Sniffer中文使用教程(經典)

Sniffer中文使用教程（經典）SnifferPro中文使用教程（詳細）第1章Sniffer軟件簡介 1-11.1概述 1-11.2功能簡介 1-1第2章報文捕獲解析 2-1 2.1捕獲面板 2-1 2.2捕獲過程報文統(tǒng)計 2-1 2.3捕獲報文查看 2-2 2.4設置捕獲條件 2-3第3章報文放送 3-1 3.1編輯報文發(fā)送 3-1 3.2捕獲編輯報文發(fā)送 3-2第4章網絡監(jiān)視功能 4-14.1Dashbord 4-1ApplicationResponseTime(ART) 4-1第5章數據報文解碼詳解 5-1 5.1數據報文分層 5-15.2以太報文結構 5-1IP協(xié)議 5-3ARP協(xié)議 5-4PPPOE協(xié)議 5-6Radius協(xié)議 5-9iSniffer軟件簡介第1章Sniffer軟件簡介1.1概述 Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本文針對用SnifferPro網絡分析器進行故障解決。利用SnifferPro網絡分析器的強大功能和特征?解決網絡問題?將介紹一套合理的故障解決方法。與Netxray比較?Sniffer支持的協(xié)議更豐富?例如PPPOE協(xié)議等在Netxray并不支持?在Sniffer上能夠進行快速解碼分析。Netxray不能在Windows2000和WindowsXP上正常運行?SnifferPro4.6可以運行在各種Windows平臺上。Sniffer軟件比較大?運行時需要的計算機內存比較大?否則運行比較慢?這也是它與Netxray相比的一個缺點。1.2功能簡介下面列出了Sniffer軟件的一些功能介紹?其功能的詳細介紹可以參考Sniffer的在線幫助。捕獲網絡流量進行詳細分析利用專家分析系統(tǒng)診斷問題實時監(jiān)控網絡活動收集網絡利用率和錯誤等在進行流量捕獲之前首先選擇網絡適配器?確定從計算機的哪個網絡適配器上接收數據。位置:File->selectsettings1-1Sniffer軟件簡介

選擇網絡適配器后才能正常工作。該軟件安裝在Windows98操作系統(tǒng)上?Sniffer可以選擇撥號適配器對窄帶撥號進行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網卡。對于安裝在Windows2000/XP±則無上述功能?這和操作系統(tǒng)有關。本文將對報文的捕獲幾網絡性能監(jiān)視等功能進行詳細的介紹。下圖為在軟件中快捷鍵的位置。1-2報文捕獲解析第2章報文捕獲解析2.1捕獲面板報文捕獲功能可以在報文捕獲面板中進行完成?如下是捕獲面板的功能圖：圖中顯木的是處于開始狀態(tài)的面板捕獲條件捕獲條件選擇捕獲選擇捕獲編輯編輯條件條件捕獲開始捕獲開始捕獲暫停捕獲暫停捕獲停止捕獲停止捕獲停止捕獲停止捕獲查看捕獲查看并查看并查看2.2捕獲過程報文統(tǒng)計在捕獲過程中可以通過查看下面面板查看捕獲報文的數量和緩沖區(qū)的利用率。捕獲報文數捕獲報文數捕獲報文的數捕獲報文的數據緩沖大小據緩沖大小Cange100K1Pscket^Buffer%據緩沖大小據緩沖大小Cange100K1Pscket^Buffer%Buffer%詳細統(tǒng)計信詳細統(tǒng)計信息息2-1報文捕獲解析2.3捕獲報文查看Sniffer軟件提供了強大的分析能力和解碼功能。如下圖所示?對于捕獲的報文提供了一個Expert專家分析系統(tǒng)進行分析?還有解碼選項及圖形和表格的統(tǒng)計信息。JitStatm1USJCT￡EW.U.ire.MJJitStatm1USJCT￡EW.U.ire.MJ3UNli-iE￡^5t￡DHL[lj'lltffi卯']〕■W27217IL10.11]蕓崩」I'0217([10.11105.詞J思也Ht[luLJIOS辱]12J\E^pgit人□如odE人伽trix人Hcd了礎如人府優(yōu)匚匸巾［粉人栄沛st*/圜凰燹］堅LiwmrLLOLILS網]IuwrijLiwmrLLOLILS網]Iuwrij裝縁曲怕I'tid11.1.05.?T1■WZ721?ILliJ.UIJS總」i■AC7217([IQLIlEE.bSj)能72牝tEluLJ105Ml1Lhxrt［關口人Rrnt匚匸ol臼st人寶血rt*/21專家分析專家分析系統(tǒng)系統(tǒng)專家分析專家分析捕獲報文的捕獲報文的捕獲報文的其他捕獲報文的其他系統(tǒng)系統(tǒng)圖形分析圖形分析統(tǒng)計信息統(tǒng)計信息專家分析專家分分析系統(tǒng)提供了一個只能的分析平臺?對網絡上的流量進行了一些分析對于分析出的診斷結果可以查看在線幫助獲得。在下圖中顯示出在網絡中WINS查詢失敗的次數及TCP重傳的次數統(tǒng)計等內容?可以方便了解網絡中高層協(xié)議出現故障的可能點。

