關(guān)鍵詞:Sniffer 協(xié)議分析
摘 要:本文對Sniffer軟件的功能和使用作了簡要的介紹��,講述了利用工具軟件解決問題的思路和一些分析方法���。
縮略語清單:
參考資料清單:
Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本文針對用Sniffer Pro網(wǎng)絡(luò)分析器進行故障解決����。利用Sniffer Pro 網(wǎng)絡(luò)分析器的強大功能和特征,解決網(wǎng)絡(luò)問題�,將介紹一套合理的故障解決方法���。
與Netxray比較,Sniffer支持的協(xié)議更豐富�����,例如PPPOE協(xié)議等在Netxray并不支持�����,在Sniffer上能夠進行快速解碼分析����。Netxray不能在Windows 2000和Windows XP上正常運行,Sniffer Pro 4.6可以運行在各種Windows平臺上���。
Sniffer軟件比較大�,運行時需要的計算機內(nèi)存比較大���,否則運行比較慢�����,這也是它與Netxray相比的一個缺點�����。
下面列出了Sniffer軟件的一些功能介紹�,其功能的詳細介紹可以參考Sniffer的在線幫助�����。
捕獲網(wǎng)絡(luò)流量進行詳細分析
利用專家分析系統(tǒng)診斷問題
實時監(jiān)控網(wǎng)絡(luò)活動
收集網(wǎng)絡(luò)利用率和錯誤等
在進行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器�,確定從計算機的哪個網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置:File->select settings
選擇網(wǎng)絡(luò)適配器后才能正常工作��。該軟件安裝在Windows 98操作系統(tǒng)上��,Sniffer可以選擇撥號適配器對窄帶撥號進行操作�����。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網(wǎng)卡���。對于安裝在Windows 2000/XP上則無上述功能�����,這和操作系統(tǒng)有關(guān)�����。
本文將對報文的捕獲幾網(wǎng)絡(luò)性能監(jiān)視等功能進行詳細的介紹�。下圖為在軟件中快捷鍵的位置。
報文捕獲功能可以在報文捕獲面板中進行完成��,如下是捕獲面板的功能圖:圖中顯示的是處于開始狀態(tài)的面板
在捕獲過程中可以通過查看下面面板查看捕獲報文的數(shù)量和緩沖區(qū)的利用率���。
Sniffer軟件提供了強大的分析能力和解碼功能���。如下圖所示,對于捕獲的報文提供了一個Expert專家分析系統(tǒng)進行分析����,還有解碼選項及圖形和表格的統(tǒng)計信息。
專家分析
專家分分析系統(tǒng)提供了一個只能的分析平臺�����,對網(wǎng)絡(luò)上的流量進行了一些分析對于分析出的診斷結(jié)果可以查看在線幫助獲得���。
在下圖中顯示出在網(wǎng)絡(luò)中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容��,可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點���。
對于某項統(tǒng)計分析可以通過用鼠標(biāo)雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的原因����。
解碼分析
下圖是對捕獲報文進行解碼的顯示�����,通常分為三部分��,目前大部分此類軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示����。對于解碼主要要求分析人員對協(xié)議比較熟悉�����,這樣才能看懂解析出來的報文���。使用該軟件是很簡單的事情�����,要能夠利用軟件解碼分析來解決問題關(guān)鍵是要對各種層次的協(xié)議了解的比較透徹��。工具軟件只是提供一個輔助的手段����。因涉及的內(nèi)容太多,這里不對協(xié)議進行過多講解�����,請參閱其他相關(guān)資料��。
對于MAC地址��,Snffier軟件進行了頭部的替換����,如00e0fc開頭的就替換成Huawei,這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息���。
功能是按照過濾器設(shè)置的過濾規(guī)則進行數(shù)據(jù)的捕獲或顯示��。在菜單上的位置分別為 Capture->Define Filter和Display->Define Filter�。
過濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進行組合篩選�。
