WildPackets OmniPeek 4.1雖然這版本的早已過時了,但對于我們新手來說,足矣!而且它體積也比最新版的也小了很多。
下載完成之后,安裝過程就不介紹了,對于windows下的軟件安裝一般一路NEXT都能成功安裝。安裝完成后打開軟件。下面以就是打開后的主界面。
網(wǎng)絡(luò)統(tǒng)計窗口
界面的左下角的網(wǎng)絡(luò)統(tǒng)計窗口有三個刻度盤與相應(yīng)的數(shù)字顯示。
* 網(wǎng)絡(luò)使用率(用百分比的方式表示)
* 數(shù)據(jù)流量(每秒數(shù)據(jù)包)
* 誤差率(每秒的總誤差)
下表顯示歷史最大(紅線)和平均值(黃線)。
下面我們切換到“Value”選項卡,上表顯示以下信息:
持續(xù)時間:此參數(shù)顯示經(jīng)過時間“小時:分鐘:秒:“自從你開始收集監(jiān)測數(shù)據(jù)格式。
收到的數(shù)據(jù)包:此參數(shù)顯示收到的數(shù)據(jù)包從你開始收集監(jiān)測統(tǒng)計。
接收的字節(jié)數(shù):此參數(shù)顯示收到的字節(jié)從你開始收集監(jiān)測統(tǒng)計。
組播:此參數(shù)顯示包處理多播地址從你開始收集監(jiān)測統(tǒng)計。
廣播:此參數(shù)顯示的數(shù)據(jù)包廣播地址從你開始收集監(jiān)測統(tǒng)計。
。ㄗⅲ喝绻舜翱诒徊恍⌒年P(guān)掉了,可以點擊工具欄上的“network statistics”按鈕打開。。
個人日志窗口
界面的右下角:當(dāng)程序啟動時,一個日志文件(稱為Peek.log)在Application Data文件夾中創(chuàng)建。
三種類型的事件會被寫入這個日志文件中。
* 程序的啟動或停止,或創(chuàng)建一個新的窗口捕捉。
* 在設(shè)置對話框中指定的事件。
* 活動指定發(fā)送的日志類型通知
窗口的第一行,用不同的圖標(biāo)顏色顯示消息總數(shù)中的日志和故障的嚴重程度
Messages: 信息總數(shù)
白色i :表示請求成功的信息。
綠色! :表示輕微型提示(個人理解)
黃色! :警告信息
紅色x :錯誤信息
那么我們可以對這些日志做那些操作呢? (點擊某一條信息右鍵出現(xiàn)菜單)
保存登錄:選擇此選項將日志保存為一個文本文件(制表符分隔或逗號分隔值)。
打印日志:選擇此選項可打印的登錄窗口。要更改默認打印設(shè)置,選擇打印設(shè)置...從“文件”菜單上。
復(fù)制:選擇此選項復(fù)制單獨的行日志文件為制表符分隔的文本復(fù)制到剪貼板。
清除日志:選擇此選項可清除或清空日志文件。
最大日志文件大小:選擇此選項可打開一個對話框,您可以在其中輸入新的日志文件的最大尺寸,以千字節(jié)為單位(默認為4MB)。當(dāng)達到限制時,將刪除舊的日志項,以騰出空間給新的。
自動滾屏:選擇此選項來切換日志的自動滾動功能。
(注:如果不小心關(guān)閉了這個窗口,可以點擊工具欄上的View Log 或菜單欄 View > Log Window)
創(chuàng)建一個數(shù)據(jù)捕捉
你可以在Start Page窗口上點擊“new capture”按鈕,或在菜單欄File > new..
這里可以設(shè)置捕獲的名稱,文件保存的位置等。
選擇你要通過哪個網(wǎng)卡進行捕捉,因為我的是筆記本,所以會有有線和無線兩個網(wǎng)卡。你可以用檢測無線網(wǎng)卡的方式,找到被別人設(shè)置屏蔽掉的無線信號,檢測誰在偷用你的無線網(wǎng)絡(luò),或者別人無線網(wǎng)絡(luò)的加密方式進行破解等。
對于協(xié)議包的過濾規(guī)則,默認情況下所有協(xié)議都進行檢測抓取。
勾選下面協(xié)議類型,選擇左邊按鈕表示,只抓取選中的協(xié)議。選擇右邊按鈕表示,選中的協(xié)議從抓取的協(xié)議列表中去掉。
創(chuàng)建完成后,點擊數(shù)據(jù)捕捉窗口右上角的“Start Capture”按鈕。工具開始抓取所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包。點擊“Stop Capture”停止抓取。
Ominpeek能做哪些分析呢?
