EtherPeek NX(抓包分析工具) V3.0 官方版
EtherPeek NX(抓包工具)是专门为IT人员设计的网络协议分析工具。也是第一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器,它可以为我们提供信息包捕获过程中实时进行专业诊断和结构解码等。还可分析和诊断日益加速变化的网络数据群。而且对现今网络面临的众多故障提供精确和最新的分析等。
【使用说明】
1、实时专家分析
EtherPeek NX的专业分析系统提供:问题自动确认、分离信息包到独立的对话群,并且用直观的树状结构图显示它们等功能。同时,分析每一个网络设备和系统分离,描述和预示网络、终端、路由器的行为,或者描述和预示基础结构问题。专业分析系统跟踪超过36个不同的网络障碍行为,提供潜在和带宽的分析报告。
2、专业绘图
EtherPeek NX的peer Map是一种垂直导向的椭圆形图,你可以放大该图到足够的尺寸来显示出你的网络中所有正在通信的节点。读懂peer map 很容易:节点之间的线段越粗越浓表明节点之间信息流越大;园点越大表明穿越该节点的信息流越大。节点的显示数量可以被限定为最繁忙和/或者最活跃的节点,或是只显示对EtherPeek NX过滤器有用的节点。
3、专业故障查找
EtherPeek NX 的专业故障查找系统提供专业系统遭遇的故障描述和故障原因,以及对每一个故障情景的修补措施。专业系统的运作内容可以根据用户个性化的网络需求通过网络故障诊断来裁剪定制。“初学助手”帮助使用者通过选择网络速度、使用由网络运行实际经验得来的“嵌入式运算法则”来快速调整故障解决的评估值。
4、增强的预警功能
EtherPeek NX 通过预警系统提供超过100个实时情景。专业系统在此基础之上增加了3个情景: 可疑的、故障的和解决的——当一个特定的情景要被确认为情报的、次要的、主要的还是严重的时以次来提供更好的控制。
5、起始页面
EtherPeek NX内部的新起始页面功能就象能够链接到本地和线上的有用资源一样,它提供了一个轻松的漫游和自述入口。通过新起始页面你可以打开最近使用过的信息包文件,启动一个新的捕获窗口或者浏览信息包文件样本。
【使用方法】
一、安装:
①为大家提供的是EtherPeek NX绿色汉化版,
②将序列号输出EtherPeek NX启动界面中即可顺利进入程序
二、监听统计(Monitor statistics)
监听统计是从全局来观察网络通信,以便发现网络通信中的瓶颈和异常等问题。网络统计的Gauge和Value窗口,监听统计的数据采集独立于任何捕获窗口,不能由筛选器、触发器等其它功能改变。
1、为监听统计选择适配器
首次启动EtherPeek NX时,要求选择一个用于采集监听统计信息的适配器。步骤如下:
①从“开始”菜单中,选择“WildPackets EtherPeek NX”来运行程序。
②在打开的监视器选项对话框的适配器视图中,选择列表中提供的任一支持的以太网适配器。EtherPeek NX将使用这个适配器捕获它所监听到的所有通信。
③在“监控”菜单中,若未选择“监控统计”项,则选中它。
④EtherPeek NX基于所选适配器监听到的所有通信,计算得到监听统计信息,继续收集 监听统计信息,直到退出程序或重置统计信息。
2、概要统计(Summary Statistics)
概要统计功能允许我们实时监听关键的网络统计信息,并保存这些信息以便以后进行比较。使用概要统计,我们可以保存正常网络活动的统计信息,然后让存在异常网络行为时得到的统计信息与其进行比较,从而有助于准确描述问题的起因。此外,概要统计也可以用来比较两个不同网络的性能。
三、捕获数据包
1、开始捕获(Start Capture)
EtherPeek NX中捕获数据包,我们需要创建一个捕获窗口,设置它的参数(包括在特定捕获窗口中使用的适配器)。步骤如下:
①在“文件”菜单中选择“新建…”,打开抓包选项对话框
②在抓包选项对话框的常规视图中,在抓包标题中输入新创建捕获窗口的名字。
③在缓冲区大小中设置捕获缓冲区的大小,或者接受默认大小(16384 kilobytes)。
④Continuous capture选项用来指定在捕获期间缓冲区的使用方法。 当Continuous capture未选中时,当缓冲满时捕获就停止。当Continuous capture被选中时,选择单选按钮Discard all packets when wrapping或Discard oldest packets first(use ring buffer)。
⑤在抓包选项对话框的Adapter视图中,从列表中选择一个支持的适配器。
