来源:互联网
1报文捕获解析
1.1 捕获面板
报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板
![wps_clip_image-10878[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1087831.jpg "wps_clip_image-10878[3][1]")
IP地址别名:
![wps_clip_image-11239[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1123931.jpg "wps_clip_image-11239[3][1]")
![wps_clip_image-3050[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image305031.jpg "wps_clip_image-3050[3][1]")
![wps_clip_image-24151[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image2415131.jpg "wps_clip_image-24151[3][1]")
right-click on the IP address in question and select SmartWhois:
![wps_clip_image-29215[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image2921531.jpg "wps_clip_image-29215[3][1]")
1.2 捕获报文查看
软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
解码分析
下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。
对于MAC地址,软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。
过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
HTTP捕获:
![wps_clip_image-11851[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1185131.jpg "wps_clip_image-11851[3][1]")
POP3及登陆信息捕获:
![wps_clip_image-2345[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image234531.jpg "wps_clip_image-2345[3][1]")
捕获TCP任务重建:
![wps_clip_image-10394[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1039431.jpg "wps_clip_image-10394[3][1]")
![wps_clip_image-24472[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image2447231.jpg "wps_clip_image-24472[3][1]")
HTML解析:
![wps_clip_image-19038[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1903831.jpg "wps_clip_image-19038[3][1]")
统计分析
对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单。
![wps_clip_image-11196[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1119631.jpg "wps_clip_image-11196[3][1]")
![wps_clip_image-28607[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image2860731.jpg "wps_clip_image-28607[3][1]")
![wps_clip_image-17362[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1736231.jpg "wps_clip_image-17362[3][1]")
1.3 设置捕获条件
基本的捕获条件有两种:
1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。
2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。
![wps_clip_image-7664[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image766431.jpg "wps_clip_image-7664[3][1]")
2 数据报文解码详解
本章主要对:数据报文分层、以太报文结构、IP协议、ARP协议等的解码分析做了简单的描述,目的在于介绍软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和捕获的报文对比分析。
2.1 数据报文分层
如下图所示,对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成。
![wps_clip_image-10372[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1037231.jpg "wps_clip_image-10372[3][1]")
解码表中分别对每一个层次协议进行解码分析。链路层对应“Ethernet”;网络层对应“IP”;传输层对应“UDP”;应用层对对应的是“NETB”等高层协议。可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。
以太报文结构
EthernetII以太网帧结构
![wps_clip_image-10801[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1080131.jpg "wps_clip_image-10801[3][1]")
Ethernet_II以太网帧类型报文结构为:目的MAC地址(6bytes)+源MAC地址+(6bytes)上层协议类型(2bytes)+数据字段(46-1500bytes)+校验(4bytes)。
Commview会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。
源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来,方便定位问题,例如网络上2台设备IP地址设置冲突,可以通过解码翻译出厂商信息方便的将故障设备找到,如00e0fc为华为,010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址,在下面的表格中会突出显示该地址的16进制编码。
IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议,0x806为ARP协议。
IEEE802.3以太网报文结构
![wps_clip_image-15457[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image1545731.jpg "wps_clip_image-15457[3][1]")
上图为IEEE802.3SNAP帧结构,与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。
IP协议
IP报文结构为IP协议头+载荷,其中对IP协议头部的分析,时分析IP报文的主要内容之一,关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。
版本:4——IPv4
首部长度:单位为4字节,最大60字节
TOS:IP优先级字段
总长度:单位字节,最大65535字节
标识:IP报文标识字段
标志:占3比特,只用到低位的两个比特
MF(More Fragment)
MF=1,后面还有分片的数据包
MF=0,分片数据包的最后一个
DF(Don't Fragment)
DF=1,不允许分片
DF=0,允许分片
段偏移:分片后的分组在原分组中的相对位置,总共13比特,单位为8字节
寿命:TTL(Time To Live)丢弃TTL=0的报文
协议:携带的是何种协议报文
1 :ICMP
6 :TCP
17:UDP
89:OSPF
头部检验和:对IP协议首部的校验和
源IP地址:IP报文的源地址
目的IP地址:IP报文的目的地址
Commview对IP协议首部的解码分析结构,和IP首部各个字段相对应,并给出了各个字段值所表示含义的英文解释。报文协议(Protocol)字段的编码通过Commview解码分析转换为十进制,只要对协议理解的比较清楚对解码内容的理解将会变的很容易。
ARP协议
以下为ARP报文结构
![wps_clip_image-3546[3][1]](http://www.iigrowing.cn/wp-content/uploads/commview_C208/wps_clip_image354631.jpg "wps_clip_image-3546[3][1]")
ARP分组具有如下的一些字段:
HTYPE(硬件类型)。这是一个16比特字段,用来定义运行ARP的网络的类型。每一个局域网基于其类型被指派给一个整数。例如,以太网是类型1。ARP可使用在任何网络上。
PTYPE(协议类型)。这是一个16比特字段,用来定义协议的类型。例如,对IPv4协议,这个字段的值是0800。ARP可用于任何高层协议。
HLEN(硬件长度)。这是一个8比特字段,用来定义以字节为单位的物理地址的长度。例如,对以太网这个值是6。
PLEN(协议长度)。这是一个8比特字段,用来定义以字节为单位的逻辑地址的长度。例如,对IPv4协议这个值是4。
OPER(操作)。这是一个16比特字段,用来定义分组的类型。已定义了两种类型:ARP请求(1),ARP回答(2)。
SHA(发送站硬件地址)。这是一个可变长度字段,用来定义发送站的物理地址的长度。例如,对以太网这个字段是6字节长。
SPA(发送站协议地址)。这是一个可变长度字段,用来定义发送站的逻辑(例如,IP)地址的长度。对于IP协议,这个字段是4字节长。
THA(目标硬件地址)。这是一个可变长度字段,用来定义目标的物理地址的长度。例如,对以太网这个字段是6字节长。对于ARP请求报文,这个字段是全0,因为发送站不知道目标的物理地址。
TPA(目标协议地址)。这是一个可变长度字段,用来定义目标的逻辑地址(例如,IP地址)的长度。对于IPv4协议,这个字段是4字节长。