那么Ominpeek提供了哪些功能來快速的幫助我們對網(wǎng)絡(luò)問題進行故障診斷/定位。
1.主機排名,發(fā)現(xiàn)網(wǎng)絡(luò)中通信量最大的主機,對比故障現(xiàn)象與影響范圍。
2.協(xié)議排名,可以對監(jiān)控的所有協(xié)議進行排名,找到使用最多的協(xié)議。
3.主機在使用的協(xié)議。查看某一主機在使用哪些協(xié)議。(在主機排名界面,雙擊某一主機,出現(xiàn)下表)
4. 通過PeerMap網(wǎng)絡(luò)分布圖了解主機會話的實時情況
5. 深入解碼分析。發(fā)現(xiàn)異常后,可以進行深入的解碼分析。
通過以上步驟可以很多容易發(fā)現(xiàn)瀏覽異常的主機,不正常的協(xié)議通信以及網(wǎng)絡(luò)中實際傳輸?shù)膬?nèi)容。從某些角度來說,使用OmniPeek來做協(xié)議分析,真是殺雞用牛刀了。
常見協(xié)議分析
下面對一些經(jīng)見的協(xié)議時行簡單的分析(我們在抓到的包中可以雙擊打開抓到的各種協(xié)議):
幀、UDP協(xié)議
Destination: 00:12:00:40:E9:FF | 目的的適配器的mac地址為00:12:00:40:E9:FF |
Source: 00:E0:81:02:CB:F0Tyan:02:CB:F0 | 傳輸該幀到LAN上的適配器的mac地址為00:E0:81:02:CB:F0 |
協(xié)議標(biāo)識域 Protocol Type: 0x0800 IP | 表明封裝協(xié)議是IP協(xié)議 |
TCP協(xié)議
我們都知道TCP協(xié)議信息傳遞(三次握手、四次揮手)
第一次握手 | ![]() 客戶端發(fā)送了第一個報文(從IP首部可以看出。202.204.122.236為本機ip) ![]() 三次握手的第一個報文 |
報文包括了源端口號(Source Port,隨機選擇)和目標(biāo)端口號(Destination Port),目標(biāo)端口號為80,所以客戶端想要請求的服務(wù)為HTTP服務(wù)。報文還包含了ISN=900514470,客戶端還定義了它能從服務(wù)器端接收的MSS,第一個報文不包含ACK,TCP Flags中顯示No Ack. |
第二次握手 | ![]() ![]() 三次握手的第二個報文 |
服務(wù)器短發(fā)送了第二個報文 此報文附帶了SYN和ACK。這個報文有兩個目的:一是確認受到了第一個報文,ack號為905144471=上一個報文的ISN905144470+1服務(wù)器端也定義了客戶窗口的大小是wind :8192;二,這個報文也對服務(wù)器的報文段進行初始化,定義MSS大小為1448。 |
第三次握手 | ![]() ![]() 三次握手的第三個報文 |
它使用ACK標(biāo)志和和確認字段來確認收到了第二個報文。ACK1302368427=第二個報文的isn值1302368427+1 |
第一次揮手 | ![]() 四次分手的第一個報文段 |
因為訪問的網(wǎng)站為門戶網(wǎng)站www.sina.com所以有很多報文信息,為了是環(huán)境更加純凈一點,所以插入了一個新的Filter,限定了本機器端的端口號4075與服務(wù)器相連的所有報文,經(jīng)過篩選,所顯示的報文數(shù)量只有十條。 客戶端TCP發(fā)送第一個FIN報文段?梢詮 圖 8 四次分手的第一個報文段 中看出來。FIN 字段顯示為1。 |
第二次揮手 | ![]() 四次分手的第二個報文段 |
服務(wù)器TCP發(fā)送第二個報文段。附帶了ACK和FIN,其中ACK1542437602=1542437601+1 |
第三次揮手 | ![]() 四次分手的第三個報文段 |
服務(wù)器TCP沒有更多的數(shù)據(jù)發(fā)送時就發(fā)送發(fā)送第三個報文段,F(xiàn)IN報文段。從圖中可以看TCP flag中出FIN字段的值為1. |
第四次揮手 | ![]() 四次分手的第四個報文段 |
客戶TCP發(fā)送第四個報文段,ACK報文段。Ack Number: 3739309153=3739309152+1 |
IP協(xié)議
Version: 4 | 版本為IPv4 |
Header Length: 5 ( 20 bytes) | IP題頭通常大小為20字節(jié),該域值按照4字節(jié)的柏樹提供。分析器用4字節(jié)乘以該值得到正確的IP題頭長度值20字節(jié) |
