该复选框并输入声音文件所在的路径，当报警时计算机就会自动播放该声音文件来提醒管理员。需要注意的是，只能使用．wav格式的声音文件。

Launch application：运行应用程序。选中该复选框并在该框中输入要运行的应用程序路径，当报警时就会自动运行该程序。例如，可以在报警时运行屏幕保护程序或某个声音、歌曲文件来提醒管理员。

Send e-mail to：设置邮件报警，当警报发生时，可以向管理员发送一封邮件。选中“Send e-mail to”复选框，单击“E-mail Setup”按钮，显示如图4-78所示对话框，在“Hostname”文本框中输入邮件发送服务器地址，如smtp.163.com; “Port”框中可使用默认的25端口。选中“Autherntication”复选框，分别在“Username”和“Password”框中输入登录邮件服务器的用户名和密码。在“You e-mail address”文本框中输入显示在对方邮箱中的邮件地址，设置完成后单击“OK”按钮，并在“Send e-mail to”框中输入要接收邮件的电子邮箱地址。单击“Test”按钮，可以立即发送一封邮件，测试Email的设置是否正确。

图4-78　设置Email

Enable capturing rules：开启捕获规则。

Disable other alarms：选中该复选框则会关闭其他警报，只使用这一个警报。

Start logging：选中该复选框，可将报警记录到日志中。

第3步，设置完成后，单击“OK”按钮即可。该警报会添加到CommView窗口中的“Alarms”选项卡的列表框中。

按照上面设置，可设置多个警报，如果某个警报不想使用，只要取消相应的复选框即可。然后，在CommView窗口中运行捕获功能，当捕获到了警报中设置的数据时，即可自动发出警报。

4.2.6　远程监控

CommView还具有远程监控功能，无论被监控的计算机处于何处，只要连接到Internet，管理员就可以使用CommView远程监控计算机中传输的数据。但首先必须在被监控的计算机上安装CommView Remote Agent 2.1插件，才可以实现远程监控，该插件也可从其官方网站（http://www. tamos.com/）下载。

这里将被监控的计算机称为被控端，监控被控端的计算机称为主控端。

第1步，在被控端计算机上安装CommView Remote Agent 2.1插件，安装完成后并运行，显示如图4-79所示“Remote Agent Configuration and Installation”对话框。需要设置一个端口和密码，供主控端监控被控端时使用。例如，在“Port number”文本框中设置端口号，默认端口号为5050；在“Password”文本框中，设置一个远程监控密码。

图4-79　设置端口和密码

第2步，单击“Next”按钮，CommView Remote Agent开始配置并运行相应的服务，如图4-80所示。

图4-80　配置并运行服务

第3步，完成配置后，单击“Finish”按钮，即可完成被控端的设置。

第4步，在主控端计算机上，依次选择“File”→“Remote Monitoring Mode”（远程监控模式）选项，显示如图4-81所示窗口。

图4-81　远程监控模式

第5步，单击“New Remote Agent connection”按钮，显示如图4-82所示“Remote Agent Connection”对话框。在“Host or IP address”文本框中输入要监控的计算机IP地址，如192.168.1.190，在“Password”文本框中输入在远程计算机上安装CommView Remote Agent时所设置的密码。

图4-82　“Remote Agent Connection”对话框

第6步，单击窗口上方的“Connect”按钮，开始连接远程计算机，连接成功以后会在“Adapter”下拉列表中显示出远程计算机上所有的网络连接，在该下拉列表中选择一个合适的网络适配器，如图4-83所示。

图4-83　连接远程计算机

第7步，单击“Start Capture”按钮，CommView Remote Agent即可在远程计算机上捕获到的数据包，并显示在CommView窗口中，网络管理员就可以根据所监控的信息，远程分析网络状况了，如图4-84所示。

图4-84　捕获远程计算机数据包

4.2.7　保存捕获数据

当数据捕获完成以后，为便于网络管理员以后再进行查看分析，可以将这些数据保存起来。CommView捕获的数据可以保存成．htm格式或.csv格式。

在CommView窗口中，依次选择“File”→“Save latest IP Connections As…”选项，将当前数据保存起来即可，并保存成网页表格形式。如果日后想查看相关信息，直接打开保存的网页即可，如图4-85所示。

