上一篇：Sniffer使用简介（下） >>

Sniffer使用简介（上）

一、捕获数据包前的准备工作

在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：

1、在主界面选择captureàdefinefilter选项。

2、definefilteràaddress，这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，见图1。

图1
比如，现在要捕获地址为10.1.30.100的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕获除此地址外所有的数据包)；在station选项中，在任意一栏填上10.1.30.100,另外一栏填上any（any表示所有的IP地址）。这样就完成了地址的定义。

注意到Dir.栏的图标：

表示，捕获station1收发的数据包；

表示，捕获station1发送的数据包；

表示，捕获station1收到的数据包。
最后，选取

，将定义的规则保存下来，供以后使用。
3、definefilteràadvanced，定义希望捕获的相关协议的数据包。如图2。

图2

比如，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。

如果不选任何协议，则捕获所有协议的数据包。

PacketSize选项中，可以定义捕获的包大小，图3，是定义捕获包大小界于64至128bytes的数据包。

图3

4、definefilteràbuffer,定义捕获数据包的缓冲区。如图4：

图4

Buffersize选项卡，将其设为最大40M。

Capturebuffer选项卡，将设置缓冲区文件存放的位置。

5、最后，需将定义的过滤规则应用于捕获中。如图5：

图5

点选SelectFilteràCapture中选取定义的捕获规则。

返回顶部

下一篇：Sniffer--会“抓毒”的网络分析仪 >>