时间:2014-10-17 09:48:27 来源: 复制分享
WildPackets OmniPeek 4.1虽然这版本的早已过时了,但对于我们新手来说,足矣!而且它体积也比最新版的也小了很多。
下载完成之后,安装过程就不介绍了,对于windows下的软件安装一般一路NEXT都能成功安装。安装完成后打开软件。下面以就是打开后的主界面。
网络统计窗口
界面的左下角的网络统计窗口有三个刻度盘与相应的数字显示。
* 网络使用率(用百分比的方式表示)
* 数据流量(每秒数据包)
* 误差率(每秒的总误差)
下表显示历史最大(红线)和平均值(黄线)。
下面我们切换到“Value”选项卡,上表显示以下信息:
持续时间:此参数显示经过时间“小时:分钟:秒:“自从你开始收集监测数据格式。
收到的数据包:此参数显示收到的数据包从你开始收集监测统计。
接收的字节数:此参数显示收到的字节从你开始收集监测统计。
组播:此参数显示包处理多播地址从你开始收集监测统计。
广播:此参数显示的数据包广播地址从你开始收集监测统计。
(注:如果此窗口被不小心关掉了,可以点击工具栏上的“network statistics”按钮打开。!)
个人日志窗口
界面的右下角:当程序启动时,一个日志文件(称为Peek.log)在Application Data文件夹中创建。
三种类型的事件会被写入这个日志文件中。
* 程序的启动或停止,或创建一个新的窗口捕捉。
* 在设置对话框中指定的事件。
* 活动指定发送的日志类型通知
窗口的第一行,用不同的图标颜色显示消息总数中的日志和故障的严重程度
Messages: 信息总数
白色i :表示请求成功的信息。
绿色! :表示轻微型提示(个人理解)
黄色! :警告信息
红色x :错误信息
那么我们可以对这些日志做那些操作呢? (点击某一条信息右键出现菜单)
保存登录:选择此选项将日志保存为一个文本文件(制表符分隔或逗号分隔值)。
打印日志:选择此选项可打印的登录窗口。要更改默认打印设置,选择打印设置...从“文件”菜单上。
复制:选择此选项复制单独的行日志文件为制表符分隔的文本复制到剪贴板。
清除日志:选择此选项可清除或清空日志文件。
最大日志文件大小:选择此选项可打开一个对话框,您可以在其中输入新的日志文件的最大尺寸,以千字节为单位(默认为4MB)。当达到限制时,将删除旧的日志项,以腾出空间给新的。
自动滚屏:选择此选项来切换日志的自动滚动功能。
(注:如果不小心关闭了这个窗口,可以点击工具栏上的View Log 或菜单栏 View > Log Window)
创建一个数据捕捉
你可以在Start Page窗口上点击“new capture”按钮,或在菜单栏File > new..
这里可以设置捕获的名称,文件保存的位置等。
选择你要通过哪个网卡进行捕捉,因为我的是笔记本,所以会有有线和无线两个网卡。你可以用检测无线网卡的方式,找到被别人设置屏蔽掉的无线信号,检测谁在偷用你的无线网络,或者别人无线网络的加密方式进行破解等。
对于协议包的过滤规则,默认情况下所有协议都进行检测抓取。
勾选下面协议类型,选择左边按钮表示,只抓取选中的协议。选择右边按钮表示,选中的协议从抓取的协议列表中去掉。
创建完成后,点击数据捕捉窗口右上角的“Start Capture”按钮。工具开始抓取所有经过网卡的数据包。点击“Stop Capture”停止抓取。
Ominpeek能做哪些分析呢?
那么Ominpeek提供了哪些功能来快速的帮助我们对网络问题进行故障诊断/定位。
1.主机排名,发现网络中通信量最大的主机,对比故障现象与影响范围。
2.协议排名,可以对监控的所有协议进行排名,找到使用最多的协议。
3.主机在使用的协议。查看某一主机在使用哪些协议。(在主机排名界面,双击某一主机,出现下表)
4. 通过PeerMap网络分布图了解主机会话的实时情况
5. 深入解码分析。发现异常后,可以进行深入的解码分析。
通过以上步骤可以很多容易发现浏览异常的主机,不正常的协议通信以及网络中实际传输的内容。从某些角度来说,使用OmniPeek来做协议分析,真是杀鸡用牛刀了。
常见协议分析
下面对一些经见的协议时行简单的分析(我们在抓到的包中可以双击打开抓到的各种协议):
帧、UDP协议
Destination: 00:12:00:40:E9:FF目的的适配器的mac地址为00:12:00:40:E9:FF Source: 00:E0:81:02:CB:F0Tyan:02:CB:F0传输该帧到LAN上的适配器的mac地址为00:E0:81:02:CB:F0 协议标识域 Protocol Type: 0x0800 IP 表明封装协议是IP协议TCP协议
我们都知道TCP协议信息传递(三次握手、四次挥手)
第一次握手IP协议
Version: 4版本为IPv4Header Length: 5 ( 20 bytes)IP题头通常大小为20字节,该域值按照4字节的柏树提供。分析器用4字节乘以该值得到正确的IP题头长度值20字节Differentiated Services: %00000000服务类型域。以便使不同类型的ip数据报能相互区别开来。Total Length: 60 ip数据报的总长度(首部加上数据),该字段长为16bitIdentifier: 30612 与ip分片有关,同一个ip数据报分片成不同的数据报,Identifier是相同的。Fragment Offset: 0 ( 0 bytes)片位移为0Time To Live: 64该数据报不会永远在网络中循环,每次经过一台路由器时,该字段减1。若TTL字段为0,则该数据报必须丢弃。Protocol: 1 ICMP - Internet Control Message Protocol该字段仅在数据报到大其最终目的地才会用到。该字段指明了IP数据报的数据部分应该 交给哪个运输层的协议。Header Checksum: 0x77BA将首部中的每两个字节当作一个数,用反码运算对这些书求和Source IP Address:HTTP 协议
http请求报文
HTTP Command: GET当浏览器请求一个对象的时,使用GET方法URI: /img/baidu_logo.gif在URL字段填写该对象的URL地址本报文中URL请求对象是/img/baidu_logo.gifHTTP Version: HTTP/1.1 <CR> <LF> ..浏览器实的是HTTP/1.1版本协议Connection: Keep-Alive <CR> <LF>浏览器告诉服务器希望保活Host: www.baidu.com <CR> <LF> .定义了目标所在的主机。User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;http响应报文
HTTP Version: HTTP/1.1协议版本HTTP Status: 200状态码HTTP Reason: OK <CR> <LF> .相应状态信息,一切正常,即服务器已经找到并正在发送所请求的对象Server: Apache/1.3.27 <CR> <LF>表明该报文是由一个Apache WEB服务器产生的。Last-Modified: Wed, 30 Jul 2008 10:23:00 GMT <CR> <LF>对象创建或者左后修改的日期和时间Content-Length: 1489 <CR> <LF>表明了被发送对象的字节数Content-Type: image/gif <CR> <LF> <CR> <LF> ..表明了实体中的对象是gif图像。Binary Data: (1130 bytes)报文的主体,即它包含了所请求的对象本身。当然还有许多协议,如 FTP、SMTP\POP3 、DNS、ARP等很多协议。