图4-85　查看保存的数据

4.3　简易网络诊断分析工具

简易网络分析工具虽然没有超级网络诊断分析工具那样丰富的功能，但是其却可以通过对网络数据包的捕捉、诊断和分析，及时发现网络中潜在的问题，判断网络故障发生的原因。

4.3.1　网络窥视者——EtherPeek

EtherPeek是一个在数据包捕获过程中可以实时进行专业诊断和结构解码的网络协议分析器，可以帮助网络管理员分析和诊断日益加速变化的网络数据群，可以对现今网络面临的众多故障提供精确和最新的分析。

1．EtherPeek的安装与设置

EtherPeek适合运行于Windows 9x/2000/XP/2003等操作系统，可以从它的官方网站下载，下载网址为www.wildpackets.com，也可从国内一些下载站点下载，如天空软件站、华军软件园等。

安装EtherPeek

第1步，解压EtherPeek安装文件压缩包，双击Setup.exe图标，运行EtherPeek安装程序，如图4-86所示。

图4-86　EtherPeek安装向导

第2步，单击“Next”按钮，显示如图4-87所示“License Agreement”对话框，查看并阅读许可协议。

图4-87　“License Agreement”对话框

第3步，单击“Next”按钮，显示如图4-88所示“Installation Notes”对话框，查看并阅读安装笔记。

图4-88　“Installation Notes”对话框

第4步，单击“Next”按钮，显示如图4-89所示“Customer Information”对话框。设置用户信息，在“User Name”文本框中，输入用户的名称；在“Company Name”文本框中，输入公司信息。在“Serial Number”文本框中，输入软件产品序列号。

图4-89　“Customer Information”对话框

第5步，单击“Next”按钮，显示如图4-90所示“Activation”对话框。提示需要激活，才可以使用该软件。

图4-90　“Activation”对话框

第6步，单击“Manual”按钮，使用手动输入序列号的方式激活软件。在“Activation Key”文本框中，输入软件的正版序列号，如图4-91所示。

图4-91　使用手动方式

第7步，单击“Next”按钮，提示成功激活，如图4-92所示。

图4-92　成功激活

第8步，单击“Next”按钮，返回EtherPeek安装程序，如图4-93所示。根据实际情况，可以单击“Browse”按钮，修改软件安装路径。

图4-93　“Choose Destination Location”对话框

第9步，单击“Next”按钮，显示如图4-94所示“Start Copying Files”对话框。检查前面所做设置是否正确，单击“Back”按钮，可以返回重新设置。

图4-94　“Start Copying Files”对话框

第10步，单击“Next”按钮，即可开始安装软件。安装完成后，显示如图4-95所示“InstallShield Wizard Complete”对话框。如果选中“Yes, I would like to view the read me.”复选框，可以在安装完成后，查看软件的自述文件。如果选中“Yes, I would like to launch EtherPeek NX.”复选框，在安装完成后将立即启动软件。

图4-95　“InstallShield Wizard Complete”对话框

第11步，单击“Finish”按钮，完成并关闭安装向导。

设置EtherPeek

首次运行软件，显示如图4-96所示“Monitor Options”对话框，选择用来监控的网络适配器。在“Adapter”的“Local machine”列表中，显示了本地计算机中所存在的网络连接，选择一个用来与网络连接网卡，用来监控网络。

图4-96　选择网络连接

在左侧列表框中选择“Statistics Output（输出统计）”选项，设置输出统计报告，如图4-97所示。统计报告可以将所监控的结果保存成文件，用做日后分析之用。这是一个非常有用的功能，默认为不保存结果。选中“Save statistics report every”复选框开启保存报告功能，在该复选框右侧可以设置多长时间保存一次。在“Report type”下拉列表中，设置报告的保存类型，如HTML网页文件、XML文件或TXT文本文件。在“Report folder”框中，可以设置保存报告文件路径。

