NetXRay主要是用做

1、NETXRAY 使用（一）、說明：NetXRay主要是用做 Ethernet 乙太網(wǎng)路上的網(wǎng)管軟體,各種駕於其上的protocal 如phisical layer的IP,APPLETALK,NetBUEI 如TCP/UDP甚至如application layer的telnet ftp等 NetXRay都能做詳細的分析而NetXRay的功能主要分成三大類 （二）、接收並分析封包之功能        NetXRay 可以在同一個子網(wǎng)路內(nèi)對單個節(jié)點或多個節(jié)點同時進行各種protocal封包的攔劫,並加以適當(dāng)?shù)姆诸惣胺治?#160;

2、     作法：1、程式集->NetXray （出現(xiàn)下圖1） 2、選定 Capture -> Capture Filter Setting 設(shè)定擷取模式（如上圖2）3、.Address1.Address Type:        此欄有 Mac address 和 IP address兩種選擇 .一般說來如果是在 TCP/IP 網(wǎng)路上,IP 會是較便利的選擇。注意 : (Known Address (Dragable) 的顯示方式會隨著此欄而改變)2.Mode&#

3、160;       Exclude 表示NetXRay將不攔截你所指定在 Station 1 和 Station 2的節(jié)點封包。Include 恰與Exclude相反,是只抓下 Station 1 和 Station 2 的節(jié)點封包3.Know Address (Dragable)        此欄位可以讓使用者以 drog and drop 的方式 ,將其所要設(shè)定的節(jié)點拖曳至下面的 Station 1 2中.而 ANY,Boradcast.

4、等等所代表的意義請見 4. Station 1 and Station 2  4.Station 1 and Station 2                Station 1 和Station 2中的欄位表示預(yù)抓取封包的節(jié)點. 而 Dir. 表示封包的流動方向 而在Know Address中的 ANY 表示任何位址,BoardCast/Multicast則是廣播和多點傳送的固定位址。範(fàn)例:抓取海大資科系PC實驗室中的 Pc

5、lab122 跟.tw的雙方交談封包: Station 1Dir.Station 2P.tw<->.tw抓取海大資科系PC實驗室中的Pclab123跟 .tw之單向交談封包: Station 1Dir.Station 2P.tw->.tw抓取海大資科系PC實驗室中的Pclab123所有對外通訊之雙向交談封包以及Pclab140跟 .tw 之單向交談封包 Station 1Dir

6、.Station 2P.tw<->ANYP.tw->.tw                           抓取海大資科系子網(wǎng)域底下的所有封包 Station 1Dir.Station 2ANY<-&g

7、t;ANY注意事項 : 1 Station 1 和 Station 2 位置對調(diào)可以,只是要注意 Dir.的方向.                    2.欄位內(nèi)打 IP address 或 Domain Name皆可                

8、;     3.只有所在的子網(wǎng)路底下的封包才可抓取! 因為不是子網(wǎng)路內(nèi)的封包是不會被送到所在子網(wǎng)路內(nèi)的(因為 IP Routing 機制) .所以可以說只有在子網(wǎng)路內(nèi)流動的封包,跟有進出  Router的封包才可被抓取4、Data Pattern （不動） 5、Advance Filter此頁為設(shè)定NetXRay預(yù)抓取何種Protocal的封包 範(fàn)例1:假設(shè)我預(yù)抓取所有 IP Protocal 還有 NetBUEI 的封包,那麼就如下:範(fàn)例2:假設(shè)我預(yù)抓取 FTP 跟 TELNET protocal的封包的話如下注意 : 應(yīng)

9、先點取 IP 再點取 TCP 之後才會有 FTP這個 Layer的一些協(xié)定可以選。 5、Buffer此部份為設(shè)定NetXRay抓取封包時的一些選項1.Buffer size : 設(shè)定攔截多少封包(BYTE)之後停止2.Packet size:  抓取封包的的大小設(shè)定. 如圖即為設(shè)定只抓取封包的前 32 Byte注意:如果如圖設(shè)定32Byte的話等一下封包時就只能看到 32 BYYE部份 (大概只有IP Header部份),以此類推3.When Buffer is full: 1.Stop capture 停止攔截      

10、      4.Wrap buffer   清除先前所攔截的封包,繼續(xù)攔截 6、設(shè)定好後，按確定7、設(shè)定好Filter之後按下"Play"就開始抓封包了.選1的話是先行暫停選2的話是停止選3的話是停止並且察看封包，但不管如何只要有個望遠鏡的就是可以看封包的.8、封包分析可以看到.這個視窗分為三個部份第一部份是31個被我們抓到的封包的 List.每一行就代表一個封包第二部份是針對在第一部份被我們選取的封包,加以分析的結(jié)果,譬如說上圖我選取了第一個封包,而此部份就是第一個封包的欄位解析.第三部份則是

11、在第一部份被我們選取的封包的原始內(nèi)容.如果我們剛才在第二部份點選了一個欄位,那麼在這個視窗中所對應(yīng)的原始內(nèi)容就會反白(變綠色)由此圖中我們可以看出前三個是TCP封包,有SYN的那麼就可以知道這三個封包就是常說的three way handshake.(TCP連結(jié)建立機制)在此圖的第二部份則是 NetXray把各個欄位加以解析.如圖我們可看到 Port number, Sequence Number,Ack Number,Window size等等.接下來第四個也是TCP封包,不過是有DATA的,而DATA部份是 TELNET protocal(在 NetXray中well known的prot