對于某項統(tǒng)計分析可以通過用鼠標雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產生的原因。JIC.LiLfci：QLIC一舊_出I■止4IL13IffIIU.FL.II.II：JIC.LiLfci：QLIC一舊_出I■止4IL13IffIIU.FL.II.II：WJiJIMl.^.rMtkiHUHtLHi"nil=.臥mw/tsHiJ*尊n妙=4TM邑ME.../rFTlffM時=M時.皿WH皿似]一成:修愷UB2即.....LtD/fi坦n4141Jn■<rn~■員—HEiri-IlLin;jititaULklathBTx-ii*v1ri■■■hJiT]-I.||■E51n[:1.4Ip4fi'[吋luxhIfWmLETlmi■JmHLA-iirlAifwdi*1:;UlMiJsu*Ivlfwj"nZAiIjuJJu.lUliugIJ1UIFHrL0I-IP皿1=-.-ILLIT|>I>41P*|VJ.IEF.1iF-f'|fa-ii!電~嗅?|】皿鶯墜卩一.. —：■Zl"('JIB!tl!nU.1.1l^builBLElliIUI4」雙擊此記錄可以雙擊此記錄可以查看詳細信息查看詳細信息2-2報文捕獲解析解碼分析下圖是對捕獲報文進行解碼的顯示?通常分為三部分?目前大部分此類軟件結構都采用這種結構顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉?這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情?要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內容太多?這里不對協(xié)議進行過多講解?請參閱其他相關資料。對于MAC地址?Snffier軟件進行了頭部的替換?如00e0fc開頭的就替換成Huawei?這樣有利于了解網絡上各種相關設備的制造廠商信息。

iE2_capI1,3803Hh■■gi. ■■生EhumgiQULIUSXiTcorf/-,S：E-iEa=lUl!liT-￥E2P9Gfl2DH[inn1P9」曰」.毎|S口」EJtua?z0Oll05[2^.2￡￡.2-SE.25[1U.1-Lzalb'；JVW!Jb'L1器涔厲F■.._.血MA皿￡Mr)一iRP^EiETFETtftG；---日廿』iE2_capI1,3803Hh■■gi. ■■生EhumgiQULIUSXiTcorf/-,S：E-iEa=lUl!liT-￥E2P9Gfl2DH[inn1P9」曰」.毎|S口」EJtua?z0Oll05[2^.2￡￡.2-SE.25[1U.1-Lzalb'；JVW!Jb'L1器涔厲F■.._.血MA皿￡Mr)一iRP^EiETFETtftG；---日廿』站et^;.--1iImbrj-r：Jtrot32dLtype-OtitJOi.1L)Leli^thalhc.tiiy*!^rdWreM-ib甘Lm古IrmcTl-1'nftiflrcri-!I-Irl.-1■r■---dhTrl-rn00000600.MUUUR;aocooo2t-.00000030.Gn-n10al7LEc衛(wèi)皿Jo-two-u4AG&

uooll_

nJcr￡00uuu英氏」：i￡atK-oPBo\ExpertkDecode/.Vetri>AH&sfllahoJi,琳otocdC1回./.ZtafctkB/1A'. ?- jf■ *' fM fiRF<RlRFEraMe—-Ekni舶hltyiif-1["itrtjEQemeuPxcitzcoLtype-ClWtlO(IP)Leii'^tho￡haril7-5i—多曰口工mm*6mlkJOC-OUdOli.UUliUdLillj：COC0QO2a■)0000031.w\Fspart)\tecotlc/_Vistii;/,HoslTjkio^^otccdDin.^aatctics/ ￡cdc3ILIO.Ua--upuao1-10II--H-.uD.dn-QGGE.u□-uhiBn.HI-uQG4-bDoaflfiuooDn-1oo-d-uUQp-uLUaDOuffl_uo3cc9U_jF土￡11-_u1e09toOb_uQ9Gbh9DQflW改-MC--&fn-.u□1±1捕獲的捕獲的報文報文報文解報文解碼碼二進制二進制內容內容功能是按照過濾器設置的過濾規(guī)則進行數據的捕獲或顯示。在菜單上的位置分別為Capture—>DefineFilter和Display—>DefineFilter。過濾器可以根據物理地址或IP地址和協(xié)議選擇進行組合篩選。統(tǒng)計分析對于Matrix?HostTable?PortocolDist.Statistics等提供了豐富的按照地址?協(xié)議等內容做了豐富的組合統(tǒng)計?比較簡單?可以通過操作很快掌握這里就不再詳細介紹了。2.4設置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、 鏈路層捕獲?按源MAC和目的MAC地址進行捕獲?輸入方式為十六進制連續(xù)輸入?如:00E0FC123456o2-3報文捕獲解析2、 IP層捕獲?按源IP和目的IP進行捕獲。輸入方式為點間隔方式?如：。如果選擇IP層捕獲條件則ARP等報文將被過濾掉。任意捕任意捕緩沖區(qū)緩沖區(qū)協(xié)議捕協(xié)議捕編輯編輯獲條件獲條件獲編輯獲編輯編輯編輯DM%heroI上如weIB^ffwP2121中凱gFo：：□"舛，hlUr-^恒―r恥IHu2:sr-trbAT虹。ex瞄IXI*41由.Etddress|]ftrdiorj|Dikfc?4,^4era|上如.g]|B^ffffl-1E^EJT1=1IFJ^EEI：tU#i町亍對5九」Li?l-iut.昌母2Ji'-aEb/fclT!.sr<rb1"iibr-hlhal皿TJ.1tr-?5基本捕獲條件基本捕獲條件鏈路層捕獲鏈路層捕獲IPIP層捕獲層捕獲鏈路層捕獲鏈路層捕獲數據流數據流地址條件地址條件方向方向高級捕獲條件在“Advance”頁面下?你可以編輯你的協(xié)議捕獲條件?如圖：^■inrr-M-y|TK■=f孑岫七 州|g.輕醉-|Trrro-—rrr期WIlELKiTfflFIGH職-IT*?A.ek?i少？瞞頊rl13^HlffrnilS3CMError州Jtiil■心?.inrT-u-y|1.J4t*=F。蛀構W "| -jMlW!lELKiIGflI耳1TFZL如M斗口（心球-玨rrar±JJSsdiiij;fur此匕亡J：七匚.—CJ.2Ke1三r]"'，阿l 刈^jNorni^l 4]網關trier匸Hsiz^E勸丁■心 T選擇要捕選擇要捕獲的協(xié)議獲的協(xié)議錯誤幀是錯誤幀是否捕獲否捕獲捕獲幀長捕獲幀長度條件度條件保存過濾保存過濾規(guī)則條件規(guī)則條件高級捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件?如果什么都不選?則表示忽略該條件?捕獲所有協(xié)議。在捕獲幀長度條件下?你可以捕獲?等于、小于、大于某個值的報文。2-4報文捕獲解析在錯誤幀是否捕獲欄?你可以選擇當網絡上有如下錯誤時是否捕獲。在保存過濾規(guī)則條件按鈕“Profiles"?你可以將你當前設置的過濾規(guī)則?進行保存?在捕獲主面板中?你可以選擇你保存的捕獲條件。任意捕獲條件在DataPattern下?你可以編輯任意捕獲條件?如下圖：添加關系添加關系模板間關模板間關節(jié)點節(jié)點添加排除添加排除系控制系控制模板編輯模板編輯增加模板增加模板用這種方法可以實現復雜的報文過濾?但很多時候是得不償失?有時截獲的報文本就不多~還不如自己看看來得快。2-5報文放送第3章報文放送3.1編輯報文發(fā)送Sniffer軟件報文發(fā)送功能就比較弱?如下是發(fā)送的主面板圖：