图4-97　输出统计

在左侧列表中选择“Performance”选项，可以在EtherPeek中显示的状态，如节点状态、协议状态、错误状态等，如图4-98所示。所选择的名称都会以窗口形式显示在EtherPeek窗口中。

图4-98　Performance

最后，单击“确定”按钮，保存设置，显示如图4-99所示“EtherPeek NX”主窗口。在该窗口上方，显示了各种状态窗口，用来显示当前网络中各种协议的状况，窗口下方为仪表盘和消息记录。

图4-99　EtherPeek NX主窗口

2．查看网络状态

运行EtherPeek以后，在主窗口下方会以仪表盘和消息的形式，显示当前的网络状态，如图4-100所示。

图4-100　仪表盘和消息

EtherPeek窗口下方有三个仪表盘，分别是Utilization（利用率）、Packets/s（数据包速度）和Errors/s（错误率），显示网络当前的运行状况。其作用分别如下：

Utilization%（利用率百分比）：该表盘显示了本地计算机当前的网络利用率，在表盘中央以绿色数字显示。

Packets/s（每秒传输的数据包）：该表盘显示当前每秒钟传输了多少数据包，根据数据包速率可以得出网络上流量的类型的一些重要信息。

Errors/s（每秒产生的错误）：该表盘可显示当前出错率。

在仪表盘下方有两个标签，单击“Value”标签，在这里显示网络中传输数据的一些详细信息，如图4-101所示。

图4-101　Value

Duration（持续时间）：记录了EtherPeek运行的时间

Packets received：所接收的数据包数量。

Bytes received：所接收的字节数。

Multicast：网络中传输的组播数。

Broadcast：网络中传输的广播数量。

在“Error Type”列表框中，显示了网络中的错误信息。

仪表盘右侧是“Messages”列表，这里记录了当前计算机的使用状况，其中包括EtherPeek的启动与退出、EtherPeek记录报告，以及所使用过的网络连接，例如当前所浏览过的网页等，如图4-102所示。

图4-102　Messages

3．捕获并分析数据

为了分析网络协议判断网络状况，必须先捕获数据。在捕获数据前，先来创建一个新的捕获。在EtherPeek主窗口中，默认会自动启动“Start Page”窗口，如图4-103所示。在该窗口中单击“New Capture”按钮可建立一个新的捕获，单击“Open Capture File”按钮则可以查看所保存过的捕获文件，单击“Start Monitor”按钮开始监控网络。

图4-103　Start Page

（1）捕获网络数据

第1步，在“Start Page”窗口中单击“New Capture”按钮，显示“Capture Options”对话框，要求选择要监控的网络连接。在左侧列表中，选择“Filters”选项，显示如图4-104所示。根据需要选择要过滤的协议，如HTTP、ICMP等。建议不要同时选择多种协议，以免接收数据太多而影响分析。

图4-104　设置过滤器

第2步，在左侧列表中选择“Statistics Output”选项，设置输出报告，如图4-105所示。

图4-105　设置输出报告

第3步，在左侧列表中选择“Performance”选项，设置要显示的状态窗口，如图4-106所示。

图4-106　设置显示的状态窗口

第4步，单击“确定”按钮，显示如图4-107所示“Capture”窗口，这里用来显示捕获状态。

图4-107　捕获数据

第5步，单击“Start Capture”按钮，或者依次选择“Capture”→“Start Capture”选项，EtherPeek便会开始捕获网络中传输的数据，如图4-108所示。

图4-108　开始捕获数据

捕获数据时，在“Packets received”文本框中显示了所接收的数据包数量。“Memory usage”文本框中显示了内存使用率，“Packets filtered”文本框中显示了过滤的数据包数量，“Filter state”文本框中显示了数据包的过滤状态。从该窗口中的列表框中则可以看到数据包发送和接收的详细状态，如源地址（Source）、目标地址（Destination）、协议（Protocol）、概要信息（Summary）等。通过这些信息，可以了解到局域网中有哪些计算机正在与外部网络或其他计算机通信，使用的是什么协议。在该窗口下方有一系列标签，选择不同的标签可以查看不同的信息，单击“Stop Capture”按钮则可停止捕获。

