Sniffer Pro软件的报文捕获及解码分析功能
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。
1. 选择网络接口
⑴在计算机A上,依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单,打开Sniffer Pro软件主窗口,如图3-5所示。
图3-5 Sniffer Pro主窗口
⑵在主窗口中,依次点击“文件”→“选定设置”,弹出“当前设置”窗口,如图3-6所示。如果本地主机具有多个网络接口,且需要监听的网络接口不在列表中,可以单击“新建”按钮添加。
图3-6 “当前设置”窗口
⑶选择正确的网络接口后,单击“确定”按钮。
2. 报文捕获与分析
⑴在Sniffer Pro主窗口(如图3-5)中,依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮,开始捕获经过选定网络接口的所有数据包。
⑵打开IE浏览器,登录Web服务器(如),同时在主窗口观察数据捕获情况。
⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮,在弹出的窗口中选择“解码”选项卡,如图3-7所示。
图3-7 “解码”选项卡
⑷在上侧的窗格中,选中向Web服务器请求网页内容的HTTP报文,在中间的窗格中选中一项,在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。
⑸从图3-7中间窗格的TCP报文段描述中可以看出,数据偏移为20字节,即TCP报文段的首部长度为20字节。对照图3-3所示的TCP报文段的格式,可以清楚地分析捕获的报文段的十六进制代码,如图3-8所示。
z“源端口”字段的值0420,即为客户端(IP地址为222.24.21.129)进程使用的端口号;
z“目的端口”字段的值0050(十进制表示为80),表示Web服务器(IP地址为202.117.128.8)使用了HTTP的默认端口;
z“数据偏移”字段的值5,指出了TCP报文段首部的长度为20字节。
3. 定义过滤器
有时我们并不关心经过网络接口的所有数据,可以通过定义过滤器来捕获指定的数据包。
⑴在Sniffer Pro主窗口中,依次单击菜单“捕获”→“定义过滤器”,弹出“定义过滤
器—捕获”窗口,选择“地址”选项卡,如图3-9所示。
z在“地址类型”下拉列表中,选择“IP”项;
z在“模式”栏内选择“包含”项;
z在下方列表中分别填写计算机A、B的IP地址。
图3-9 “地址”选项卡
⑵选择“高级”选项卡,展开节点“IP”,单击选中协议“ICMP”,如图3-10所示。
图3-10 “高级”选项卡
⑶选择“摘要”选项卡,可以查看定义的过滤器,如图3-11所示,单击“确定”按钮。
图3-11 “摘要”选项卡
此时,Sniffer Pro只捕获计算机A、B之间通信的ICMP报文。