發(fā)送報發(fā)送報文編輯文編輯發(fā)送前?你需要先編輯報文發(fā)送的內容。點擊發(fā)送報文編輯按鈕?？傻玫饺缦碌膱笪木庉嫶翱?莒傾MTI■'XofDitvrirktUJIlQl 1" 莒傾MTI■'XofDitvrirktUJIlQl 1" 1(1 n4 * i-r Fi4 UH rd taD31O：. US： Oij 0€ EL OD 01 OO ^0 TC!CD2D： I1G an !J0 tl DO ao CU 也 mC3JQ： "Q g 30 叫 CD g g JQ 3^S-iiiedL￡oPlitii-Lfl?51y府Delay[L NalliSUFFERIf^p 1■血心T「&廠XafDitvcrk2?AutDmLlTOC\o"1-5"\h\z#111命LIP1(1 7行rpFHFlrrlMIjll；|1)6III119 01I&310：.g OCi 0￡ OD 01 00 iO la OD LL OE 8 [I?！籛 I cd2D：iig an an ci oo ao 口亠 Jb w 匚“ aa no jli ou co m i-_■=-A.C3-3Q：OO 0C 30 OD OG OO DQ 3^ 41 1-_■=-A.IfkJRsI'll發(fā)送間隔發(fā)送間隔指定報文指定報文長度長度發(fā)送模式發(fā)送模式發(fā)送內容發(fā)送內容首先要指定數據幀發(fā)送的長度?然后從鏈路層開始?一個一個將報文填充完成?如果是NetXray支持可以解析的協(xié)議?從"Decode”頁面中?可看見解析后的直觀表示。3-1報文放送3.2捕獲編輯報文發(fā)送

|Ei6tfAd*?sFrameALT+F3StatusIScnji&e-Ad4resaDecodeFindff&wt.FrsffifiGoioErqme.GetoFirstFrweG*io1CurrfiniFf—Gt>1qMarkedFry曾HuaweiOwllX3.rcon7BFEHuawei00|Ei6tfAd*?sFrameALT+F3StatusIScnji&e-Ad4resaDecodeFindff&wt.FrsffifiGoioErqme.GetoFirstFrweG*io1CurrfiniFf—Gt>1qMarkedFry曾HuaweiOwllX3.rcon7BFEHuawei0011lJ文后的報文查看固口:71"HimFilttrSe-leetFilter￡4oonDonMewFil：<rsdtt'jndG#CurrentSufferCui_rent選中某個捕獲的報文~用鼠標右鍵激活菜單~選擇"SendCurrentPacket”?這時你就會發(fā)現?該報文的內容已經被原封不動的送到“發(fā)送編輯窗口”中了。這時?你在修修改改?就比你全部填充報文省事多了。發(fā)送模式有兩種:連續(xù)發(fā)送和定量發(fā)送?？梢栽O置發(fā)送間隔?如果為0?則以最快的速度進行發(fā)送。3-2網絡監(jiān)視功能第4章網絡監(jiān)視功能網絡監(jiān)視功能能夠時刻監(jiān)視網絡統(tǒng)計?網絡上資源的利用率?并能夠監(jiān)視網絡流量的異常狀況?這里只介紹一下Dashbord和ART?其他功能可以參看在線幫助?或直接使用即可?比較簡單。

4.1DashbordDashbord可以監(jiān)控網絡的利用率?流量及錯誤報文等內容。通過應用軟件可以清楚看到此功能。統(tǒng)計平均數據統(tǒng)計平均數據或總和或總和連續(xù)的統(tǒng)計圖連續(xù)的統(tǒng)計圖為統(tǒng)計圖選擇為統(tǒng)計圖選擇統(tǒng)計指標統(tǒng)計指標4.2ApplicationResponseTime(ART)ApplicationResponseTime(ART)是可以監(jiān)視TCP/UDP應用層程序在客戶端和服務器響應時間?如HTTP,FTP,DNS等應用。對與TCP/UDP響應時間的計算方法如下TCPForeachsocket,ARTstoresthesequencenumbersforpacketssentbytheclientandwaitsforthecorrespondingACKpacketsfromtheserver.Itthenmeasuresthetime4-1網絡監(jiān)視功能differencebetweenthepacketwiththestoredsequencenumberandthepacketwiththeACKtoarriveattheresponsetime.UDPForeachsocket,ARTmeasuresthetimebetweenpacketsgoingfromaclienttoaserverandthenextpacketgoingfromtheservertotheclient.此三個按鈕可以此三個按鈕可以選擇按圖形或表選擇按圖形或表監(jiān)控參數監(jiān)控參數格方式顯示格方式顯示屬性按鈕主要設屬性按鈕主要設置監(jiān)控參數如要置監(jiān)控參數如要監(jiān)控哪種應用等監(jiān)控哪種應用等監(jiān)控的監(jiān)控的應用應用4-2數據報文解碼詳解第5章數據報文解碼詳解本章主要對:數據報文分層、以太報文結構、IP協(xié)議、ARP協(xié)議、PPPOE協(xié)議、Radius協(xié)議等的解碼分析做了簡單的描述?目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過解碼分析對協(xié)議進一步了解。對其其他協(xié)議讀者可以通過協(xié)議文檔和Sniffer捕獲的報文對比分析。5.1數據報文分層如下圖所示?對于四層網絡結構?其不同層次完成不通功能。每一層次有眾多協(xié)議組成。TelnetFTPTelnetFTP和和e-maile~mai1等等應用層應用層TCPTCP和和UDPUDP傳輸層傳輸層IPICMPIGMPIPICMPIGMP網絡層網絡層設備驅動程序及接口卡設備驅動程序及接口卡鏈路層鏈路層□LCEthjeltTpa*Q8D0P bytesIPD-：1065. ..2G&]S-[LO65.64143]IEN-L9EIDT3裙?擊:「好丄卷.岳丄舗.IPT聰MZIE-D= Dabagre.?,10Sbyter(o￡L?3)■[KS-SHE ：-?ti5MBM5F0xit>=扁11盤…Me；IJ,5Ij'-TrRr'KFE瓦1"IP'：iF-；.t如上圖所示在Sniffer的解碼表中分別對每一個層次協(xié)議進行解碼分析。鏈路層對應“DLC”，網絡層對應“IP”，傳輸層對應“UDP”，應用層對對應的是“NETB”等高層協(xié)議。Sniffer可以針對眾多協(xié)議進行詳細結構化解碼分析。并利用樹形結構良好的表現出來。5.2以太報文結構Ethernetll以太網幀結構

