- 一、捕获数据包前的准备工作
在默认情况下,sniffer将捕获其接入碰撞域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下:
1、在主界面选择captureàdefinefilter选项。
2、definefilteràaddress,这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例,见图1。
图1
比如,现在要捕获地址为10.1.30.100的主机与其他主机通信的信息,在Mode选项卡中,选Include(选Exclude选项,是表示捕获除此地址外所有的数据包);在station选项中,在任意一栏填上10.1.30.100,另外一栏填上any(any表示所有的IP地址)。这样就完成了地址的定义。
注意到Dir.栏的图标:
表示,捕获station1收发的数据包;
表示,捕获station1发送的数据包;
表示,捕获station1收到的数据包。
最后,选取
,将定义的规则保存下来,供以后使用。
3、definefilteràadvanced,定义希望捕获的相关协议的数据包。如图2。
图2
比如,想捕获FTP、NETBIOS、DNS、HTTP的数据包,那么说首先打开TCP选项卡,再进一步选协议;还要明确DNS、NETBIOS的数据包有些是属于UDP协议,故需在UDP选项卡做类似TCP选项卡的工作,否则捕获的数据包将不全。
如果不选任何协议,则捕获所有协议的数据包。
PacketSize选项中,可以定义捕获的包大小,图3,是定义捕获包大小界于64至128bytes的数据包。
图3
4、definefilteràbuffer,定义捕获数据包的缓冲区。如图4:
图4
Buffersize选项卡,将其设为最大40M。
Capturebuffer选项卡,将设置缓冲区文件存放的位置。
5、最后,需将定义的过滤规则应用于捕获中。如图5:
图5
点选SelectFilteràCapture中选取定义的捕获规则。