（2）查看解码信息

在该列表框上方单击“Show Decode View”（查看解码信息）图标，可以查看每个数据包的详细信息，如图4-109所示。

图4-109　Show Decode View

在“Packet Info”区域中显示的是数据包信息，包括Flags（标记）、Status（状况）、Packet Length（数据包长度）和Timestamp（数据包的传输时间）。

在“Ethernet Header”区域中显示以太网头信息，如Destination（以太网广播地址）、Source（源地址）和Protocol Type（协议类型）。

在“IP Header”区域中显示的是IP头信息，包括如下内容。

Version（版本）：这里显示版本号为4，代表IPv4。

Header length：文件头长度，最大为20个字节。

Differentiated Services：显示的是服务类型，以二进制数来表示。

Total length（总长度）：显示该数据的总长度，为Internet文件头和数据的长度之和。

Identification：该数值是文件头的标识符部分，当数据报被划分成几段传送时，发送数据的主机可以用这个数值来重新组装数据。

Fragmentation Flags：数据报的分段标记功能，例如，数据报分段用0标记，未分段用1标记。

Fragment offset（分段差距）：分段差距为0个字节。可以设定0代表最后一段，或者设定1代表更多区段，这里该值为0。分段差距用来说明某个区段属于数据包的哪个部分。

Time to live（保存时间）:TTL值的大小，说明一个数据包可以保存多久。

Protocol（协议）：显示协议值，这里的数值为17，代表UDP协议。文件头的协议部分只说明要使用的下一个上层协议是什么。

Header checksum（校验和）：显示了校验和（只在这个文件头中使用）的值，并且已经做了标记，表明这个数值是正确的。

Source IP Address（源IP地址）：数据的来源IP地址。

Dest. IP Address：数据访问的目的IP地址。

在TCP（User Datagram Protocol，用户数据报协议）区域中，在“Source Port（源端口）”中显示TCP协议的来源端口值，在这里为1680。“Destination Port（目标端口）”中显示了目标端口值，如图4-110所示。

图4-110　UDP信息

（3）保存捕获结果

EtherPeek的捕获结果对于管理员来说非常重要。通过分析捕获结果，管理员可以了解网络当前状况，如果网络有问题，可以迅速找到故障的原因。EtherPeek捕获结果可以在该软件中打开，网络管理员可以随时进行分析。

当捕获过程结束以后，依次选择“File”→“Save All Packets”选项，或者直接单击工具栏上的保存按钮，即可将当前捕获结果保存成扩展名为．pkt的文件，如图4-111所示。该文件包括了本次捕获的所有信息，并且只有在EtherPeek中才可以打开。在EtherPeek的“Start Page”窗口中，也记录了曾经保存过的文件及路径，直接单击相应的文件名即可打开。

图4-111　保存捕获结果

捕获结果可以保存成报告文件，报告文件一般采用网页或文本文件的方式，可以直接打开查看。依次选择“File”→“Save Report”选项，显示如图4-112所示“Save Report”对话框，在“Report type”列表中可以选择报告文件类型，如HMML、XML或TXT等格式的文件，一般会记录本次捕获的Node、Protocol和Summary Statistics等信息；在“Report folder”文本框中可以设置报告文件的保存路径。

图4-112　保存报告

最后，单击“Save”按钮保存即可，以后可以直接打开报告文件进行查看，如图4-113所示窗口为网页形式的报告文件。

图4-113　报告文件

4．网络监控

EtherPeek具有网络监控功能，可以实时监控网络状态，管理员随时可以解到网络有哪些计算机正在通信、各种协议的使用情况等信息。

首先，在EtherPeek窗口中，依次选择“Monitor”→“Options”选项，选择要使用的网络连接和监控的协议，然后，在“Start Page”窗口中单击“Start Monitor”按钮，EtherPeek便开始监控网络，然后再通过“Monitor”菜单中的各个选项即可查看网络状态。

