超级网络分析工具Sniffer Pro详解(下)
Sinffer Pro是美国Network Associates公司生产的一款网络分析软件,可用于网络故障与性能管理,在局域网领域应用非常广泛,占到网络分析软件市场的76%。
该系列相关文章:《超级网络分析工具Sniffer Pro详解(上)》
【IT专家网独家】6. 设置数据包过滤
在默认情况下,Sniffer会接收网络中所有传输的数据包,但我们在分析网络协议查找网络故障时,有许多数据包不是我们需要的,这就要对捕获的数据进行过滤,只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤规则和定义,过滤规则包括二、三层地址的定义和几百种协议的定义。这里介绍一下如何过滤通过本机发送的IP数据包。
在Sniffer Pro主窗口中,选择“Capture”菜单中的“Define Filter”选项,选择“Address”选项卡,如图20所示,在“Address”下拉列表中可以选择MAC,IP,IPX过滤,这里我们选择“IP”;在“Mode”中选择“Include(包含)”单选按钮,如果选择“Exclude”单选按钮,则表示捕获除此地址外所有的数据包;在Station列表中的一栏输入要过滤的IP地址,另一栏设置为“Any”,代表任何主机;在“Dir”列表中设置过滤条件,可以用逻辑关系如AND,OR,NOT等组合来设置。在Station列表中,可以设置多个条件,也就是可以过滤多个IP地址的连接。
图20 设置过滤的IP地址
选择“Advanced”选项卡,在这里可以定义要捕获哪些协议的数据包。例如,想捕获DNS,FTP,HTTP,NetBIOS等协议的数据包,可在TCP协议列表中,选中DNS,FTP,HTTP,NetBIOS等协议复选框;在“Packet Size”下拉列表中,可以选择要过滤的数据包的大小;在“Packet Type”列表框中,可以选择要捕获的数据包的类型,如图21所示。
图21 选择协议
选择“Buffer”选项卡,用来定义捕获包缓冲器,缓冲器占用的是计算机内存的一部分空间,如图22所示。在“Buffer size”中可以定义缓冲器的大小,默认为8MB;在“Packet size”中可以设置包的大小;在“When buffer is full(当缓冲器已满)”选项区域中,可以设置缓冲器满了以后,是“Stop capture(停止捕获)”还是“Wrap buffer(封装缓冲器)”;在“Capture buffer”选项区域可以设置捕获数据的自动保存功能。由于缓冲器会占用内存空间,如果计算机内存较小,要捕获的数据又很多,可以使用自动保存功能将捕获的数据直接保存硬盘,选中“Save to file(保存到文件)”复选框,在“Director”中设置要保存的文件路径,在“Filename”中设置文件名。
图22 设置缓冲器
如果没有使用自动保存功能,捕获数据后会自动显示出Expert对话框,用来分析数据;如果使用了自动保存功能,由于数据不再保存到缓冲器而是保存到文件,所以停止捕获以后再选择“Capture”菜单中的“Display”选项时,就要求选择打开的文件,此时需要选择在设置自动保存时的文件,才可打开。
- 本文关键词:
