文档介绍:Sniffer 抓包分数据包分析手册
前言
现在大家在一线解决故障过程中,经常会利用 sniffer 软件来分析网络中的数据包,从而
为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer 的包文对
于解决问题确实起到了很大的作用,但很多时候有些人所提供的 sniffer 数据包什么数据都抓,
很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓
扑图,数据包中的源端口、目的端口、IP 地址等方面的说明,这样不利于相关人员的分析和定
位。为此,我做个这方面的 case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
i
认证客户端与 NAS 设备(交换机)报文交互
一、捕获数据包拓扑图:
F0/2 S2126G 交换机
F0/16
MAC:00D0-F8EF-99DC
SAMII 服务器
MAC:
认证客户端电脑
二、捕获数据包的目的: MAC:0040-050c-0AC4
1、捕获认证客户端电脑()与 S2126G 交换机交互的报文;
2、捕获 S2126G 交换机与 SAMII 服务器()交互的报文;
三、所捕获得到的 sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即
可以大概知道该 sniffer 的报文的内容;同时,对于每个 sniffer 文件,请用一个
简短地说明,这样便于相关的人员能够更好地知道 sniffer 报文的内容;
四、交换机的配置:
show run
Building configuration...
Current configuration : 633 bytes
version
hostname Switch
radius-server host
aaa authentication dot1x
aaa accounting server
ii
aaa accounting
enable secret level 1 5 %2,1u_;C34-8U0<D4'.tj9=GQ+/7R:>H
enable secret level 15 5 %2-aeh`***@34'dfimL4t{bcknAQ7zyglow
interface 0/16
dot1x port-control auto
interface vlan 1
no shutdown
ip address
radius-server key start
ip default-gateway
五、开始捕获认证客户端电脑与 S2126G 交换机交互报文时,sniffer 程序的设置准备:由于我
们只关心认证客户端电脑与 S2126G 交换机之间的报文,因此我们需要将其他电脑或交换机所发
的广播等报文过过滤掉,而交换机与认证客户端之间报文的交互,都是通过二层的 MAC 地址来
进行的,因此我们要设置 sniffer 程序的捕获条件,即定义“定义捕获数据过滤板”,设置过程
如下:
在主菜单,选择 Capture(捕获),选中 Define filter(定义过滤器)。在 Define Filter
(定义过滤器) 中的 Address(地址)的 Address(地址类型)选择 Hardware;Mode(模式)
选择 Include(包含);在 Station1(位置 1) 输入认证客户端电脑的网卡 MAC 地址:
0040-050c-0ac4,Station 2(位置 2) 输入交换机的 MAC 地址 00d0-f8ef-99dc,选择捕获双向
数据流;然后有在 Station1 (位置1)输入认证客户端电脑的网卡 MAC 地址:0040-050c-0ac4,
在 Station 2(位置 2)输入组播地址:0180-C200-0003(注:此组播地址为我们客户端私有组
播地址),选择捕捉双向数据流。然后选择 Capture(选择过滤器)中的 Select Filter 中的
Defa