實驗二、網路(協定)分析儀(PART II)
資料一、Sniffer之操作步驟:
按鍵說明一
功能鍵大致上是F1~F10,功能說明顯示在螢幕下方。
使用空白鍵切換打勾和打x。
有Enter記號者若按下Enter可執行該命令或更改名稱或﹍。
利用<--及-->在樹狀選單中做上下層變換,利用上下鍵做同一層的選項切換。
有 || 之處利用Enter或空白鍵進行選擇。
步驟說明二
1.
開機後選擇Analyzer (不是選Monitor)
2. 進入主畫面(Menu,F5)後,選擇Capture filters-->Station address,確定Match 1,
2, 3, 4均為x。(使用Space Bar來切換)
(註一:如果你早已了解Match 1, 2,
3, 4是什麼,則本步驟可跳過)
(註二:若將Capture filters打x,在此有與上述步驟相同的作用)
3. 二話不說按下(New
capture,F10)馬上進行封包擷取,確定Good及Frames accepted等數值都在增加之中,表示網路架構沒問題,可以抓到封包。
4. 再利用(Stop
capture,F10)跳出後,再一次進入剛剛更改Station address之處,任選一個Match,並根據實驗要求填入Station address(IP或MAC)。在同一層選單中的Reverse
direction代表是否要抓取雙向封包,Include / Exclude these表示要抓取符合 / 不符合Match的封包。
5.
再次開始抓取封包。
6. 確定抓取完畢,在停止後選Display-->Print-->File,往上跳回Display-->Print,按Enter即可進行存檔。(路徑應是A:\xxx,檔名勿超過8個字,並省略副檔名為PRN)
7. 根據實驗要求,進行步驟4.的設定,再進行5.與6.,實驗要求存檔的地方請一定存檔。
8.
所存之PRN檔可用任何編輯器開啟觀看(例如:WordPad)。
資料二、Ethereal之操作步驟:
安裝說明一
使用Google搜尋Ethereal或Windump或Tcpdump的話,一定都可以找到下載的地方。或到Ethereal的網站也可找到Ethereal及WinPcap。無論是Unix或Windows都要先安裝xPcap的套件,再安裝程式。
使用說明二
選擇Capture-->Start,會有NIC及其他選項設定,若對本身電腦速度沒有信心,請點選 "Update list
of packets in real time" ,若沒有點選,則在結束擷取要進行觀察時,可能會有一段不短的處理時間。
在電腦網卡可運作及NIC選項無誤之下,應可看到電腦送出及收到林林總總的封包,若看不到則請更改NIC選項或進行其他檢查。
到此所做的步驟,等於是使用Sniffer但把所有Match都打x,所抓到的封包,需進一步使用Capture
filter或Display filter,來看自己所關心的封包種類。
例如要顯示TCP及ICMP封包
tcp or icmp
或 tcp || icmp
(原本寫成tcp and icmp是錯誤的語法)
例如要顯示與140.112.18.32來往的封包
ip.addr == 140.112.18.32
可用的邏輯符號包括:
and,&& (Logical AND)
or,|| (Logical OR)
xor,^^ (Logical XOR)
not,! (Logical NOT)
其餘請參考Ethereal的說明文件,關於Capture filter及Display filter部分
資料三、補充文件:
Van Jacobson的UDP版traceroute說明
(來自www.carpe.net/src/)這個檔案裡包含.awk檔和.c檔,其中.c檔的註解部分,即明白地告訴我們traceroute / tracert的工作原理,雖然Jacobson用的是UDP封包。這個檔案同時也是相當不錯的socket程式參考。