Ethernet_IIEthernet_IIDMACDMACSMACSMACTypeTypeDATA/PADDATA/PADFCSFCS5-1數據報文解碼詳解Ethernet」I以太網幀類型報文結構為：目的MAC地址,6bytes,,源MAC地址，，6bytes,上層協(xié)議類型，2bytes,,數據字段,46-1500bytes),校驗,4bytes,。SnifferSniffer自動自動添加時間戳添加時間戳丄昭*, -1jriLi：25DTPrr-?IXLCgE* Jbtc -zzict狀丄白FE丄昭*, -1jriLi：25DTPrr-?IXLCgE* Jbtc -zzict狀丄白FE：由4廣勺皿匚 =匸t=學i匚□Hi-svsi)QL,1t-Jmc w(tFj'：-I~l【?r-"■■ 1-IJINIfl1-I■III->：(l!yI3LCf"Srif. 1□iiI戶釦TCI?■MMs-a；+&r_F=?FC6T-16.TS-4J?-II:Ib.J h?：：1T7^4釁E—Em咲■我g⑵二XE3-O7UT-17?￡JTVn—u-rij—nfTT=SMr-i.iR-Uin[htUr-Bl：::fimwi"irgUUUEIJ^L-=-叫頃雙,uDOCOD3ii：:TDOCOU35C:I：ncirniihr■--i?0崩Sw11fellfl-=lI汩vtM由ui22指訂MH巧72前勇"的fii-%srBi05陌g代*■rth%t時乂dii試“沽-2MM赤1CZumLrJJfb5■?f.Fhbp-?rrrzctt-：-宣:a(er-iJiAWrwnnrnn"i；r9ULU[|；ULDOCCftDii：:DOCO[J35C:norniifirIn頁F4.yL-lL!innrnn"i；r9ULU[|；ULDOCCftDii：:DOCO[J35C:norniifirIn頁F4.yL-lL!i---!-Lc-u-■ir」■-■1=』TrtrCTIY-^rpF—lf.1-Jatro1Dn1MBJ@-F.B^1L-MM-E.a-4會21毛B-b3.-:Q$,.?/9—rr-B|_4Hrr■>ii-jI-f'I"3094FI7,；”i?_-rI-Iill[[1R7hi-:-:\1-S-：1'I-r-ies-TiaE-ci?-ta-!CL=-l心17pc^aajn(efj'?1.J111IU34JWII??1.L..!U；!J"Ef/u/?m,”刼gMF"-16-15rjn—ft=二—二呻二l>,in[fttw“，「：?—w目的目的MACMAC地址地址源源MACMAC地地上層協(xié)議上層協(xié)議址址類型類型Sniffer會在捕獲報文的時候自動記錄捕獲的時間?在解碼顯示時顯示出來?在分析問題時提供了很好的時間記錄。源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來?方便定位問題?例如網絡上2臺設備IP地址設置沖突?可以通過解碼翻譯出廠商信息方便的將故障設備找到?如00e0fc為華為?010042為Cisco等等。如果需要查看詳細的MAC地址用鼠標在解碼框中點擊此MAC地址?在下面的表格中會突出顯示該地址的16進制編碼。