12、ocal都有特別顏色來標(biāo)明,譬如TELNET就是頑皮豹色).而 NetXray也會對 TELNET的欄位加以解析(不過此圖沒看到.)（三）、傳送封包的功能           NetXRay 可以在本機上對網(wǎng)路送出Captured Packet(已攔截之封包)或自定封包用以來測試網(wǎng)路硬體和軟體狀況      這一部份是NetXRay丟封包到網(wǎng)路上的部份.不過實用性好像不怎麼高,一般人比較不會用到這一部份。況且丟封包其實是件蠻危險的事情,要是丟出去的封包內(nèi)容

13、有甚麼差錯,後果常是難以預(yù)料的.1 停止傳封包 2 傳送新的封包3.從Buffer中將先前抓的封包拿出來傳送4.傳送整個Buffer（四）、網(wǎng)路管理監(jiān)看的功能         1.對子網(wǎng)路整體而言:NetXRay 可以統(tǒng)計此subnet中網(wǎng)路流量情形,錯誤發(fā)生情形,及protocal的使用分配情形        2.對子網(wǎng)路內(nèi)的某單一節(jié)點而言:NetXRay 可以得之其網(wǎng)路流量,並監(jiān)看其封包 網(wǎng)路管理1.DashBoard將區(qū)網(wǎng)上的流量以簡要的形

14、式顯示. 1在境內(nèi)每秒共有多少封包在流竄 :p (子網(wǎng)內(nèi)共有多少封包在傳送)2.在境內(nèi)每秒共有多少Error發(fā)生.(如CRC)2.HostTable  觀察區(qū)網(wǎng)下每個Host的網(wǎng)路流量情形此 table每一列皆是一個Host,以Mac Address表示，第一欄 Hw Addr就是此 Host的硬體位址,In Pkts就是傳進此Host的封包數(shù)目,Out Pkts是傳出的.     In Octets 是傳入此Host的Octets總數(shù)(大部份都可以看成Byte),Out Octets 是傳出的.  Broadcast是廣播封包數(shù)目,

15、Multicast是多點傳送封包數(shù)目在此表中我們可看到 0010796E0108這個機器它的流量最大(流進,流出皆是).3.Matrix     觀察區(qū)網(wǎng)下Host跟Host之間的流量情形由此圖中我們可以知道 3Com119421  跟 3Com217692這兩臺Host最熱絡(luò).(Packets最多Byte數(shù)也最多)4.History     將網(wǎng)路上的數(shù)據(jù)以圖表的方式表示History是DashBoard的延申.History可以將網(wǎng)路狀況記錄下來,並以圖表的方式顯示假設(shè)我選取了Packets/s這個 icon,

16、然後靜待五分鐘.則會得到.1是長條圖顯示 2是直線顯示3是塊狀圖顯示4是將此結(jié)果匯入CSV檔5是調(diào)整Y軸的單位由此圖可得知所在的子網(wǎng)路在七點三分左右的Packet流量有稍微小一點.當(dāng)然.您可以選擇別的(Error/s,Boardcast/s.)來觀察.5.Protocal Distribution      分析網(wǎng)路上各種通訊協(xié)定的分佈狀況Protocal Distribution1以Layer 2方式顯示 2以TCP/IP方式顯示3以Packet的單位顯示4以Byte的單位顯示5以長條圖顯示6以圓餅圖顯示7暫停   8停止9.dum

17、p到CSV檔中如圖中我們可知道.此時此刻 IP protocal佔了大多數(shù)!(99.33%)若如果我們還想深入了解 IP中的protocal情況.就得按 "2"囉.由此圖中我們可得知FTP佔了絕大部份(98.12%,.),Telnet佔了(1.6%),DNS.等等.6.Alarm Log    設(shè)定網(wǎng)路狀況警告此功能是為了提醒管理員某些異常的狀況,例如 CRC的大幅增加,或是Packet/s增加到某個程度.不過每個網(wǎng)路的需求可能都不太一樣,由 Tools -> Options -> Threshold此處設(shè)定之.如圖 Packet/

18、s 是設(shè)定超過 4000的話會引發(fā)Alarm記錄並警告Error/s是超過 3Broadcast/s是超過45       而Interval部份則是每10秒鐘Alarm會去check一次(意即,如果某個值超過了,但Alarm並非在Interval那段時間,所以Alarm也不會知道,也就不會紀錄並警告)設(shè)定好之後我們就可以讓Alarm啟動.如果您有聽到滴滴聲的話表示Alarm警告並紀錄下某些事件.如圖所示.我將 Packet/s的Threshold設(shè)成 5所以只要區(qū)網(wǎng)中某個時候的Packets/s流量大於5,則Alarm就會紀錄並且"滴滴."所以.第一列的Packets/s是 8 ,第二列的Packets/s 是 10.皆被記錄下來7.Address Book      設(shè)定Host的資料Address Book的目地即讓使用者可以將常用的位址存起來以便拖曳說明:    1.New Address:為Address Book 新增一筆節(jié)點資料    2.Edit Addr