（1）查看节点信息

依次选择“Monitor”→“Nodes”选项，显示如图4-114所示“Node Statistics”对话框，在该窗口中显示了所捕获的网络中传输数据的各个节点，并记录了每个节点的传输信息，如Total Bytes（字节总数）、Packets Sent（发送的包）、Packets Received（接收的数据包）、Broadcast/Multicast Packets（广播/组播数据包）。通过这些信息，管理员可以了解到当前网络中的流量情况。

图4-114　Node Statistics

（2）查看协议信息

依次选择“Monitor”→“Protocols”选项，显示如图4-115所示“Protocol Statistics”对话框，这里列出了所捕获到的网络中所使用的各种协议信息，如各个协议的百分比、发送或接收的字节数和数据包数量等，管理员根据这些协议信息，便可了解到网络的运行状况。例如，当有黑客攻击或有蠕虫而占用了大量网络资源时，管理员就可及时发现。

图4-115　Protocol Statistics

（3）查看数据包分配情况

依次选择“Monitor”→“Size”选项，显示如图4-116所示“Size Statistics”对话框。这里记录了网络中所传输的各种不同大小的数据所占的比例，并且圆饼图形方式显示出来，不同大小的数据包，分别用不同的颜色表示。

图4-116　Size Statistics

（4）查看历史状态

EtherPeek的对网络状态的记录非常详细，可以将网络每秒钟的运行情况记录下来，以备管理员查看。依次选择“Monitor”→“History”选项，显示如图4-117所示“History Statistics”窗口，在这里记录了网络中每秒钟的资源利用率、发送的数据包数量和字节数，并以图形方式显示出来。如果用户想查看在过去一段时间里的网络传输情况，可单击“Pause”按钮先停止记录，然后拖动窗口下方的滑块，即可查看历史记录。

图4-117　History Statistics

默认状态下，EtherPeek显示网络利用率信息，如果要查看其他信息，可在该下拉列表中选择，包括“Packets/Sencond（每秒钟传输的数据包数量）”和“Bytes/Second（每秒传输的字节数）”。EtherPeek默认显示当前30分钟内每秒钟的记录情况，也可以使用其他记录方式显示，如“5 sec./2 hr.（5秒/2小时）”、“15 sec./6 hr.（15秒/6小时”、“30 sec./12 hr.（30秒/12小时”、“60 sec./24 hr.（60秒/24小时）”。

4.3.2　网络协议检测工具——Ethereal

Ethereal是一款免费的网络协议检测程序，同时支持UNIX和Windows操作系统。使用该工具可以抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出，方便查看、监控TCP session动态等。但是，Ethereal仅仅能提供协议分析，不具备Sniffer的一些功能，比如监控应用程序、高级分析和捕获变形帧。

1．Ethereal安装

Ethereal当前版本为v0.10.11英文版，可以运行于Windows 9x/NT/2000/XP等操作系统。用户可以从它的官方网站（http://www.ethereal.com/）下载，也可以从国内一些下载站点下载。在安装Ethereal之前，需要先安装WinPcap驱动程序，WinPcap也可以从Ethereal的官方网站下载。

Ethereal安装比较简单，保持默认设置即可，这里不再赘述。

2．捕获并分析数据包

Ethereal具有数据捕获功能，可以捕获网络中各个计算机传输的数据，管理员通过查看并分析所捕获的数据，即可了解网络的运行状况。操作步骤如下：

第1步，运行Ethereal程序，显示如图4-118所示窗口，通过该窗口即可捕获网络中的数据并进行分析。

图4-118　Ethereal窗口

第2步，依次选择“Capture”→“Interfaces”选项，显示如图4-119所示“Capture Interfaces”对话框，在该对话框中显示了本地计算机上所安装的网卡、网卡的IP地址、传输的包数量（Packets），以及包的传输速率（Packets/s）等信息。

图4-119　Capture Interfaces

第3步，如果要捕获数据，必须先选择一个用来捕获数据的网卡，单击欲捕获数据的网卡右侧的“Capture”按钮，Ethereal便开始利用此网卡来监控本地网络，显示如图4-120所示对话框，其中显示了各种协议所占的百分比。

