借助sniffer诊断Linux网络故障（一）

没有公告

	加入收藏
	设为首页
	联系站长

您现在的位置：局域网DIY—专业局域网网站 >> 局域网教程 >> 硬件与代理 >> [协议专栏] >> 文章正文

借助sniffer诊断Linux网络故障（一）

热

【字体：小大】

借助sniffer诊断Linux网络故障（一）

作者：互联网文章来源：www.98pc.com 点击数：更新时间：2006-4-28

　　上次介绍了嗅探器的基本原理，以及如何用Tcpdump来截获网络上的数据包。但Tcpdump只是一个命令行方式下的网络嗅探器，虽然功能强大，可分析起数据包来却不是很方便。好在Linux下还有一些具有良好GUI界面的嗅探器可以借助。Ethereal和EtherApe就是其中的佼佼者。有了Tcpdump的基础，再使用这两个嗅探器就感觉很轻松。

用Ethereal分析协议数据包

　　Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

Ethereal的安装

　　在http://www.ethereal.com网站上可以下载到最新的Ethereal源码包。下面以Ethereal0.9.9为例，讲述如何安装Ethereal，此处使用的操作系统是RedHat8.0。

首先下载最新的源码包，并将其解压缩：

#cpethereal-0.9.9.tar.bz2/usr/local/src/
#cd/usr/local/src/
#bzip2-dethereal-0.9.9.tar.bz2
#tarxvfethereal-0.9.9.tar

　　同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译Ethereal时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal：

#cdethereal-0.9.9
#./configure
#make
#makeinstall

设置Ethereal的过滤规则

　　当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为Ethereal配置过滤规则，首先单击“Edit”选单，然后选择“CaptureFilters...”菜单项，打开“EditCaptureFilterList”对话框（如图1所示）。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

图1 Ethereal过滤器配置对话框　　在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机10.1.197.162和www.sohu.com间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and www.sohu.com”，然后单击“New”按钮即可，如图2所示。

图2 为Ethereal添加一个过滤器　　在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘故。Ethereal能够同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的过滤器，这在很多情况下是非常有用的。例如，一个过滤器可能用于截获两个主机间的数据包，而另一个则可能用于截获ICMP包来诊断网络故障。　　当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start...”选单项，打开“Capture Options”对话框，单击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图3所示。

图3 为Ethereal指定过滤器注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

　　在选择了所需要的过滤器后，单击“OK”按钮，整个嗅探过程就开始了。Ethereal可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。

用Ethereal分析数据包

　　Ethereal和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

　　使用Ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。图4是在Ethereal中对一个HTTP数据包进行分析时的情形。

　　在图3最上边的数据包列表中，显示了被截获的数据包的基本信息。从图中可以看出，当前选中数据包的源地址是10.1.197.162，目的地址为61.135.150.65，该数据包所属的协议是超文本传输协议(HTTP)。更详细的信息表明该数据包中含有一个HTTP的GET命令，要求下载starrtlog.js文件到客户端的Web浏览器。

图4 用Ethereal分析数据包内容图4中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。

　　图4最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。

　　Ethereal提供的图形化用户界面非常友好，管理员可以很方便地查看到每个数据包的详细信息，协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助，综合使用Ethereal和Tcpdump能够基本满足网络管理员在Linux系统上的所有嗅探要示。

用EtherApe查看网络流量

　　EtherApe也是一个图形化的网络嗅探器。与Ehtereal不同，EtherApe通过验证主机与主机之间的链接，图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表示位于不同主机之间的连接，而连线的粗细则表明主机间数据流量的大小。这些信息都是实时变化的，因而能够协助管理员随时了解到网络中各部分流量的变化情况。

EtherApe的安装

　　EhterApe支持Ethernet、FDDI和Token Ring等多种网络，能够实时地从网络或文件中读取网络流量的变化情况。此外它还可以将网络流量信息保存下来，以便在之后需要时再显示出来。在http://www.sourceforge.net/projects/etherape/网站上可以下载到最新的EtherApe源码包。下面以Ethereal 0.8.2为例，讲述如何安装EtherApe（使用的操作系统是RedHat 8.0）。

首先下载最新的源码包并将其解压缩，代码如下：

# cp etherape-0.8.2.tar.gz /usr/local/src/# cd /usr/local/src/# tar xzvf etherape-0.8.2.tar.gz

文章录入：wuwq 责任编辑：wuwq

上一篇文章：闻名业界的Sniffer网络管理解决方案

下一篇文章：借助sniffer诊断Linux网络故障（二）

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				Sniffer、黑客和网络管理交换环境下的Sniffer 封包探嗅器(Sniffer) Sniffer－黑客们最常用的入侵 Sniffer常见问题集再议 Sniffer SNIFFER嗅探器检测工具和对策 Sniffer pro 使用辅助说明 Sniffer使用简介（下） Sniffer使用简介（上）

　　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

粤ICP备05009256号