統(tǒng)計分析
對于Matrix��,Host Table����,Portocol Dist. Statistics等提供了豐富的按照地址,協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計��,比較簡單�,可以通過操作很快掌握這里就不再詳細介紹了。
基本捕獲條件
基本的捕獲條件有兩種:
1�����、鏈路層捕獲���,按源MAC和目的MAC地址進行捕獲,輸入方式為十六進制連續(xù)輸入����,如:00E0FC123456。
2�、IP層捕獲,按源IP和目的IP進行捕獲�。輸入方式為點間隔方式,如:10.107.1.1���。如果選擇IP層捕獲條件則ARP等報文將被過濾掉��。
高級捕獲條件
在“Advance”頁面下���,你可以編輯你的協(xié)議捕獲條件�����,如圖:
高級捕獲條件編輯圖
在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件���,如果什么都不選,則表示忽略該條件����,捕獲所有協(xié)議。
在捕獲幀長度條件下�,你可以捕獲,等于�����、小于�、大于某個值的報文。
在錯誤幀是否捕獲欄��,你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯誤時是否捕獲。
在保存過濾規(guī)則條件按鈕“Profiles”����,你可以將你當(dāng)前設(shè)置的過濾規(guī)則,進行保存����,在捕獲主面板中,你可以選擇你保存的捕獲條件�����。
任意捕獲條件
在Data Pattern下����,你可以編輯任意捕獲條件��,如下圖:
用這種方法可以實現(xiàn)復(fù)雜的報文過濾���,但很多時候是得不償失�����,有時截獲的報文本就不多����,還不如自己看看來得快。
Sniffer軟件報文發(fā)送功能就比較弱��,如下是發(fā)送的主面板圖:
發(fā)送前��,你需要先編輯報文發(fā)送的內(nèi)容��。點擊發(fā)送報文編輯按鈕��?���?傻玫饺缦碌膱笪木庉嫶翱冢?/span>
首先要指定數(shù)據(jù)幀發(fā)送的長度,然后從鏈路層開始�����,一個一個將報文填充完成��,如果是NetXray支持可以解析的協(xié)議�,從“Decode”頁面中,可看見解析后的直觀表示�����。
將捕獲到的報文直接轉(zhuǎn)換成發(fā)送報文,然后修修改改可也���。如下是一個捕獲報文后的報文查看窗口:
選中某個捕獲的報文����,用鼠標(biāo)右鍵激活菜單����,選擇“Send Current Packet”,這時你就會發(fā)現(xiàn)����,該報文的內(nèi)容已經(jīng)被原封不動的送到“發(fā)送編輯窗口”中了。這時����,你在修修改改,就比你全部填充報文省事多了���。
發(fā)送模式有兩種:連續(xù)發(fā)送和定量發(fā)送?����?梢栽O(shè)置發(fā)送間隔,如果為0�,則以最快的速度進行發(fā)送。
網(wǎng)絡(luò)監(jiān)視功能能夠時刻監(jiān)視網(wǎng)絡(luò)統(tǒng)計�����,網(wǎng)絡(luò)上資源的利用率����,并能夠監(jiān)視網(wǎng)絡(luò)流量的異常狀況,這里只介紹一下Dashbord和ART�,其他功能可以參看在線幫助,或直接使用即可�����,比較簡單��。
Dashbord可以監(jiān)控網(wǎng)絡(luò)的利用率����,流量及錯誤報文等內(nèi)容。通過應(yīng)用軟件可以清楚看到此功能���。
Application Response Time (ART) 是可以監(jiān)視TCP/UDP應(yīng)用層程序在客戶端和服務(wù)器響應(yīng)時間��,如HTTP,FTP,DNS等應(yīng)用���。
對與TCP/UDP響應(yīng)時間的計算方法如下
TCP For each socket, ART stores the sequence numbers for packets sent by the client and waits for the corresponding ACK packets from the server. It then measures the time difference between the packet with the stored sequence number and the packet with the ACK to arrive at the response time.
UDP For each socket, ART measures the time between packets going from a client to a server and the next packet going from the server to the client.
