Ominpeek網(wǎng)絡(luò)抓包工具、網(wǎng)絡(luò)協(xié)議分析工具介紹

qq桌面手機版v5.4.0 官方正式版

• 類型：桌面主題大�。�6.7M語言：中文 評分：5.5
• 標(biāo)簽：

立即下載

WildPackets OmniPeek 4.1雖然這版本的早已過時了，但對于我們新手來說，足矣！而且它體積也比最新版的也小了很多。

下載完成之后，安裝過程就不介紹了，對于windows下的軟件安裝一般一路NEXT都能成功安裝。安裝完成后打開軟件。下面以就是打開后的主界面。

網(wǎng)絡(luò)統(tǒng)計窗口

界面的左下角的網(wǎng)絡(luò)統(tǒng)計窗口有三個刻度盤與相應(yīng)的數(shù)字顯示。

* 　　網(wǎng)絡(luò)使用率（用百分比的方式表示）

* 　　數(shù)據(jù)流量（每秒數(shù)據(jù)包）

* 　　誤差率（每秒的總誤差）

下表顯示歷史最大（紅線）和平均值（黃線）。

下面我們切換到“Value”選項卡，上表顯示以下信息：

持續(xù)時間：此參數(shù)顯示經(jīng)過時間“小時：分鐘：秒：“自從你開始收集監(jiān)測數(shù)據(jù)格式。

收到的數(shù)據(jù)包：此參數(shù)顯示收到的數(shù)據(jù)包從你開始收集監(jiān)測統(tǒng)計。

接收的字節(jié)數(shù)：此參數(shù)顯示收到的字節(jié)從你開始收集監(jiān)測統(tǒng)計。

組播：此參數(shù)顯示包處理多播地址從你開始收集監(jiān)測統(tǒng)計。

廣播：此參數(shù)顯示的數(shù)據(jù)包廣播地址從你開始收集監(jiān)測統(tǒng)計。

　�。ㄗⅲ喝绻�此窗口被不小心關(guān)掉了，可以點擊工具欄上的“network statistics”按鈕打開。�。�

個人日志窗口

界面的右下角：當(dāng)程序啟動時，一個日志文件（稱為Peek.log）在Application Data文件夾中創(chuàng)建。

三種類型的事件會被寫入這個日志文件中。

*  程序的啟動或停止，或創(chuàng)建一個新的窗口捕捉。
*  在設(shè)置對話框中指定的事件。
*  活動指定發(fā)送的日志類型通知

窗口的第一行，用不同的圖標(biāo)顏色顯示消息總數(shù)中的日志和故障的嚴重程度

Messages: 信息總數(shù)

白色i ：表示請求成功的信息。

綠色! ：表示輕微型提示（個人理解）

黃色! ：警告信息

紅色x ：錯誤信息

那么我們可以對這些日志做那些操作呢? （點擊某一條信息右鍵出現(xiàn)菜單）

保存登錄：選擇此選項將日志保存為一個文本文件（制表符分隔或逗號分隔值）。
打印日志：選擇此選項可打印的登錄窗口。要更改默認打印設(shè)置，選擇打印設(shè)置...從“文件”菜單上。
復(fù)制：選擇此選項復(fù)制單獨的行日志文件為制表符分隔的文本復(fù)制到剪貼板。
清除日志：選擇此選項可清除或清空日志文件。
最大日志文件大小：選擇此選項可打開一個對話框，您可以在其中輸入新的日志文件的最大尺寸，以千字節(jié)為單位（默認為4MB）。當(dāng)達到限制時，將刪除舊的日志項，以騰出空間給新的。
自動滾屏：選擇此選項來切換日志的自動滾動功能。

（注：如果不小心關(guān)閉了這個窗口，可以點擊工具欄上的View Log 或菜單欄 View > Log Window）

創(chuàng)建一個數(shù)據(jù)捕捉                                                                   

　　你可以在Start Page窗口上點擊“new capture”按鈕，或在菜單欄File > new..

