Sniffer Pro软件的报文捕获及解码分析功能

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口

⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口

⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口

⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析

⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡

⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；

z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；

z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器

有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

⑴在Sniffer Pro主窗口中，依次单击菜单“捕获”→“定义过滤器”，弹出“定义过滤

器—捕获”窗口，选择“地址”选项卡，如图3-9所示。

z在“地址类型”下拉列表中，选择“IP”项；

z在“模式”栏内选择“包含”项；

z在下方列表中分别填写计算机A、B的IP地址。

图3-9 “地址”选项卡

⑵选择“高级”选项卡，展开节点“IP”，单击选中协议“ICMP”，如图3-10所示。

图3-10 “高级”选项卡

⑶选择“摘要”选项卡，可以查看定义的过滤器，如图3-11所示，单击“确定”按钮。

图3-11 “摘要”选项卡

此时，Sniffer Pro只捕获计算机A、B之间通信的ICMP报文。