用SNIFFER进行网络性能监测-实验指导

1、用SNIFFER进行网络性能监测实验指导 计算机网络西安交通大学西安交通大学计算机教学实验中心计算机教学实验中心下一页上一页停止放映第第1 1|21|21页页实验目的 了解Sniffer的工作原理了解常用网络数据包的帧格式掌握Sniffer侦测、记录和分析数据包的方法下一页上一页停止放映第第2 2|21|21页页实验环境 安装Windows 98/2000/XP操作系统并能够上网的微型计算机1台Sniffer安装软件下一页上一页停止放映第第3 3|21|21页页实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。以数据链路层的“帧”为例，不同的“帧”由多个对

2、应不同信息功能的部分组成。帧的类型与格式根据通信双方数据链路层所使用的协议确定，由网络驱动程序按照一定规则生成，通过网络接口卡发送到网络中，通过网络传送的目的主机。在正常情况下，网络接口卡读入一帧并进行检查，如果帧中所携带的目的MAC地址和自己的物理地址一致或者是广播地址时，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统处理，否则就将该帧丢弃。但如果某个接口卡被设置为“混杂”状态，则该接口卡将接收所有在网络中传输的帧，这就形成了监听。下一页上一页停止放映第第4 4|21|21页页实验任务 学会使用Sniffer捕获数据包，根据所设计的具体应用，对所捕获的数据包

3、进行协议分析。利用Sniffer的“数据包生成器”向网络中发送一个数据包下一页上一页停止放映第第5 5|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包 1）安装Sniffer-用户运行安装程序，并在安装程序的引导下完成Sniffer的安装。2）配置Sniffer在进行流量捕获之前，首先在“FILE”“Select Settings”选择网络适配器，确定从计算机的哪个网络适配器上接收数据，如下图 。该软件安装在Windows 98操作系统时，可以选择拨号适配器对电话拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟的PPPOE网卡。下一页

4、上一页停止放映第第6 6|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包3）定义捕获规则通过“Capture”“Define Filter”和“Display”“Define Filter”可以设置过滤器的过滤规则，过滤器根据所选择的物理地址、IP地址和协议可以组合筛选内容。在Address页中（图 ）可以设置MAC地址、IP地址和IPX地址。以IP地址过滤为例，说明捕获地址为6的主机与其他主机通信的信息。在Mode选项卡中，选Include(选Exclude表示捕获除此地址外所有的数据包)；在Station1的任意一栏中填入202.11

5、7.50.16，对应的Station2栏填上any（any表示所有的IP地址），单击该行Dir.列的图标，选择捕获数据包的方向，就完成地址的定义，选择“Profiles”按钮将定义的规则保存下来。下一页上一页停止放映第第7 7|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包在Data Pattern中可以编辑任意的捕获条件，实现更复杂的报文过滤。下一页上一页停止放映第第8 8|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包在Advance页中可以编辑协议的捕获条件。在协议选择树中罗列了所有可以捕获的协议，缺省时表示捕获所有协议。在

6、Packet Size中，可以定义捕获包的大小，设置等于、小于、大于某个报文长度的值。在Packet Type中，可以选择当网络出现错误时是否捕获。“Profiles”按钮可以保存所设置的过滤规则。下一页上一页停止放映第第9 9|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包在Buffer页中定义捕获数据包的缓冲区。在Buffer size选项卡，可设置缓冲区的大小，最大值为40M。在Capture buffer选项卡，可设置缓冲区文件存放的位置。下一页上一页停止放映第第10 10|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包最

7、后选择“Capture”“Select Filter”，点选Capture中定义好的过滤规则，单击“确定”后，该规则将应用于以后的捕获中。下一页上一页停止放映第第11 11|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包4）启动相应的服务根据过滤器中设置的过滤规则，在网络中启动相应服务，有关服务可以参阅第3章利用IIS搭建网络服务，也可以通过Internet使用其它网站上提供的服务。下一页上一页停止放映第第12 12|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包5）报文捕获解析 在“Monitor”菜单中罗列了可以实时监控主机、