Differentiated Services: %00000000 | 服務(wù)類型域。以便使不同類型的ip數(shù)據(jù)報能相互區(qū)別開來。 |
Total Length: 60 | ip數(shù)據(jù)報的總長度(首部加上數(shù)據(jù)),該字段長為16bit |
Identifier: 30612 | 與ip分片有關(guān),同一個ip數(shù)據(jù)報分片成不同的數(shù)據(jù)報,Identifier是相同的。 |
Fragment Offset: 0 ( 0 bytes) | 片位移為0 |
Time To Live: 64 | 該數(shù)據(jù)報不會永遠在網(wǎng)絡(luò)中循環(huán),每次經(jīng)過一臺路由器時,該字段減1。若TTL字段為0,則該數(shù)據(jù)報必須丟棄。 |
Protocol: 1 ICMP - Internet Control Message Protocol | 該字段僅在數(shù)據(jù)報到大其最終目的地才會用到。該字段指明了IP數(shù)據(jù)報的數(shù)據(jù)部分應(yīng)該 交給哪個運輸層的協(xié)議。 |
Header Checksum: 0x77BA | 將首部中的每兩個字節(jié)當(dāng)作一個數(shù),用反碼運算對這些書求和 |
Source IP Address: 202.204.122.2360A071DF18F2E4E6 | 源IP地址 |
Dest. IP Address: 202.204.122.237 | 目的IP地址 |
數(shù)據(jù)字段:ICMP - Internet Control Messages Protocol | 數(shù)據(jù)字段也可以承載其他類型的數(shù)據(jù),這個字段就承載了ICMP報文段。 |
HTTP 協(xié)議
http請求報文
HTTP Command: GET | 當(dāng)瀏覽器請求一個對象的時,使用GET方法 |
URI: /img/baidu_logo.gif | 在URL字段填寫該對象的URL地址本報文中URL請求對象是/img/baidu_logo.gif |
HTTP Version: HTTP/1.1 <CR> <LF> .. | 瀏覽器實的是HTTP/1.1版本協(xié)議 |
Connection: Keep-Alive <CR> <LF> | 瀏覽器告訴服務(wù)器希望保活 |
Host: www.baidu.com <CR> <LF> . | 定義了目標(biāo)所在的主機。 |
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; InfoPath.2; CIBA) <CR> <LF> . | 定義用戶代理,即向服務(wù)器發(fā)送完被請求瀏覽器的類型。這里的瀏覽器類型是Mozilla/4.0 |
Accept-Language: zh-cn <CR> <LF> . | 表示了如果服務(wù)器有這樣的對象的話,用戶想要得到該對象的zh-cn版本,否則使用服務(wù)器的默認版本。 |
http響應(yīng)報文
HTTP Version: HTTP/1.1 | 協(xié)議版本 |
HTTP Status: 200 | 狀態(tài)碼 |
HTTP Reason: OK <CR> <LF> . | 相應(yīng)狀態(tài)信息,一切正常,即服務(wù)器已經(jīng)找到并正在發(fā)送所請求的對象 |
Server: Apache/1.3.27 <CR> <LF> | 表明該報文是由一個Apache WEB服務(wù)器產(chǎn)生的。 |
Last-Modified: Wed, 30 Jul 2008 10:23:00 GMT <CR> <LF> | 對象創(chuàng)建或者左后修改的日期和時間 |
Content-Length: 1489 <CR> <LF> | 表明了被發(fā)送對象的字節(jié)數(shù) |
Content-Type: image/gif <CR> <LF> <CR> <LF> .. | 表明了實體中的對象是gif圖像。 |
Binary Data: (1130 bytes) | 報文的主體,即它包含了所請求的對象本身。 |
當(dāng)然還有許多協(xié)議,如 FTP、SMTP\POP3 、DNS、ARP等很多協(xié)議。