Dashboard:可以實時統(tǒng)計每秒鐘接收到的包的數(shù)量、出錯包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等。

HostTable：可以查看通信量最大的前10位主機。

Matrix:通過連線，可以形象的看到不同主機之間的通信。

ApplicationResponseTime:可以了解到不同主機通信的最小、最大、平均響應(yīng)時間方面的信息。

HistorySamples:可以看到歷史數(shù)據(jù)抽樣出來的統(tǒng)計值。

Protocoldistribution:可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況。

Switch:可以獲取cisco交換機的狀態(tài)信息。

在捕獲過程中，同樣可以對想觀察的信息定義過濾規(guī)則，操作方式類似捕獲前的過濾規(guī)則。

三、捕獲數(shù)據(jù)包后的分析工作

要停止sniffer捕獲包時，點選CaptureàStop或者CaptureàStopandDisplay,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進行解碼和顯示。如圖7：

圖7

Decode:對每個數(shù)據(jù)包進行解碼，可以看到整個包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息，事實上，sniffer的使用中大部分的時間都花費在這上面的分析，同時也對使用者在網(wǎng)絡(luò)的理論及實踐經(jīng)驗上提出較高的要求。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問題的結(jié)癥所在。

Expert:這是sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進行分類并作出診斷。其中diagnoses提出非常有價值的診斷信息。圖8，是sniffer偵查到IP地址重疊的例子及相關(guān)的解析。

圖8
sniffer同樣提供解碼后的數(shù)據(jù)包過濾顯示。

要對包進行顯示過濾需切換到Decode模式。

Displayàdefinefilter，定義過濾規(guī)則。

Displayàselectfilter,應(yīng)用過濾規(guī)則。

顯示過濾的使用基本上跟捕獲過濾的使用相同。

四、sniffer提供的工具應(yīng)用

sniffer除了提供數(shù)據(jù)包的捕獲、解碼及診斷外，還提供了一系列的工具，包括包發(fā)生器、ping、traceroute、DNSlookup、finger、whois等工具。

其中，包發(fā)生器比較有特色，將做簡單介紹。其他工具在操作系統(tǒng)中也有提供，不做介紹。

包發(fā)生器提供三種生成數(shù)據(jù)包的方式：

點選

，新構(gòu)一個數(shù)據(jù)包，包頭、包內(nèi)容及包長由用戶直接填寫。圖9，定義一個廣播包，使其連續(xù)發(fā)送，包的發(fā)送延遲位1ms

圖9

點選

發(fā)送在Decode中所定位的數(shù)據(jù)包，同時可以在此包的基礎(chǔ)上對數(shù)據(jù)包進行如前述的修改。

點選

，發(fā)送buffer中所有的數(shù)據(jù)包，實現(xiàn)數(shù)據(jù)流的重放。見圖10：

圖10

可以定義連續(xù)地發(fā)送buffer中地數(shù)據(jù)包或只發(fā)送一次buffer中地數(shù)據(jù)包。請?zhí)貏e注意，不要在運行的網(wǎng)絡(luò)中重放數(shù)據(jù)包，否則容易引起嚴重的網(wǎng)絡(luò)問題。數(shù)據(jù)包的重放經(jīng)常用于實驗環(huán)境中。