8、协议、应用程序、不同包类型等分布情况的监测工具。打开这些工具（），其中Dashboard可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等信息并以“表板”和“图表”的形式显示出来；Host Table可以查看通信量最大的前10位主机；Matrix通过连线，可以形象地显示主机之间的连接记录；Application Response Time通过不同主机间通信的最小、最大、平均响应时间方面的信息揭示回应时间，对解决Web Server，FTP Server和Database Server反应过慢十分有用；History Samples可以看

9、到历史数据抽样出来的统计值；Protocol distribution可以实时观察到数据流中不同协议的分布情况及用途；Switch可以获取Cisco交换机的状态信息；Global Statics用来显示网络上各种Protocol Size的分布及网络的整体用量和表现；Alarm Log在网络出现问题时可以通过E-mail、SNMP、Alert Beep以及传呼等方式及时通知网络管理员。下一页上一页停止放映第第13 13|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包在快捷工具中可以看到捕获报文的快捷键，如捕获开始、捕获暂停、捕获停止、捕获停止并查看、捕获查看、捕

10、获条件编辑、选择捕获条件等。这些快捷键对应的菜单命令也可以在“Capture”菜单中找到。如下图，捕获前需要单击“Start”快捷按钮启动捕获引擎。暂停捕获时，点击“Pause”。要停止捕获时，点选“Capture Stop”或者“Capture Stop and Display”快捷按钮，前者停止捕获包，后者停止捕获包并把捕获的数据包进行解码和显示。点击“Display”快捷按钮可以显示记录。点击“Define Filter”快捷按钮可以定义过滤方案，出现，默认情况下将记录所有的数据包，也可以通过定义过滤器的方法选择记录。 下一页上一页停止放映第第14 14|21|21页页实验内容实验内容1

11、：使用：使用Sniffer监听监听数据包数据包单击“Capture Stop and Display”后，在“Expert”页是Sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并做出诊断，其中diagnoses可以提出非常有价值的诊断信息。 下一页上一页停止放映第第15 15|21|21页页实验内容实验内容1：使用：使用Sniffer监听监听数据包数据包“在Decode”页是对每个数据包进行解码，可以看到整个包的结构、从链路层到应用层的信息以及相应的十六机制编码。Sniffer同样提供解码后的数据包过滤显示，要对包进行显示过滤需切换到Decode模式，选择“Dis

12、play”“Define filter”定义过滤规则，选择“Display”“Select filter”应用过滤规则。 下一页上一页停止放映第第16 16|21|21页页实验内容实验内容2：使用：使用Sniffer的数的数据包生成器据包生成器 Sniffer在“Tools”菜单中还提供了一系列辅助工具，包括数据包生成器、ping、trace route、DNS lookup、finger、who is工具，除了数据包生成器外，其他工具在操作系统中也有提供，具体使用方法请同学们自己学习。这些工具中最有特色的是数据包生成器 下一页上一页停止放映第第17 17|21|21页页实验内容实验内容2：使

13、用：使用Sniffer的数的数据包生成器据包生成器1）选择“Tools”“Packet Generator”，将出现图 所示的窗口，点击最后三个快捷按钮可以按照不同方式生成数据包。下一页上一页停止放映第第18 18|21|21页页实验内容实验内容2：使用：使用Sniffer的数的数据包生成器据包生成器2）用第一个数据包生成器工具“Send 1 Frame”所构成的新数据包需要由用户直接填写包头、包内容及包长并且由用户选择发送模式和发送类型下一页上一页停止放映第第19 19|21|21页页实验内容实验内容2：使用：使用Sniffer的数的数据包生成器据包生成器3）当然也可以对捕获到的报文进行修改后再发送。具体作法是选中某个捕获的报文后，单击鼠标右键，选择“Send Current Packet”快捷菜单命令，则报文的内容将被原封不动地送到“Send current Frame” 编辑窗口中此时就可以对该报