图4-120　显示各种协议所占的百分比

第4步，单击“Stop”按钮即可停止捕获，捕获到的所有数据显示在Ethereal主窗口中。其中包括源地址（Source）、目标地址（Destination）、使用的协议（Protocol），以及该数据包的简单信息（Info）等，如图4-121所示。

图4-121　捕获的数据

如果需要重新捕获数据，选择“Capture”菜单中的“Start”选项即可。

3．过滤数据包

在捕获数据时，Ethereal会将所有协议的数据包都捕获下来，但并不是所有的数据包都是所需的，因此需要将所需的数据包过滤出来。例如，在捕获完数据后，需要分析使用HTTP协议的数据包，可在“Filter”文本框中直接输入“ip”，回车或单击“Apply”按钮，即可以在该窗口中将使用IP协议的数据包全部过滤出来，而使用其他协议的数据包将全部隐藏，如图4-122所示。

图4-122　过滤HTTP协议的数据包

除了直接输入要过滤的条件，所有的过滤器（Filter）都可以进行设置，单击“Expression”按钮，显示如图4-123所示“Ethereal: Filter Expression”对话框，可以设置要过滤的各种条件。

图4-123　设置过滤器

在“Field name”列表框中可以选择要过滤的字段名，也就是要过滤的各种协议条件，如HTTP、IP等，将其展开可以选择详细的字段；在“Relation”列表中选择可使用的关系；“Value”文本框中用来设置数值，如IP地址等。

另外，可以使用如或、与、非等逻辑操作符将表达式组合起来，说明如下：

and &&：逻辑与，如ip.addr=10.0.0.1&&tcp.flag.fin

or ——：逻辑或，如ip.addr=10.0.0.1—— ip.add=10.0.0.2

xor ^^：异或，如tr.dst[0:3]==0.6.29 xor tr.src[0:3]==

not !：逻辑非，如！llc

例如，要过滤IP地址为10.0.0.90的主机所接收或发送的所有IP报文，那么在“Filter”框中所使用的表达式就应该如下：

        ip.addr == 192.168.1.77 and ip

然后，按回车键或单击“Apply”按钮，就会过滤出IP地址为192.168.1.77的主机所发送和接收的数据包。

图4-124　过滤的数据包

作为网络管理员，会经常分析网络，并且经常使用各种过滤器过滤自己所需要的数据。如果有些过滤器要经常使用，但对一些复杂的过滤器，记起来太麻烦，这就可以将这些过滤器保存在Ethereal中，当以后再使用的时候直接选择即可。

在Ethereal窗口中单击“Filter”按钮，显示如图4-125所示“Display Filter”对话框，在这里可以设置多个过滤器。

图4-125　Display Filter

New：单击该按钮可以添加一个新的过滤器。

Filter name：设置过滤器的名称。该名称并无实际意义，主要是用来与其他过滤器区分。

Filter string：设置过滤器的表达式。单击“Expression”按钮会显示“Ethereal: Filter Expression”对话框，可以设置过滤器的各种条件。

当一个过滤器设置完成以后，单击“Save”按钮即可保存在“Filter”列表框中。管理员可以设置多个不同的过滤器，当以后需要使用同样的过滤器，直接从过滤器列表中选择就可以了。

3．捕获设置

为了使Ethereal能够顺利捕获数据，必须对其进行一定的设置。

依次选择“Capture”→“Options”选项，显示如图4-126所示“Capture Options”对话框。其中各选项的含义如下：

图4-126　捕获设置

Interface：选择用来捕获数据的网卡。

Buffer size：设置缓冲区的大小，其大小单位为MB，默认为1MB。

Capture packets in promiscuous mode：是否使用混杂模式捕获数据。一般取消该复选框，只捕获本地计算机中发送的数据包。如果选中该复选框则使用混杂模式，捕获所有数据包。