IP網絡來說Ethertype字段承載的時上層協(xié)議的類型主要包括0x800為IP協(xié)議?0x806為ARP協(xié)議。IEEE802.3以太網報文結構DSAPDSAPSSAPSSAPControlControl8bit8bit8/16bit8bit8bit8/16bitLLCLLC子層子層DMACDMACSMACSMACLengthLengthLLCLLCDATA/FCSDATA/FCSIEEE802.3IEEE802.3幀結構幀結構MACMAC子層子層當盟既狀部會蠻2DlnmmrJEIrm^Q5-當盟既狀部會蠻2DlnmmrJEIrm^Q5-9-FL1 -it-L.Z.13:dbdHliy. 聲].imh』，良”4』be?)D=stiDatLD3-lulticsst01HOCEDOOHCO.Dride-ilrzupiddrSGjiiii_；= -St-s-LiouL-j-^uo￡02.3ImqLh-29—ZICHeader DZi.? "42.TSiP7GBit-3C(IndiwiduxlLddress]?■-4w「cSlit■up(to^na^d)riatiuTibcredErDieITT數據報文解碼詳解上圖為IEEE802.3SNAP幀結構?與Ethernetll不通點是目的和源地址后面的字段代表的不是上層協(xié)議類型而是報文長度。并多了LLC子層。5.3IP協(xié)議IP報文結構為IP協(xié)議頭，載荷?其中對IP協(xié)議頭部的分析?時分析IP報文的主要內容之一?關于IP報文詳細信息請參考相關資料。這里給出了IP協(xié)議頭部的一個結構。版本:4——IPv4首部長度:單位為4字節(jié)?最大60字節(jié)IP優(yōu)先級字段TOS:總長度:單位字節(jié)?最大65535字節(jié)標識：IP報文標識字段標志：占3比特?只用到低位的兩個比特MF,MoreFragment,MF=1?后面還有分片的數據包MF=0?分片數據包的最后一個DF,Don'tFragment,DF=1-不允許分片DF=0?允許分片段偏移:分片后的分組在原分組中的相對位置?總共13比特?單位為8字節(jié)壽命:TTL,TimeToLive,丟棄TTL=0的報文協(xié)議:攜帶的是何種協(xié)議報文1:ICMP6:TCP17:UDP89:OSPF頭部檢驗和:對IP協(xié)議首部的校驗和源IP地址:IP報文的源地址目的IP地址:IP報文的目的地址5-3數據報文解碼詳解 IPKssder IPKssder IFIFVstss-oil*4headsr -211tip51asTsr.t-eof ■0C1IFooa工ic-utineIF..0=hl；f'nr]tisr;IP0—n^t-rh=JtKtci1ighi：1"IFDHnoi'iiis1i'f=iLabilit：rIP..Q■SCTbif triinzpertproLcco1IP0■匚應1:11 juz：L-_Dty-；esLioiiIFToLdiLehJlhKLbEiIFInenr，[i-mtior.S>3ZS?7IFF丄冃宮旨=-JKIF0-—in號ytTagT&eri-tIP.白VlacttregikE-nrIFFTHLmeiLr_rE_-r*1-?'1IFIjftt'-Cfiive■■■4 =IFProtoco1-17(TILPiIFEzclf--h^-rP.'-iLn=i：t)IPtaiiTC?3ddrelei=[172Lu1?l：iIPtic?￡i巳dir耳壓竺r[1?N_L”.20.[IF￡jptL口b■冬IF上圖為Sniffer對IP協(xié)議首部的解碼分析結構?和IP首部各個字段相對應?并給出了各個字段值所表示含義的英文解釋。如上圖報文協(xié)議,Protocol,字段的編碼為0x11?通過Sniffer解碼分析轉換為十進制的17?代表UDP協(xié)議。其他字段的解碼含義可以與此類似?只要對協(xié)議理解的比較清楚對解碼內容的理解將會變的很容易。5.4ARP協(xié)議以下為ARP報文結構硬件莢型協(xié)議類型硬件長度 協(xié)議長度?操作請求招回答2發(fā)送拈3（例如，禰*車件地址太岡是6字節(jié)）竇送站博議地址〔例如對I唱停如目標應件地址（例如，紀以太麗是芹節(jié)）目標協(xié)釵地址（劌如，瀏嗟偉節(jié)）ARP分組具有如下的一些字段:5-4數據報文解碼詳解HTYPE,硬件類型，。這是一個16比特字段?用來定義運行ARP的網絡的類型。每一個局域網基于其類型被指派給一個整數。例如?以太網是類型1。ARP可使用在任何網絡上。PTYPE,協(xié)議類型，。這是一個16比特字段?用來定義協(xié)議的類型。例如?對IPv4協(xié)議?這個字段的值是0800。ARP可用于任何高層協(xié)議。HLEN,硬件長度，。這是一個8比特字段?用來定義以字節(jié)為單位的物理地址的長度。例如?對以太網這個值是6。PLEN，協(xié)議長度，。這是一個8比特字段?用來定義以字節(jié)為單位的邏輯地址的長度。例如?對IPv4協(xié)議這個值是4。OPER，操作，。這是一個16比特字段?用來定義分組的類型。已定義了兩種類型:ARP請求，1，?ARP回答，2，。SHA，發(fā)送站硬件地址，。這是一個可變長度字段?用來定義發(fā)送站的物理地址的長度。例如?對以太網這個字段是6字節(jié)長。SPA，發(fā)送站協(xié)議地址，。這是一個可變長度字段?用來定義發(fā)送站的邏輯，例如?IP，地址的長度。對于IP協(xié)議?這個字段是4字節(jié)長。THA，目標硬件地址，。這是一個可變長度字段?用來定義目標的物理地址的長度。例如?對以太網這個字段是6字節(jié)長。對于ARP請求報文?這個字段是全0?因為發(fā)送站不知道目標的物理地址。TPA，目標協(xié)議地址，。這是一個可變長度字段?用來定義目標的邏輯地址，例如?IP地址，的長度。對于IPv4協(xié)議?這個字段是4字節(jié)長。疽DECkSDLC；Q盅，DEC 丁g疽DECkSDLC；Q盅，DEC 丁g□鶴:?_3砧F?』鶴了■腳NF_JASP3海菖305戰(zhàn)aDEcnuE晝uhlilrI!MnMnnnn'-,JC'LcIIIII*DlDT-L-FFFFFFEFH衛(wèi)卩衛(wèi)?.MA—HA—AFreuna17am^sd.at14:2403.'3-504frameDeatinetionSdupg后-zjtjti3nHur，3091105=StationZircon7BFE34工州時等HF>ARPRaRPIr-zmeHmrdvm照由g=I(lfiMtiKthern^ttProtocoltype=0C001FJLengthofhardwareaddTess-6bytesLenqth5protocoJ■addTsae=bvtssOpcc-.lir-(ARFi=ply)知nr!不尸'三hw如京Eadrlre^s=P0HA/17B?ESdEendsif-'iprotocoLaddress=|1011.104153}■T&irg&tlurduinrffaddrSss■ODKHFCOQ11B5號emkocolaridress=【"J11107Iincilrun'B'.ationTin3asi?EiFE；j4■,SnurcE=StaticjnHuauE-i0fill05Etheitype=08。中(百做)Windirije-typt1(lOHhEthc-jnst)PcoBe丄type=0SCO(IF：Lengthiothardwareaddress=tbytesL^rjjt].jipi」L口二口】<vddzsi；hylcsGpeocteL，.ARPrequest}'^ndei'shardwareaddress - 0l.iEl'iFCOO]1C1￡'->Tato_yiil - [1Q11kC7254}Targetharduar?sddr^ss - 0DCGOQOOCOQOTargetproxoccladdiEsa = [IB11丄回15?)5-5數據報文解碼詳解上面為通過Sniffer解碼的ARP請求和應答報文的結構。5.5PPP0E協(xié)議PPP0E簡介簡單來說我們可能把PPP0E報文分成兩大塊?一大塊是PPP0E的數據報頭?另一塊則是PPP0E的凈載荷，數據域,?對于PPP0E報文數據域中的內容會隨著會話過程的進行而不斷改變。下圖為PPP0E的報文的格式：01234557890123.4567890I23^5670901暇本類型會話1H..V.._J峠度域凈載荷,數據報文最開始的4位為版本域?協(xié)議中給出了明確的規(guī)定?這個域的內容填充OxOlo,緊接在版本域后的4位是類型域?協(xié)議中同樣規(guī)定?這個域的內容填充為OxOlo,代碼域占用1個字節(jié)?對于PPPOE的不同階段這個域內的內容也是不一樣的。,會話ID點用2個字節(jié)?當訪問集中器還未分配唯一的會話ID給用戶主機的話?則該域內的內容必須填充為0x0000旦主機獲取了會話ID后?那么在后續(xù)的所有報文中該域必須填充那個唯一的會話ID值。,長度域為2個字節(jié)?用來指示PPPOE數據報文中凈載荷的長度。,數據域?有時也稱之為凈載荷域?在PPPOE的不同階段該域內的數據內容會有很大的不同。在PPPOE的發(fā)現階段時?該域內會填充一些Tag,標記,，而在PPPOE的會話階段?該域則攜帶的是PPP的報文。5-6數據報文解碼詳解ISN8850ISN8850172.16.19.1/19172.16.19.1/19RadiusRadius66PPPOEPPPOE捕獲報文測試用例圖如圖所示?RadiusServerIP地址為172.16.20.76。PPPOE用戶Radius報文交互過程分析如下。