Sniffer使用简介（上）

2019-11-04 11:46:46

字体：大中小

来源：转载

供稿：网友

一、捕捉数据包前的预备工作

在默认情况下，sniffer将捕捉其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕捉的数据包作过滤。Sniffer提供了捕捉数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：

1、在主界面选择captureàdefinefilter选项。

2、definefilteràaddress，这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，见图1。

Sniffer使用简介（上）（图一）

图1
比如，现在要捕捉地址为10.1.30.100的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕捉除此地址外所有的数据包)；在station选项中，在任意一栏填上10.1.30.100,另外一栏填上any（any表示所有的IP地址）。这样就完成了地址的定义。

注重到Dir.栏的图标：

Sniffer使用简介（上）（图二）

表示，捕捉station1收发的数据包；

Sniffer使用简介（上）（图三）

表示，捕捉station1发送的数据包；

Sniffer使用简介（上）（图四）

表示，捕捉station1收到的数据包。
最后，选取

Sniffer使用简介（上）（图五）

，将定义的规则保存下来，供以后使用。
3、definefilteràadvanced，定义希望捕捉的相关协议的数据包。如图2。

Sniffer使用简介（上）（图六）

图2

比如，想捕捉FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕捉的数据包将不全。

假如不选任何协议，则捕捉所有协议的数据包。

PacketSize选项中，可以定义捕捉的包大小，图3，是定义捕捉包大小界于64至128bytes的数据包。

Sniffer使用简介（上）（图七）