Sniffer抓包分析手册 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Sniffer抓包分数据包分析手册

前言

现在大家在一线解决故障过程中，经常会利用sniffer软件来分析网络中的数据包，从而为故障的解决及相关的部门（如研发）提供更有说服力的数据。应该来说，sniffer的包文对于解决问题确实起到了很大的作用，但很多时候有些人所提供的sniffer数据包什么数据都抓，很混，要花很大的力气才能对看明白该数据包，另外，很多时候没有给出相应的抓包的网络拓扑图，数据包中的源端口、目的端口、IP地址等方面的说明，这样不利于相关人员的分析和定位。为此，我做个这方面的case，供大家参考，望大家能够提供更有价值的数据给相关的人员。

认证客户端与NAS 设备（交换机）报文交互

一、捕获数据包拓扑图：

1、捕获认证客户端电脑（192.168.0.241/24）与S2126G 交换机交互的报文；

2、捕获S2126G 交换机与SAMII 服务器（192.168.0.232）交互的报文；

三、所捕获得到的sniffer 报文的文件命名：请尽可能采用一目了然的文件名，即从文件名即可以大概知道该sniffer 的报文的内容；同时，对于每个sniffer 文件，请用一个readme.txt 简短地说明，这样便于相关的人员能够更好地知道sniffer 报文的内容；四、交换机的配置： show run

Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch

radius-server host 192.168.0.232 aaa authentication dot1x

aaa accounting server 192.168.0.232

aaa accounting

enable secret level 1 5 %2,1u_;C34-8U0H

enable secret level 15 5 %2-aeh`@34'dfimL4t{bcknAQ7zyglow

interface fastEthernet 0/16

dot1x port-control auto

interface vlan 1

no shutdown

ip address 192.168.0.249 255.255.255.0

radius-server key start

ip default-gateway 192.168.0.254

五、开始捕获认证客户端电脑与S2126G交换机交互报文时，sniffer程序的设置准备：由于我们只关心认证客户端电脑与S2126G交换机之间的报文，因此我们需要将其他电脑或交换机所发的广播等报文过过滤掉，而交换机与认证客户端之间报文的交互，都是通过二层的MAC地址来进行的，因此我们要设置sniffer程序的捕获条件，即定义“定义捕获数据过滤板”，设置过程如下：

在主菜单，选择Capture（捕获），选中Define filter（定义过滤器）。在Define Filter （定义过滤器）中的Address（地址）的Address（地址类型）选择Hardware；Mode（模式）选择Include（包含）；在Station1（位置1）输入认证客户端电脑的网卡MAC地址：

0040-050c-0ac4，Station 2（位置2）输入交换机的MAC地址00d0-f8ef-99dc,选择捕获双向数据流；然后有在Station1 （位置1）输入认证客户端电脑的网卡MAC地址：0040-050c-0ac4，在Station 2（位置2）输入组播地址：0180-C200-0003（注：此组播地址为我们客户端私有组播地址），选择捕捉双向数据流。然后选择Capture（选择过滤器）中的Select Filter 中的Default，具体的操作如图所示：

六、单击sniffer软件左上角的“开始”按键，开始捕获数据：

七、运行客户端软件，开始认证；

八、停止捕获，则选择“捕获-Æ停止并显示”：

九、保存捕获所得到的数据包文件，SNIFFER主菜单FILE选项的选择SAVE AS，选择一个保存位置，输入保存的文件名称，保存文件，此处，所采用的文件名为：pc_nas（注：在取文件名

时，请尽可能采用一目了然的文件名，这样便于分析）

1、首先分析客户端软件发起认证时的802.1X EAPOL-START数据包

报文说明：

A、一般来说，由客户端发起一个带有组播地址为0180-C200-0003的EAPOL-START 数据帧。

B、在数据包中，整个EAPOL数据包封装在普通802.3以太网帧中。首先是一个普通以太网相关的源MAC地址和目的MAC地址，其中目的MAC地址是802.1X协议申请了一个组播地址0180-C200-0003。后面是802.1X协议包头内容：（1）802.1X协议版本：0000 0001；（2）802.1X 报文类型：0000 0001 表示是一个EAPOL-START 报文；（3）802.1X报文长度为0，表示是PACKET BODY FIELD 没有实际内容，全部采用零来填充。（4）在802.1X报文中，版本字段长度是一个字节，指明现今EAPOL的版本号，一般来说填充的是：0000 00001。（4）包类型字段（Packet Type）：其中长度为一个字节，表示的正在传输包的类型，主要有以下几种数据类型：

1、EAP-PACKET：0000 0000 表示的是一个EAP数据包。

2、EAPOL-START：0000 0001表示的是一个EAPOL-START帧。

3、EAPOL-LOGOFF：0000 0010表示的是一个EAPOL-LOGFF 帧。

4、EAPOL-KEY：0000 0010 表示的一个EAPOL-KEY 帧。

2、NAS设备发送一个对EAPOL-START响应EAP请求数据帧（请求相关信息）