本章主要對:數(shù)據(jù)報文分層����、以太報文結(jié)構(gòu)��、IP協(xié)議�、ARP協(xié)議、PPPOE協(xié)議����、Radius協(xié)議等的解碼分析做了簡單的描述,目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過解碼分析對協(xié)議進一步了解����。對其其他協(xié)議讀者可以通過協(xié)議文檔和Sniffer捕獲的報文對比分析。
如下圖所示����,對于四層網(wǎng)絡(luò)結(jié)構(gòu),其不同層次完成不通功能���。每一層次有眾多協(xié)議組成�。
如上圖所示在Sniffer的解碼表中分別對每一個層次協(xié)議進行解碼分析�����。鏈路層對應(yīng)“DLC”����;網(wǎng)絡(luò)層對應(yīng)“IP”;傳輸層對應(yīng)“UDP”�����;應(yīng)用層對對應(yīng)的是“NETB”等高層協(xié)議��。Sniffer可以針對眾多協(xié)議進行詳細結(jié)構(gòu)化解碼分析����。并利用樹形結(jié)構(gòu)良好的表現(xiàn)出來。
5.2 以太報文結(jié)構(gòu)
EthernetII以太網(wǎng)幀結(jié)構(gòu)
Ethernet_II以太網(wǎng)幀類型報文結(jié)構(gòu)為:目的MAC地址(6bytes)+源MAC地址+(6bytes)上層協(xié)議類型(2bytes)+數(shù)據(jù)字段(46-1500bytes)+校驗(4bytes)�����。
Sniffer會在捕獲報文的時候自動記錄捕獲的時間���,在解碼顯示時顯示出來��,在分析問題時提供了很好的時間記錄�。
源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來,方便定位問題����,例如網(wǎng)絡(luò)上2臺設(shè)備IP地址設(shè)置沖突,可以通過解碼翻譯出廠商信息方便的將故障設(shè)備找到�����,如00e0fc為華為�����,010042為Cisco等等���。如果需要查看詳細的MAC地址用鼠標(biāo)在解碼框中點擊此MAC地址�����,在下面的表格中會突出顯示該地址的16進制編碼���。
IP網(wǎng)絡(luò)來說Ethertype字段承載的時上層協(xié)議的類型主要包括0x800為IP協(xié)議,0x806為ARP協(xié)議。
IEEE802.3以太網(wǎng)報文結(jié)構(gòu)
上圖為IEEE802.3SNAP幀結(jié)構(gòu)��,與EthernetII不通點是目的和源地址后面的字段代表的不是上層協(xié)議類型而是報文長度���。并多了LLC子層。
IP報文結(jié)構(gòu)為IP協(xié)議頭+載荷����,其中對IP協(xié)議頭部的分析,時分析IP報文的主要內(nèi)容之一���,關(guān)于IP報文詳細信息請參考相關(guān)資料�。這里給出了IP協(xié)議頭部的一個結(jié)構(gòu)����。
版本:4——IPv4
首部長度:單位為4字節(jié),最大60字節(jié)
TOS:IP優(yōu)先級字段
總長度:單位字節(jié)�,最大65535字節(jié)
標(biāo)識:IP報文標(biāo)識字段
標(biāo)志:占3比特,只用到低位的兩個比特
MF(More Fragment)
MF=1��,后面還有分片的數(shù)據(jù)包
MF=0��,分片數(shù)據(jù)包的最后一個
DF(Don't Fragment)
DF=1�����,不允許分片
DF=0,允許分片
段偏移:分片后的分組在原分組中的相對位置�����,總共13比特��,單位為8字節(jié)
壽命:TTL(Time To Live)丟棄TTL=0的報文
協(xié)議:攜帶的是何種協(xié)議報文
1 :ICMP
6 :TCP
17:UDP
89:OSPF
頭部檢驗和:對IP協(xié)議首部的校驗和
源IP地址:IP報文的源地址
目的IP地址:IP報文的目的地址