這里可以設(shè)置捕獲的名稱，文件保存的位置等。

　　選擇你要通過哪個網(wǎng)卡進行捕捉，因為我的是筆記本，所以會有有線和無線兩個網(wǎng)卡。你可以用檢測無線網(wǎng)卡的方式，找到被別人設(shè)置屏蔽掉的無線信號，檢測誰在偷用你的無線網(wǎng)絡(luò)，或者別人無線網(wǎng)絡(luò)的加密方式進行破解等。

　　對于協(xié)議包的過濾規(guī)則，默認情況下所有協(xié)議都進行檢測抓取。

　　勾選下面協(xié)議類型，選擇左邊按鈕表示，只抓取選中的協(xié)議。選擇右邊按鈕表示，選中的協(xié)議從抓取的協(xié)議列表中去掉。

　　創(chuàng)建完成后，點擊數(shù)據(jù)捕捉窗口右上角的“Start Capture”按鈕。工具開始抓取所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包。點擊“Stop Capture”停止抓取。

Ominpeek能做哪些分析呢？                                      

　　那么Ominpeek提供了哪些功能來快速的幫助我們對網(wǎng)絡(luò)問題進行故障診斷/定位。

1.主機排名，發(fā)現(xiàn)網(wǎng)絡(luò)中通信量最大的主機，對比故障現(xiàn)象與影響范圍。

2.協(xié)議排名，可以對監(jiān)控的所有協(xié)議進行排名，找到使用最多的協(xié)議。

3.主機在使用的協(xié)議。查看某一主機在使用哪些協(xié)議。（在主機排名界面，雙擊某一主機，出現(xiàn)下表）

4. 通過PeerMap網(wǎng)絡(luò)分布圖了解主機會話的實時情況

5.  深入解碼分析。發(fā)現(xiàn)異常后，可以進行深入的解碼分析。

　　通過以上步驟可以很多容易發(fā)現(xiàn)瀏覽異常的主機，不正常的協(xié)議通信以及網(wǎng)絡(luò)中實際傳輸?shù)膬?nèi)容。從某些角度來說，使用OmniPeek來做協(xié)議分析，真是殺雞用牛刀了。

常見協(xié)議分析                                                                                 

　　下面對一些經(jīng)見的協(xié)議時行簡單的分析（我們在抓到的包中可以雙擊打開抓到的各種協(xié)議）：

幀、UDP協(xié)議 

TCP協(xié)議

 我們都知道TCP協(xié)議信息傳遞（三次握手、四次揮手）

第一次握手	客戶端發(fā)送了第一個報文（從IP首部可以看出。202.204.122.236為本機ip）    三次握手的第一個報文
	報文包括了源端口號（Source Port,隨機選擇）和目標(biāo)端口號（Destination  Port）,目標(biāo)端口號為80，所以客戶端想要請求的服務(wù)為HTTP服務(wù)。報文還包含了ISN=900514470，客戶端還定義了它能從服務(wù)器端接收的MSS，第一個報文不包含ACK，TCP Flags中顯示No  Ack.

第二次握手	三次握手的第二個報文
	服務(wù)器短發(fā)送了第二個報文 此報文附帶了SYN和ACK。這個報文有兩個目的：一是確認受到了第一個報文，ack號為905144471=上一個報文的ISN905144470+1服務(wù)器端也定義了客戶窗口的大小是wind :8192；二，這個報文也對服務(wù)器的報文段進行初始化，定義MSS大小為1448。

第三次握手	三次握手的第三個報文
	它使用ACK標(biāo)志和和確認字段來確認收到了第二個報文。ACK1302368427=第二個報文的isn值1302368427+1

第一次揮手	四次分手的第一個報文段
	因為訪問的網(wǎng)站為門戶網(wǎng)站www.sina.com所以有很多報文信息，為了是環(huán)境更加純凈一點，所以插入了一個新的Filter，限定了本機器端的端口號4075與服務(wù)器相連的所有報文，經(jīng)過篩選，所顯示的報文數(shù)量只有十條。       客戶端TCP發(fā)送第一個FIN報文段�？梢詮�    圖 8 四次分手的第一個報文段 中看出來。FIN 字段顯示為1。

第二次揮手	四次分手的第二個報文段
	服務(wù)器TCP發(fā)送第二個報文段。附帶了ACK和FIN，其中ACK1542437602=1542437601+1

第三次揮手	四次分手的第三個報文段
	服務(wù)器TCP沒有更多的數(shù)據(jù)發(fā)送時就發(fā)送發(fā)送第三個報文段，F(xiàn)IN報文段。從圖中可以看TCP  flag中出FIN字段的值為1.

第四次揮手	四次分手的第四個報文段
	客戶TCP發(fā)送第四個報文段，ACK報文段。Ack  Number: 3739309153=3739309152+1

IP協(xié)議

HTTP 協(xié)議

http請求報文

http響應(yīng)報文

　　當(dāng)然還有許多協(xié)議，如 FTP、SMTP\POP3 、DNS、ARP等很多協(xié)議。