很多时候,做网络协议的人员(开发,测试)都需要分析每个网络数据包和会话过程。说穿了就是抓包。
关于抓包软件可以说是多如牛毛(夸张了点)。很多人提到sniffer,iris,netXray。Linux下面有一个什么软件我记不清楚了。
我真正用过的是sniffer,iris,nexXray,commview。还有刚刚得到的EtherPeerk。记住,是EtherPeek,不是EtherPeek NX。
可以说,有了EtherPeek,其他大多数软件都可以退休了。我这里只把一个简单的使用过程贴出来。看看大家是不是还有更好的意见。
步骤1:安装。不废话,没有什么好说的。
步骤2:启动,开始新建一个抓包过程。(图1)
步
骤3:填写抓包选项。在通用选项页没有什么好说的,用过sniffer的人都知道是什么意思(图2)。选择适配器,比较特殊的功能是能把文件当作输入源进
行分析。这个功能一般用于不在网络环境中进行包分析。我选用实际的网卡接口做为监视对象(图3)。在filter(过滤)选项页列出了安装后自带的一些包
过滤规则。好像很少(图4),甚至找不到我要测试的RADIUS包,所以我不选任何过滤规则。统计输出页我一般不用,所以不多说。
图3:)
图4:
(IMG:)
步骤4:点击“确定”按钮,就进入抓包界面。是不是和sniffer很象?(图5)。看到我标紫色条部分的没有?点击filter页。我们要进行大动作——定义过滤规则。
(IMG:)
步骤5:我说了,我想抓RADIUS包,但是它没有提供,是不是很弱?非也!EtherPeek提供很多自定义的过滤规则,让用户自己随意组合。这才是我真正要说的重点。在上步点击Filters页之后,会列出系统已有的规则,我们选择insert(图6)。
(IMG:)
步骤6:开始自定义规则(图7)。很拽吧。基于地址(看看支持多少协议?比任何一个软件都不少吧),基于协议的都有。
(IMG:)
步骤7:最厉害的是选择类型(图8)。simple的我就不说了,显得丢份。我们要advanced。
(IMG:)
步骤8:选择advanced之后会进入图9的界面。看到"and"和"or"两个按钮吧。他们的功能是把各种过滤规则再按照逻辑与和逻辑或组合。强大,强大到可怕。(IMG:)
步骤9:我选择or按钮,选择按协议过滤(图10)。这时才出现所有的协议。分门别类。可以划分为ethertype2 和802.3。选择ethertype2(如果你确定你的网络是走802.3规范的,就选802.3)。
(IMG:)
步骤10:找到我要的RADIUS协议(图11)。选择点击OK。
(IMG:)
步骤11:再重复第9步骤,点击"or"按钮,再把RADIUS account也选上。就出现了图12的界面。点击OK。看到两个数据包协议是并(or)的关系了吧。
(IMG:)
步骤12:再从图5所示的紫色条中选择packets页。点击图5中开始抓包的图标......
步骤13:步骤13:怎么样,很成功吧(图13)。
**********
居然泄密了。
(IMG:)
-----------------------------------------------------------------
EtherPeek和EtherPeek NX有什么区别?
EtherPeek NX带有很多的分析模块插件。而且价钱也贵。
NX多了expert分析功能,类似Sniffer Pro中的专家系统,可以自动诊断网络中
的某些问题,很好。
另外两个就是多了Network Matrix,类似SnifferPro中的那个大圆图;还有一
个特性么......忘了
-----------------------------------------------------------------
NX对比SnifferPro的优点主要有:
1.简单,干净;确切的说,这是一个专为专业网络分析员而开发的软件,去掉
和隐藏了很多冗余的功能,功能强大又不失简洁。从他抓包和发包的一系列基
本功能就可以看出,操作方式上远远的比SnifferPro更人性化,例如一次选定一 个session相关联的所有包等等贴心的设计,还有自动采用信号灯的方式显示
Site Active Traffic,都比SnifferPro只有简单的Matrix和不断增长的包列表更可
爱。
2.轻量级;试说安装程序大小,运行速度和系统资源占用。
3.绿色,不用安装Service,也不需要加在额外的Procotol开销,这点对于不需
要一天二十四小时运行的程序来说,应该说是一个优点。
4.灵活的分布方式;可以支持一个单一程序acketGrabber的远程分布,来实
现多点分布式分析的功能,在远端只需要安装一个小的数据捕捉部分;更为欣
赏的一点:支持Rmon远程获取,由它的插件RmonGrabber来实现。(也先写一
下缺点,就是虽然灵活,但是不够灵活...例如,自身不提供remote rmon
agent,在分布式环境中,这种方式远比packetgrabber更可爱)
5.丰富的功能插件群,例如,rmongrabber,上面说过了;ProConvert,能够
直接转换几乎所有的网络分析软件捕获的数据包纪录;NetSense,离线分析和
专家统计系统,但是这部分功能在NX里已经直接集成;WebStat,Web流量
统计分析模块。
下面说一下缺点:
1.速度; 这是Windows下几乎所有分析软件的软肋,由于Windows自身网络
堆栈处理的瓶颈(关闭QOS,最小以太网时隙,无冲突情况,100M网络windows
为<65Mb/s,Linux为<85Mb/s,FreeBSD为95Mb/s,偶自己测的,Linux和
FreeBSD未采用zero-copy socket特性),和windows系统资源分配特性所造
成的......
偶在PIII 1.2G , 512M RAM的机器上用EtherPeek NX做85M流量采样...一秒
钟都不要就死了...当然,不知道是谁死了,因为偶的网卡也down了...(当然
了,这个情况下snifferpro也死悄悄),后来只好到Linux下用Ethereal做采样,
还好,勉强能动鼠标,OK。
2.产品线分布不够全,这是针对Snifferpro来说的......在某些高端产品线上,
EtherpeekNX就力所不能及了...想想NAI前段时间的新品InfiniStream,简直
是恐怖...另外高端市场上,NetScout也是另一个几乎不可逾越的高峰。
3.定制性稍差,主要指packet partten和filter的定制上,不如SnifferPro强。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=5992829