Eus^DiOOOOCii]IlgriEmFwil口口皿mjareioooooo31匸「莉*口】3ItnuavEiOQOOOflMircrra_5FCE~D^]i-ir.rri：iniiririn^vAiOQOOaflHircmTihCL111unjBveioooooammooocao，1匚匚山_花優(yōu)111Eus^DiOOOOCii]IlgriEmFwil口口皿mjareioooooo31匸「莉*口】3ItnuavEiOQOOOflMircrra_5FCE~D^]i-ir.rri：iniiririn^vAiOQOOaflHircmTihCL111unjBveioooooammooocao，1匚匚山_花優(yōu)111Hi匸匚*ETWihjBVBiaaooooWee&FTE--.^LJJLISJLIIJMiio-DfcL'5feTCD,3JlTjBreiiOOiJiJiJiJ掃笠mJTE6S13L]：i.1010milEKngEDCUgHgEUUnnnnELZ-DOCI6FXEJ?HHTEmUliIlliILrmi6r[?：：D3BgeiTBiOCdlOCDMlteb取FPEggiMdOM皿里必GFDC仍MgSEDEELZ-DOT^FDCP?UiBreidiJUODDBflEreiOiIQQdDEirr^sEDCD?H^prriinnniuiIlec￡X>6EDCD9S^reiOiiaOijD1127C2OM?&F[X1JU[LD.IJ"255JFLC.IG.Jfl251]sremP?fc￡F=F_J[W-F壬『壬冊p=?□UlF"KE=5AGETs'PE-濕尸rF=.=iGF-n!?F二氾舊be^IiGEnee■CnnriauH^CnnrigLi-Cnntiqur"CnriEigutBig-rrCQl.Ligr.triCoDfigubDCnritighiB1CFJXIFW1CFli2FICPI，LE-CCT.natET.IEroins匸qILLL^juury匸mgr唱CcnfiTJrpCcnfiTJri?Ccd￡ig-irc-Lijj-JruCciizi>TJt&二FCFzptrZP■■:PZP.：.F1FCFZF^：PZF仰miPPPCtFPFCEPFF[TE1W涇呉P?E￥F: _ErTHjliir土_iiriLruwELi/t.ITIEE1]5ITfrEj-nrIJIFQmj丸IIFFFOE■p匚F成陌疙fZMJr而::UgOHT■&出奨耳 。四＞實月止10.￡上圖為PPPOE從發(fā)現階段到PPPLCP協(xié)商?認證IPCP協(xié)商階段和PPPOE會話階段交互過程。PPPOE發(fā)現階段?PADI報文?Sniffer解碼結構如下所示。5-7數據報文解碼詳解-|?=1罵Srrc占，L_J^LZe；口為Z'LC也匸DDC“FEFOE：-?gE.3?FPOE■jiJEWli_JPPFOEJFPPOE?PPPOEJFPPOE-JFPK'E」PPPOE■JmFBCE2)FFPOE□ppbohJFFME?=1^Srrc占，L_JDL：4n‘-'LCML，dlcPPPCEl-.、FFra?、PPKJE_J??BOE?況心.%PPBOEyFPFCE-75FPPOE~_)FPKjE:成「FE?,JPPK：E}FFPOE?：，北此二PPBOHpffoeJFPEY)E?——DECfioadcr Fraiia1srrivedat1W42:134172.franebi-eeis&0COO□sstisiBtic^n■□J?OA.D2-A!ZrrFFFFTTjFtFFFTHrciad-zasttScwb =S函匕皿詠通FDCD9EthOTtyrc ■BftG-3FPFoEHeader Et.hsrn=ilTyg，■(Cij<ea63)"Diacuute-iymtwg*Version.~1Type-Iftde=FPPoEj^cDi：=cqvsj.-pIcl>traticn(PillI)packstSessinaID-DF4±ytD=id丄出H與電h-Ll Tag■&InUlsdowb坦Stag's T袒Ty挨=出oatE口丄日To.glBn.gr.Ji-BTag電以丄U!=-tJDhOC?bJ-DCD9(HexJT卜「p?—Sesrvii*1*'7agLsnytii-DTmmValus-ITHEE[ItiWnknawnes:dEdate]3D'floadcTFrajia1am^@dat1242:134172.frameei-zeis&0COOI'lsstisiBtiasi■0^OSD"_A!^TFFFFFIjT'FFFFTSrciad-T.H：ttSowxtfi =5tatroaiKLTCDUitFDCDSE+hertypc #関65PPEbSHeader Eth^xfL-=iiTyp=-10^E9t9J^Disccj^e-iyKYsrsion.~1fyp=-1Ctda=FF?oEActiveDi：ECO^3J-yInitlaiticn(falsi)packmtSess-ion.■DFaLfL□如二白的th-L4 Tag'sTnDlboz)^ersrSte^e TagType=?-Hcst.CfiiiqTo.gLength-6Ta導^a-u=?UDHOCV^DCD^(H-xJL*mTyp?"trwE—_羯111廣7agLejiytli-0TagValus-ITULL[2tiIfnkna^nt?i?trsnEiste.1PPPOEPPPOE發(fā)現階段發(fā)現階段PPPOEPPPOEPADIPADI報文報文PPPOEPPPOETLVTLV報文結構報文結構PPPOEPPPOE發(fā)起端發(fā)起端MACMAC地址地址以太網填以太網填充字節(jié)充字節(jié)PPPOE會話階段?Sniffer解碼結構如下所示。ccccccSCDLL'Lr'LULDLr'LpQE如amcmppFraas24arriveda.tLie=stimsri.-t.ScurceEtliiEr桐124244.r?"!.frai^至u=statlqhHuaueiQOi'UDi-z；tetiDTi2{ziTcam.bFI'CDS-B睥PPPoEHeaderJJETPOE?_，FFTQE□PPPOE8FPP0EFPFQE」河滅9PPPOE□FPPOE_'iFFPOI；蒙]PETDpppEthErnetTyp?^(5kBS64')-FFF 盡丄onStags"yers；ion=1Tvpe■1QtxEs=0時口。ID="33GPay1ofidlengtil-12 Paylo*d.InSeEsi-on占目 --E'oint—bo—PotntPiotccolEjFFFProtocol=[1D21(InternetFrotacoL網).?PPP- TP1＞口01010254]S-[1G,1Q10.2jLEN-J0ID-G0123肯ICHF融ULCgDLCDLC3皿匚。DL￡□DLC■■□DLCTpppoe；EcKis- DLC-Fr*Jte24arrivedat124244.C71.fT*nesi3DsstiiratiDii=StationHuatnsiOQOiOOOSource■ijtatiaiiHjTccm.bFLiCD3E比我tVH；-B354PPPoZHeaderJJetpoe,一§FFTQE□PPPOE8FPP0EFPFQE」PPPCjJ9PPPOE飛PPPOE_'iFFPOI；蒙]PETDpppEthErnetTyp?^(5kBS64')-FFF5目3盡丄onStags"yers；ion=1Tvpe■1QtxEs=0時口。ID="33GPay1ofidlengtil-12 Paylo*d.InSeEsi-on占目 --E'oint—bo—PotntPiotccolEjFFFProtocol=[1D21(InternetFrotacoL網).?PPP- TPD"[dO1010254]S-[1GM10.2jLENT口ID-G0123PPPOEPPPOE會話會話階段階段PPPOEPPPOE協(xié)議協(xié)議頭頭6bytes6bytesPPPOEPPPOESessionIDSessionID號號PPPPPP協(xié)議頭協(xié)議頭2bytes2bytes承載的承載的IPIP協(xié)議協(xié)議報文報文5-8數據報文解碼詳解5.6Radius協(xié)議Radius報文簡介標準Radius協(xié)議包結構AWL咔、5-＞V千6 Atlribul* 圖9Radius包格式Code:包類型，1字節(jié)，指示RADIUS包的類型。6 Atlribul* 圖9Radius包格式Code:包類型，1字節(jié)，指示RADIUS包的類型。Access-request認證請求Access-accept認證響應Access-reject認證拒絕Accounting-request計費請求Accounting-response計費響應11Access-challenge認證挑戰(zhàn)Identifier:包標識，1字節(jié)?取值范圍為0,255,用于匹配請求包和響應包?同一組請求包和響應包的Identifier應相同。Length:包長度,2字節(jié)，整個包中所有域的長度。Authenticator:16字節(jié)長，用于驗證RADIUS服務器傳回來的請求以及密碼隱藏算1 C ZJith.€ifitl* LeUftb2.mAuthe-Btien.t?r4法上。該驗證字分為兩種：1、 請求驗證字 RequestAuthenticator用在請求報文中,必須為全局唯一的隨機值。2、 響應驗證字 ResponseAuthenticator用在響應報文中?用于鑒別響應報文的合法性。響應驗證字,MD5（Code+ID+Length+請求驗證字+Attributes+Key）Attributes:屬性5-9數據報文解碼詳解圖10屬性格式屬性域是TLV結構編碼。ISN8850ISN8850■理，172.16.19.1/19172.16.19.1/19RadiusRadius66PPPOEPPPOE測試用例圖