Limit each packet to：限制每个包的大小，默认为不限制。

Capture Filter：设置过滤器。

在“Capture File”选项区域中，可以设置是否保存捕获的数据，如果要保存捕获的数据，可在“File”文本框中输入保存路径和文件名。

设置完成后，单击“Capture”按钮，即可使用所做的设置捕获数据。

4．保存捕获数据

使用Ethereal捕获的数据，可以帮助网络管理员分析网络状况，找出网络故障所在，并将捕获的数据保存起来，则可以方便日后进行分析。操作步骤如下：

第1步，依次选择“File”→“Save”选项，显示如图4-127所示“Save file as”对话框。浏览保存位置，在“文件名”文本框中输入要保存的文件名。在“Packet Range”区域中可以选择要保存的数据范围，默认选择“All packets”单选按钮，即保存所有数据包。

图4-127　保存捕获数据

第2步，单击“Save”按钮，所捕获的数据将被保存到一个文件中。

如果想查看该数据，则可在Ethereal窗口中依次“File”→“Open”选项，打开保存的文件即可。

4.3.3　网络数据分析仪——NetworkActivPIAFCTM

NetworkActiv PIAFCTM是一个用来捕获网络数据并进行分析的软件。它可以监控网络中所有计算机传输的数据，甚至可以监视特定计算机、特定端口的传输信息，使管理员可以迅速了解自己所管理的网络状况。NetworkActiv PIAFCTM可以工作在以下两种模式，Packet模式，显示数据包和其中的数据，对数据包进行字符串搜索；File模式，将HTTP传输的内容用文件保存下来，并可以根据IP、端口和文件大小保存在不同的目录中。

用户可以从它的官方网站（http://www.networkactiv.com/）下载，该软件可运行于Windows 2000/XP/2003/Vista系统。

1．捕获网络数据

第1步，NetworkActiv PIAFCTM安装完后第一次运行时，显示如图4-128所示“NetworkActiv PIAFCTM Mode Choice”对话框。

图4-128　选择运行模式

第2步，单击“Packet Mode”按钮，如果计算机安装有多块网卡，则显示如图4-129所示“Choose a network Interface”对话框，要求选择一个网络接口以监控网络。需要注意的是，一定要选择连接要监控的网络的网卡。最后，单击“OK”按钮即可。

图4-129　选择网络接口

软件成功运行，显示如图4-130所示NetworkActiv PIAFCTM主窗口。该窗口上方的列表框用来显示所捕获到的所有数据包，单击“Start”按钮即可开始捕获数据，单击“Clear”按钮，可以清除捕获的内容，单击“Stop”按钮则停止捕获，如果选中“Make sound of new packets”复选框，则可以在捕获到新的数据包时自动发出声音提示，默认为选中状态。

图4-130　NetworkActiv PIAFCTM

第3步，单击“Start”按钮，开始捕获网络中传输的数据包，当捕获了一定量的数据以后，单击“Stop”按钮可以停止捕获，在该窗口上方的列表框中会显示出所捕获的各个数据包，如图4-131所示。

图4-131　捕获的数据

其中，“Tpye”列表显示的是数据的协议类型，如TCP或UDP; “Size”列表中显示的是数据大小。“From IP”显示的是数据的源地址，“To IP”显示的是目标地址。“From Port”列表中显示的是数据包的源端口，“To Port”显示的是目标端口。“Date/Time”列表显示的是捕获该数据包的时间。

第4步，如果要查看某个数据包的详细信息，可单击选择一个数据包，在列表框下方则显示出该数据的部分信息含义如下：

Packet：该数据包的大小。

TTL:Ping对方地址时返回的TTL值。

第二个Packet：显示该数据包的协议类型。

IP：所使用IP端口。

Packet Source：数据包的源地址信息，包括MAC地址、IP地址、端口等信息。

Packet Destination：数据包的目的地址信息，包括MAC地址、IP地址、端口等信息

在“TCP specific”选项区域中显示的是TCP详细信息，其中，各选项含义如下：

Sequence：表示该数据包的顺序。

Acknowledgement：表示发送的数据包的应答字符。

在NetworkActiv PIAFCTM窗口右侧的“Hexviewer”框中显示了数据包的完整信息，并可以文本格式（Text）、解码形式（Dec）或十六进制的Hex格式显示。