上圖為Sniffer對IP協(xié)議首部的解碼分析結(jié)構(gòu)��,和IP首部各個字段相對應(yīng)����,并給出了各個字段值所表示含義的英文解釋。如上圖報文協(xié)議(Protocol)字段的編碼為0x11����,通過Sniffer解碼分析轉(zhuǎn)換為十進制的17,代表UDP協(xié)議�����。其他字段的解碼含義可以與此類似���,只要對協(xié)議理解的比較清楚對解碼內(nèi)容的理解將會變的很容易�。
以下為ARP報文結(jié)構(gòu)
ARP分組具有如下的一些字段:
HTYPE(硬件類型)。這是一個16比特字段���,用來定義運行ARP的網(wǎng)絡(luò)的類型���。每一個局域網(wǎng)基于其類型被指派給一個整數(shù)。例如�,以太網(wǎng)是類型1��。ARP可使用在任何網(wǎng)絡(luò)上�。
PTYPE(協(xié)議類型)。這是一個16比特字段���,用來定義協(xié)議的類型�����。例如�����,對IPv4協(xié)議�����,這個字段的值是0800����。ARP可用于任何高層協(xié)議。
HLEN(硬件長度)�。這是一個8比特字段,用來定義以字節(jié)為單位的物理地址的長度��。例如�,對以太網(wǎng)這個值是6。
PLEN(協(xié)議長度)�。這是一個8比特字段,用來定義以字節(jié)為單位的邏輯地址的長度���。例如����,對IPv4協(xié)議這個值是4�。
OPER(操作)。這是一個16比特字段���,用來定義分組的類型���。已定義了兩種類型:ARP請求(1)�����,ARP回答(2)�。
SHA(發(fā)送站硬件地址)����。這是一個可變長度字段,用來定義發(fā)送站的物理地址的長度���。例如,對以太網(wǎng)這個字段是6字節(jié)長�����。
SPA(發(fā)送站協(xié)議地址)����。這是一個可變長度字段,用來定義發(fā)送站的邏輯(例如����,IP)地址的長度。對于IP協(xié)議�����,這個字段是4字節(jié)長。
THA(目標(biāo)硬件地址)���。這是一個可變長度字段�����,用來定義目標(biāo)的物理地址的長度�����。例如�����,對以太網(wǎng)這個字段是6字節(jié)長���。對于ARP請求報文,這個字段是全0����,因為發(fā)送站不知道目標(biāo)的物理地址。
TPA(目標(biāo)協(xié)議地址)���。這是一個可變長度字段��,用來定義目標(biāo)的邏輯地址(例如��,IP地址)的長度��。對于IPv4協(xié)議����,這個字段是4字節(jié)長。
上面為通過Sniffer解碼的ARP請求和應(yīng)答報文的結(jié)構(gòu)�。
PPPOE簡介
簡單來說我們可能把PPPOE報文分成兩大塊,一大塊是PPPOE的數(shù)據(jù)報頭��,另一塊則是PPPOE的凈載荷(數(shù)據(jù)域)��,對于PPPOE報文數(shù)據(jù)域中的內(nèi)容會隨著會話過程的進行而不斷改變����。下圖為PPPOE的報文的格式:
數(shù)據(jù)報文最開始的4位為版本域��,協(xié)議中給出了明確的規(guī)定��,這個域的內(nèi)容填充0x01���。
緊接在版本域后的4位是類型域�,協(xié)議中同樣規(guī)定,這個域的內(nèi)容填充為0x01�����。
代碼域占用1個字節(jié)�,對于PPPOE 的不同階段這個域內(nèi)的內(nèi)容也是不一樣的。
會話ID點用2個字節(jié)�,當(dāng)訪問集中器還未分配唯一的會話ID給用戶主機的話,則該域內(nèi)的內(nèi)容必須填充為0x0000�,一旦主機獲取了會話ID后,那么在后續(xù)的所有報文中該域必須填充那個唯一的會話ID值��。
長度域為2個字節(jié)�,用來指示PPPOE數(shù)據(jù)報文中凈載荷的長度。
數(shù)據(jù)域����,有時也稱之為凈載荷域,在PPPOE的不同階段該域內(nèi)的數(shù)據(jù)內(nèi)容會有很大的不同���。在PPPOE的發(fā)現(xiàn)階段時��,該域內(nèi)會填充一些Tag(標(biāo)記)�;而在PPPOE的會話階段,該域則攜帶的是PPP的報文����。
