實驗二、網路（協定）分析儀（PART II）

 

資料一、Sniffer之操作步驟：

 

按鍵說明一

功能鍵大致上是F1~F10，功能說明顯示在螢幕下方。

使用空白鍵切換打勾和打x。

有Enter記號者若按下Enter可執行該命令或更改名稱或﹍。

利用<--及-->在樹狀選單中做上下層變換，利用上下鍵做同一層的選項切換。

有 || 之處利用Enter或空白鍵進行選擇。

 

步驟說明二

1. 開機後選擇Analyzer (不是選Monitor)

2. 進入主畫面（Menu，F5)後，選擇Capture filters-->Station address，確定Match 1, 2, 3, 4均為x。（使用Space Bar來切換）

（註一：如果你早已了解Match 1, 2, 3, 4是什麼，則本步驟可跳過）

（註二：若將Capture filters打x，在此有與上述步驟相同的作用）

3. 二話不說按下（New capture，F10）馬上進行封包擷取，確定Good及Frames accepted等數值都在增加之中，表示網路架構沒問題,可以抓到封包。

4. 再利用（Stop capture，F10）跳出後，再一次進入剛剛更改Station address之處，任選一個Match，並根據實驗要求填入Station address（IP或MAC）。在同一層選單中的Reverse direction代表是否要抓取雙向封包，Include / Exclude these表示要抓取符合 / 不符合Match的封包。

5. 再次開始抓取封包。

6. 確定抓取完畢，在停止後選Display-->Print-->File，往上跳回Display-->Print，按Enter即可進行存檔。（路徑應是A:\xxx，檔名勿超過8個字，並省略副檔名為PRN）

7. 根據實驗要求，進行步驟4.的設定，再進行5.與6.，實驗要求存檔的地方請一定存檔。

8. 所存之PRN檔可用任何編輯器開啟觀看（例如：WordPad）。

 

資料二、Ethereal之操作步驟：

 

安裝說明一

使用Google搜尋Ethereal或Windump或Tcpdump的話，一定都可以找到下載的地方。或到Ethereal的網站也可找到Ethereal及WinPcap。無論是Unix或Windows都要先安裝xPcap的套件，再安裝程式。

 

使用說明二

選擇Capture-->Start，會有NIC及其他選項設定，若對本身電腦速度沒有信心，請點選 "Update list of packets in real time" ，若沒有點選，則在結束擷取要進行觀察時，可能會有一段不短的處理時間。

在電腦網卡可運作及NIC選項無誤之下，應可看到電腦送出及收到林林總總的封包，若看不到則請更改NIC選項或進行其他檢查。

到此所做的步驟，等於是使用Sniffer但把所有Match都打x，所抓到的封包，需進一步使用Capture filter或Display filter，來看自己所關心的封包種類。

 

Display Filter下指令的方式說明三

例如要顯示TCP及ICMP封包

tcp or icmp 或 tcp || icmp

（原本寫成tcp and icmp是錯誤的語法）

 

例如要顯示與140.112.18.32來往的封包

ip.addr == 140.112.18.32

 

可用的邏輯符號包括：

and，&&    （Logical AND）

or，||     （Logical OR）

xor，^^    （Logical XOR）

not，！    （Logical NOT）

其餘請參考Ethereal的說明文件，關於Capture filter及Display filter部分

 

資料三、補充文件：

 

Van Jacobson的UDP版traceroute說明

（來自www.carpe.net/src/）這個檔案裡包含.awk檔和.c檔，其中.c檔的註解部分，即明白地告訴我們traceroute / tracert的工作原理，雖然Jacobson用的是UDP封包。這個檔案同時也是相當不錯的socket程式參考。