下圖為用戶端PPP0E?RadiusServer和BAS父互的認證上線和下線的過程。防■jjaijreAdding |DrjiAaiiasi |jumrar^11innnn1234￡[I7S17I'」1]|17lIf1?1]L172Lh20J6]11?2.LiId1|LL20?牡："：W：0?&：,172U1^1]1P1721?2U[J1j116.20.?b1白.円，B1DI1IS;Aocee&-Ete(nfl^&tId■=■-?￡icc^sE,-Ac-^ptId-2!^uL7^. 巧一矽mquesEIcAuI'JS2tu:bLiiiLULijpjtLteId-2.6曲，LITE2Li_ajlUjt 1C-27EAbLf.上—urn二m.LH-'ggu11-BAS請求RadiusServer認證報文。報文1:報文2:RadiusServer回應BAS認證通過報文。報文3:BAS計費請求報文。報文4:RadiusServer計費響應報文。報文5:BAS計費結束報文。報文6:RadiusServer計費結束響應報文。從中可以看出對于報文請求和響應是通過IP地址+Radius協(xié)議域中ID號進行配對識別的。5-10數據報文解碼詳解?藥_3_5_3二_3_3次J%_f_l55LJ#_JT^?ITjusirc二、 i:上―卩 二?藥_3_5_3二_3_3次J%_f_l55LJ#_JT^?ITjusirc二、 i:上―卩 二TLTFTWl>4imc，1匸—a.=史M幫匚海于止 -im*1l"iT_'SAilli^rIIGm-::或"kF*-W4HDAS^stnRm?哭認證.-蹄—J「 R"，-」?海忙攣思心蠟柢Mni^ryVI此!戲住