通过这些信息，就可以了解数据包的详细情况，从而了解网络中各种数据的传输信息。

2．过滤数据包

第1步，在NetworkActiv PIAFCTM主窗口中，首先选中“Apply filters to incoming”复选框，启用过滤器功能。

第2步，单击“Setup packet filter”按钮，显示如图4-132所示“Filter Setup”对话框。在“Host name resolver”文本框中，输入可以获得过滤器主机域名或IP地址。如果输入的是主机域名，单击“Resolve”按钮，可以将主机域名解析成IP地址。如果输入的是IP地址，单击“Reverse resolve”按钮可将IP地址解析成主机名。单击“Copy to filter”按钮可将该地址复制到过滤器中。例如，想过滤一个网站，但只知道它的域名而不知道它的IP地址，可在该框中输入网站域名，单击“Resolve”按钮即可解析出它的IP地址。

图4-132　“Filter Setup”对话框

第3步，单击“Source IP must be in range”按钮，添加必须捕获的源IP地址和目的地址。在“From”和“To”文本框中，输入相应的IP地址，单击“Add this IP range”按钮即可添加到列表中。

第4步，单击“Source IP must NOT be in range”按钮，设置拒绝捕获的IP地址。在“From”和“To”文本框中，输入相应的IP地址，单击“Add this IP range”按钮即可添加到列表中。

第5步，单击“Destination IP must be in range”按钮，根据需要将要捕获的源IP地址和目的IP地址都添加到“Source or Dest IP must be in range”列表框中。

第6步，单击“Dest IP must NOT be in range”按钮，设置拒绝捕获的IP地址。在“From”和“To”文本框中，输入相应的IP地址，单击“Add this IP range”按钮即可添加到列表中。

第7步，在“Source Port must”文本框中，输入要过滤的源地址端口。如果要设置多个端口，不同端口间需用逗号“, ”隔开。

第8步，在“Source Port must NOT”文本框中，输入拒绝捕获的源地址端口。如果要设置多个端口，不同端口间需用逗号“, ”隔开。

第9步，在“Destination Port”文本框中，输入要过滤的目的地址端口。

第10步，在“Destination Port must”文本框中，输入拒绝捕获的目的地址端口。

第11步，在“Source or Dest Port”文本框中，输入添加的端口号，同时做为源地址端口和目的地址端口被捕获。

第12步，在“Minmum packet”框和“Maximum packet”用来设置数据包的最小值和最大值，即数据包的大小范围。

第13步，在“Allow the following protocos(s)”列表中，选择允许通过的协议类型，如TCP、UDP、ICMP等。

第14步，设置完成后，单击“OK”按钮返回NetworkActiv PIAFCTM主窗口，单击“Start”按钮，NetworkActiv PIAFCTM即可根据过滤器捕获数据。

为了便于网络管理员日后分析网络情况，可将捕获的数据保存起来。当捕获完数据后，选择“File”菜单中的“Save”选项，可将捕获的数据保存成一个．txt文件。

3．使用文件模式

在启动NetworkActiv PIAFCTM时，选择“File Mode”按钮，即可启动到文件模式中，也可以在“Packet Mode”窗口中，依次选择“Mode”→“Change”选项，切换到文件模式界面，如图4-133所示。

图4-133　File Mode

在“Network interface chosen for listening”文本框中，显示了用来监控的网络接口，单击“Change”按钮，可以选择其他网络连接。

在“Direcetory to store”文本框，设置保存捕获文件的路径，文件以日期和时间命名。文件的默认保存路径为“C:\”，单击“Choose folden”按钮，可以修改保存路径。

“Over-Write files of same name”复选框表示覆盖相同名称的文件，若不选中则不覆盖。

“Only store HTTP based file streams as files”复选框表示仅仅存储基于HTTP的文件流。

在“Advance settings”选项区域中可设置肯定应答时间。

“Buffer usage”显示缓冲区的使用情况。

“Dynamic memory”选项中显示了动态存储器的使用情况，但只会在捕获数据的时候才会显示其状态。

另外，还可以根据需要在窗口右侧设置过滤器，具体设置方法请参见前面内容，这里就不再赘述。

最后，单击“Start”按钮，即可开始捕获网络中传输的数据，并将捕获的数据以日期和时间命名保存到硬盘中。