⑥在Triggers,过滤器,Statistics Output和Performance视图中,可进行其它选项的设置, 可以在第一次创建捕获窗口时设置,也可以以后通过在“监控”菜单中选择“监控选项”来打开抓包选项对话框进行设置。
⑦单击OK按钮,即可打开新建的捕获窗口。
⑧单击“开始抓包”按钮,就会在新建的捕获窗口中出现捕获的数据包。
2、Packets视图
捕获窗口中提供了许多方式来查看捕获的通信信息。我们可以通过单击位于捕获窗口底部的标签来打开这些视图。
四、查看解码数据包
通过查看数据包的详细信息能够很快地解决一些网络问题。数据包解码窗口使得我们能够打开数据包来观察数据包的内部,准确描述问题来源,跟踪出故障的硬件,了解和检验协议的结构和规范。
数据包解码窗口表示的是单个数据包的详细结构和内容。EtherPeek NX能够对数以万计的协议和子协议解码,能够显示出以太网数据包的组成元素,并有英文解释其含义。我们按下面步骤查看一个数据包的解码。
1、在捕获窗口或数据包文件窗口中打开Packets视图的解码窗格和十六进制码窗格,也 可以在Packets窗口中双击任一数据包来打开。
2、查看解码窗格顶部以绿色显示的部分。这部分包含数据包的Flag,Status,PacketLength和Timestamp信息。
3、查看解码窗格的主体部分。信息排列的顺序同数据包自身一致。通过观察这部分通常 能够分析出问题所在。4、查看解码窗格下面的十六进制码窗格,该窗格显示了数据包原始十六制码,左部是每行首字符的偏移量,右部是原始数据包数据的ASCII码。
5、当在解码窗格中单击一部分使其高亮显示时,在十六进制码窗格和ASCII码窗格数据 包中对应字节部分也高亮显示。
6、单击窗口顶部的Decode Previous或Decode Next按钮,来观察捕获窗口或数据包文件 窗口中数据包列表中当前数据包的前后数据包。
五、在捕获窗口中设置筛选器
筛选器可以使我们集中于某些特定的通信。如果想检查两个设备间的问题,比如一台计算机和一台打印机,地址筛选器能够只捕获两个设备间的通信。如果网络中某个特定功能存在问题,协议筛选器能够帮助我们准确地给出与该功能相关的通信。
1、定义和设置一个基于地址和协议的筛选器
地址筛选器用于筛选两个特定网络设备间,或一个特定网络设备和其它设备间的通信。协议筛选器则集中于特定的通信类型或网络功能。下面我们定义一个简单的筛选器,用于筛选通过某个特定协议(Kerberos)进出服务器接口的通信。步骤如下:
①打开捕获窗口的过滤器视图,或者通过选择“查看”菜单下的“过滤器”来打开过滤器窗口。
②单击“Edit”按钮,打开编辑过滤器对话框。默认情况下是Simple视图。
从类型下拉列表中可选择Simple和Advanced视图。Advanced视图提供了额外的筛选器参数,以及在单一命名筛选器中利用逻辑与、或、非进行多项测试的能力。
③在过滤器对话框中输入名字。
④单击颜色控件来为筛选器选择颜色,或者接受默认颜色(黑色)。
⑤在Comment域中,可以输入一个评论,此功能可选。
⑥选中Address filter复选框。类型下拉列表中的选项用来确定输入的地址类型,我们在此选择“地址”。
⑦在地址1中,输入服务器NIC的物理地址。物理地址是一些十六进制字符组,并以冒号间隔。
⑧在地址 2中,单击任意地址单选按钮。
⑨单击位于Address filter部分中间的按钮,从下拉列表中选择Both directions。
⑩选中Protocol filter复选框,单击Protocol…按钮来打开Protocol Filter对话框。
⑪在顶部的下拉列表中选择定义协议的方法ProtoSpecs。
⑫选择Ethernet Type2>IP>TCP>Kerberos,单击OK接受当前选项,同时关闭Protocol Filter 对话框,返回Edit Filter对话框。(如果网络是IEEE802.3,则选择IEEE802.3>SNAP>IP>TCP>Kerberos。) ⑬单击OK接受修改并关闭Edit Filter对话框,新建的筛选器出现在筛选器列表中。
⑭为了在捕获窗口中激活新建的筛选器,打开Filter视图,选中新建筛选器前的复选框。则将只会捕获筛选器指定的通信。
2、Make Filter命令
创建新筛选器的一个简单的方法就是使用Make Filter命令,在许多窗口提供了Make Filter按钮,或者在适当位置右击得到的菜单中有Make Filter命令。Make Filter命令对所选数据包或统计项来创建筛选器。Make Filter也可以用于Name Table中,对所选命名结点、协议或端口来创建筛选器,还可以用在数据包解码窗口中对所选数据项来创建筛选器。如果选择了多项,则Make Filter命令为每项创建一个筛选器。