表歩fl四昂也幵了誦4矽

林蘆心"1六卡越州

匸__再在卜'面膜版申萩爵__/LhjITS_r□■_jLa*s工GIT吁IliDIU'j：JiLkwuuit-tzituteE7M吉疝姑-T偉解析詞屬9

典工』宜N槌F聞4亶

A』匚諼杵晩樣,如叱屋俚

可成心5質碼齡中話餌|衰用戶用zifi諷 一丿TOC\o"1-5"\h\z110""-1]-3'0: I"-a Lil JUIJM U1 i .□ 3- _J - JL .■: 17 :. -J _L=r50050&10: u■ L? Hini — - i± ■> 11i ii j? hi - I1 ! 11/UUEIGUW ?_ -■ ■:Js_ ，Fi ??; - 7. te ■■'d ii -'. i- .■ -L:unto心：iI-I!.■■.'!fIn宀.-4I-.MJJ-n。「ll”:HIi-『QDDD>D9bfi：IJ屬單上圖顯示了BAS發(fā)起的Radius認證請求,Code,l,報文的結構。Radius報文是承載在UPD協(xié)議之上的?這里我沒不關注上層報文的結構。

下圖為PPPOECHAP認證過程的Radius認證請求報文和PPPOE中CHAP認證的Challenge報文。通過比較可以方便看出BAS發(fā)出的Challenge值為u26fe8768341de68a72al276771elclca^與PPPOE中CHAP認證過程中BAS發(fā)給PPPOE用戶的Challenge值是一致的。k/.lifiJSb'.~^Hi.Ll：:J'-.'irtriri：tsitc..ovEii￡'iUSUzsr-tJame-'tss1：'邕 二Idet.trf=L尊正ZHiF-Re;spoi-=- 11-I'5yllii：.EADLUSC5IiT--ChjlL=i-.gc?I'gqaAt'EAD：U5itr扌丄:_=T*?■.F-jried)SEADIV^^sni^J-fxol-uLul-I.STL)RADIUS 訝一丄嘰1]'JS心：?一「，WL」〔，7=EW35000020.GOOOQQ30；00000040OOOOOOSO:000000￡0'ooooanzo00000080.(JQ000090uQ.t3r-ib_b-b338?laH-d.14077Dn-0dam-?i4

￡135000020.GOOOQQ30；00000040OOOOOOSO:000000￡0'ooooanzo00000080.(JQ000090uQ.t3r-ib_b-b338?laH-d.14077Dn-0dam-?i4

￡17uo-uLie

7n.Un-ftJ-uId70B'9-IbIu-i-o.131Jo21ECLcl-8o57r-d6I15d^a-n.I31.1564_■-si—ftRADIUSArtr-ibutsafollowLllI'TUSJisi--^anie="tmm"gBADIUG，二H4PIdEtJtiilex=LCHiF-砧*口呻白一■恥I0V<idHADLUS: >"fctlM-?lrI'gqjsAfi-暮EkDIiJ55t?rvicsi-Tjrpa：*2{Fwiffid)■3EADIVSruni^J-fiul-ULul-L?專衛(wèi)莊口丹HAE-lP-ftoj.t-ess=口"IE..LH.1]，P.，i'7：JS ，汨L』1—r= ES?'1」bF」bF&7-"LcTn.￡.!L&I匚■/6--Ldld.JSISrJ.Un-1H匚lF?■_0-r言41.1c-Bd-o?廠-131.14_■-3IJ1CJ8d574M_dc6Jr￡I:9n7dHVOE1B-QDImLJ1--bII1-hbh-ioc-u^1I11I￡HuobIin"6b-Jo.dhrqllior:7s2Do*L-z-71-E-.i0?bFrJ1&L一1-io-&EJ9?H--7-■t-To7ro￡1}--L-K.d2?-uTn-beu37da?4±b!-=7-y1-5.7.『：'!-a『￡m97It?J-a4B^U7^-4d4Duo1T1I_^r-fl-2uu，『_1■>4□1-0.1-n-1-d?o3^??.ah-33H匚a匚.2"E點4&66XOQ7「00000020.1：100000030;PV00000040:：,￡DOOOOOSO:1.OOOO0O&CI'如M血血KW■00000030.CTI：fBASBAS發(fā)給發(fā)給RadiusRadius的的CHAP-ChallengeCHAP-Challenge屬性屬性5-11數據報文解碼詳解

BE-S3BE日EEtiEcccccccccA-?維卄此頌站BE-S3BE日EEtiEcccccccccA-?維卄此頌站APipJ'lF壯狂匚通Header8如-3(CbaJlE耳#日皿虹吋P虹虹吐尤巧仍-2LBOESHOTEQ