示例:查看谁在发送广播包
我给某单位调试网络,发现计算机ping网关时通时断,不能判断是硬件故障还是软件故障,但是看到交换机的所有端口指示灯疯狂闪烁,看样子在疯狂地转发数据,初步判断网络中有广播包。到底哪台计算机在网上发送广播?需要使用抓包工具捕获网络中的数据包,通过查看数据包的源IP地址找到发送广播包的计算机。
下面将会演示使用捕包工具捕获数据包,并且查看数据包的层次结构、数据链路层的内容、网络层的内容以及传输层的内容和数据。排序数据包,保存捕获的数据包,打开捕获的数据包,查看网络中的广播帧。
现在演示使用Ethereal-setup-0.99.0.exe抓包工具,分析数据包结构,保存数据包,打开保存的数据包。
在“捕包软件”计算机上,安装Ethereal-setup并运行该软件。
(1)如图2-213所示,单击图标,选择网卡,单击Capture按钮,开始捕包。
(2)如图2-214所示,在出现的Ethereal:Capture from…对话框中,可以看到网络捕包中各个协议的比例,单击“Stop”按钮,停止并查看捕获的数据包。
▲图2-213 选择捕包网卡 ▲图2-214 开始捕包
(3)如图2-215所示,在上栏选中第一个数据包、中栏选中Frame,在下栏可以看到整个帧。
(4)如图2-216所示,在中栏选中Ethernet,在下栏可以看到数据帧的源MAC地址和目标MAC地址,即整个数据帧的数据链路层部分。
▲图2-215 整个帧 ▲图2-216 帧的数据链路层
(5)如图2-217所示,在中栏选中Internet Protocol,在下栏可以看到整个数据帧的网络层部分,包括数据帧的目标IP地址和源IP地址。
(6)如图2-218所示,在中栏选中User Datagram Protocol,可以看到数据帧的传输层部分,包括数据包的源端口和目标端口。
▲图2-217 查看数据包的源地址和目标地址 ▲图2-218 源端口和目标端口
(7)如图2-219所示,在中栏选中Domain Name System,可以看到整个帧的数据部分。
(8)如图2-220所示,单击Protocol字段,可以将捕获的数据包按协议排序。
▲图2-219 查看数据包的数据部分 ▲图2-220 按协议排序数据包
(9)如图2-221所示,选择File→Save菜单命令,可以将捕获的数据包保存,供以后分析使用。
(10)选择File→Open菜单命令,可以打开以前捕获的数据包。图2-222是打开的以前排错网络故障抓获的数据包。可以看到捕获的数据包后面全是广播包,因此网络发生堵塞。通过查看广播的发送者的IP地址,就能找到发送者。