示例:查看谁在发送广播包

我给某单位调试网络,发现计算机ping网关时通时断,不能判断是硬件故障还是软件故障,但是看到交换机的所有端口指示灯疯狂闪烁,看样子在疯狂地转发数据,初步判断网络中有广播包。到底哪台计算机在网上发送广播?需要使用抓包工具捕获网络中的数据包,通过查看数据包的源IP地址找到发送广播包的计算机。

下面将会演示使用捕包工具捕获数据包,并且查看数据包的层次结构、数据链路层的内容、网络层的内容以及传输层的内容和数据。排序数据包,保存捕获的数据包,打开捕获的数据包,查看网络中的广播帧。

现在演示使用Ethereal-setup-0.99.0.exe抓包工具,分析数据包结构,保存数据包,打开保存的数据包。

在“捕包软件”计算机上,安装Ethereal-setup并运行该软件。

(1)如图2-213所示,单击抓包工具排除网络故障---查看谁在发送广播包_IP地址图标,选择网卡,单击Capture按钮,开始捕包。

(2)如图2-214所示,在出现的Ethereal:Capture from…对话框中,可以看到网络捕包中各个协议的比例,单击“Stop”按钮,停止并查看捕获的数据包。

抓包工具排除网络故障---查看谁在发送广播包_交换机_02抓包工具排除网络故障---查看谁在发送广播包_软件故障_03

▲图2-213 选择捕包网卡 ▲图2-214 开始捕包

(3)如图2-215所示,在上栏选中第一个数据包、中栏选中Frame,在下栏可以看到整个帧。

(4)如图2-216所示,在中栏选中Ethernet,在下栏可以看到数据帧的源MAC地址和目标MAC地址,即整个数据帧的数据链路层部分。

抓包工具排除网络故障---查看谁在发送广播包_IP地址_04抓包工具排除网络故障---查看谁在发送广播包_软件故障_05

▲图2-215 整个帧 ▲图2-216 帧的数据链路层

(5)如图2-217所示,在中栏选中Internet Protocol,在下栏可以看到整个数据帧的网络层部分,包括数据帧的目标IP地址和源IP地址。

(6)如图2-218所示,在中栏选中User Datagram Protocol,可以看到数据帧的传输层部分,包括数据包的源端口和目标端口。

抓包工具排除网络故障---查看谁在发送广播包_计算机_06抓包工具排除网络故障---查看谁在发送广播包_硬件故障_07

▲图2-217 查看数据包的源地址和目标地址 ▲图2-218 源端口和目标端口

(7)如图2-219所示,在中栏选中Domain Name System,可以看到整个帧的数据部分。

(8)如图2-220所示,单击Protocol字段,可以将捕获的数据包按协议排序。

抓包工具排除网络故障---查看谁在发送广播包_IP地址_08抓包工具排除网络故障---查看谁在发送广播包_软件故障_09

▲图2-219 查看数据包的数据部分 ▲图2-220 按协议排序数据包

(9)如图2-221所示,选择File→Save菜单命令,可以将捕获的数据包保存,供以后分析使用。

(10)选择File→Open菜单命令,可以打开以前捕获的数据包。图2-222是打开的以前排错网络故障抓获的数据包。可以看到捕获的数据包后面全是广播包,因此网络发生堵塞。通过查看广播的发送者的IP地址,就能找到发送者。

抓包工具排除网络故障---查看谁在发送广播包_交换机_10

http://91xueit.blog.51cto.com