捕獲報文測試用例圖
如圖所示,Radius Server IP地址為172.16.20.76�����。PPPOE用戶Radius報文交互過程分析如下�����。
上圖為PPPOE從發(fā)現(xiàn)階段到PPP LCP協(xié)商����,認證IPCP協(xié)商階段和PPPOE會話階段交互過程。
PPPOE發(fā)現(xiàn)階段���,PADI報文,Sniffer解碼結(jié)構(gòu)如下所示�。
PPPOE會話階段,Sniffer解碼結(jié)構(gòu)如下所示�。
Radius報文簡介
標(biāo)準(zhǔn)Radius協(xié)議包結(jié)構(gòu)
圖9 Radius包格式
Code:包類型;1字節(jié)��;指示RADIUS包的類型。
1 Access- request 認證請求
2 Access- accept 認證響應(yīng)
3 Access- reject 認證拒絕
4 Accounting-request 計費請求
5 Accounting-response 計費響應(yīng)
*11 Access-challenge 認證挑戰(zhàn)
Identifier: 包標(biāo)識��;1字節(jié)���,取值范圍為0 ~255�����;用于匹配請求包和響應(yīng)包�����,同一組請求包和響應(yīng)包的Identifier應(yīng)相同��。
Length: 包長度���;2字節(jié);整個包中所有域的長度����。
Authenticator:16 字節(jié)長;用于驗證RADIUS服務(wù)器傳回來的請求以及密碼隱藏算法上��。
該驗證字分為兩種:
1、請求驗證字---Request Authenticator
用在請求報文中,必須為全局唯一的隨機值��。
2���、響應(yīng)驗證字---Response Authenticator
用在響應(yīng)報文中��,用于鑒別響應(yīng)報文的合法性����。
響應(yīng)驗證字=MD5(Code+ID+Length+請求驗證字+Attributes+Key)
Attributes:屬性
圖10 屬性格式
屬性域是TLV結(jié)構(gòu)編碼���。
測試用例圖
下圖為用戶端PPPOE���,Radius Server和BAS交互的認證上線和下線的過程。
報文1:BAS請求Radius Server認證報文����。
報文2:Radius Server回應(yīng)BAS認證通過報文。
報文3:BAS計費請求報文�����。
報文4:Radius Server計費響應(yīng)報文�。
報文5:BAS計費結(jié)束報文。
報文6:Radius Server計費結(jié)束響應(yīng)報文��。
從中可以看出對于報文請求和響應(yīng)是通過IP地址+Radius 協(xié)議域中ID號進行配對識別的����。
上圖顯示了BAS發(fā)起的Radius認證請求(Code=1)報文的結(jié)構(gòu)。Radius報文是承載在UPD協(xié)議之上的�,這里我沒不關(guān)注上層報文的結(jié)構(gòu)。
下圖為PPPOE CHAP認證過程的Radius認證請求報文和PPPOE中CHAP認證的Challenge報文��。通過比較可以方便看出BAS發(fā)出的Challenge值為“26fe8768341de68a72a1276771e1c1ca”與PPPOE中CHAP認證過程中BAS發(fā)給PPPOE用戶的Challenge值是一致的���。
下圖為PPPOE用戶發(fā)為BAS的經(jīng)過CHAP加密后的用戶密碼和BAS發(fā)給Radius Server中認證請求報文用戶秘密屬性域的比較����?��?梢钥闯鲈?/span>Radius 認證過程中����,BAS設(shè)備將Challenge屬性和用戶加密后的密碼發(fā)給Radius進行驗證�。
通過比較可以清楚了解協(xié)議各字段含義相互關(guān)系,為問題處理提供有效的手段��。
下面為PPPOE用戶Radius認證的Sniffer捕獲的報文。
