BCB + VC 打造的 網絡監控 (Sniffer) |
|
skcc
中階會員 ![]() ![]() ![]() 發表:36 回覆:96 積分:88 註冊:2002-08-28 發送簡訊給我 |
Hello! 大家好!很久沒露面了!(噓~~ 。潛水很久了...) 嗯…廢話不多說了,這個只是個初版,其他功能還未完善。歡迎大家多給議建… 我一向沒有門戶之分,VC 和 BCB 各有各的長處。在這裡我也不多說了:-) 這次我使用 WinPcap Lib + VC 作 Packet Capture 這部份(即 Packet Writer),然後用 BCB 作欄截 VC 所發出的 Message 和分析部份(即 Packet Analyzer)。 Packet Writer 的畫面
![]() ![]() ![]() |
skcc
中階會員 ![]() ![]() ![]() 發表:36 回覆:96 積分:88 註冊:2002-08-28 發送簡訊給我 |
最近收到有些網友的查詢,有關我這個"網絡監控"的操作方法,所以在此我簡略作說明一下: 安裝步驟
1. 先從 http://winpcap.polito.it 下載 WinPcap 3.01a
2. 安裝 WinPcap
3. 從本網下載了 LANCapture.zip 後,解壓到 C:\LANCAPTURE
4. 新增一個名為 C:\DUMP 的目錄。
執行與操作 1. 先從 C:\LANCAPTURE 目錄中執行 PacketWriter.EXE 2. 如果你的電腦有多過一張 LAN Card,請在 PacketWriter 的 Adapter 中選擇要從哪一張 LAN Card 作欄截封包 3. 輸入欲監控的內網 IP 的路徑,例如: 例一、 欲監控的 IP : 192.168.1.x Subnet Mask : 255.255.255.0 那麼你應該在 Internal IP 輸入 192.169.1.0 而 Subnet Mask 則輸入 255.255.255.0 例二、 欲監控的 IP : 202.14.99.x Subnet Mask : 255.255.255.240 那麼你應該在 Internal IP 輸入 202.14.99.240 而 Subnet Mask 則輸入 255.255.255.2404. 一切無誤後,按下 Start Listen 按鈕。 5. 執行 Packet Analyzer ,即 C:\LANCAPTURE 目錄中執行 PA.EXE Packet Analyzer 封包分析師 Packet Analyzer 提供了不同的方法來分析網絡封包,以下為簡單說明: 1. Minute Chart 分鐘圖 可於功能表中選 Chart 來啟用,利用此分鐘圖,可清楚看到那一段時間封包流量最大,那一段時間的輸入或輸出不尋常等等.... 圖表上有三條不同顏色的線: 綠色代表內網收到的封包量 RX,單位為 (kb/min) 藍色代表內網送出的封包量 SX ,單位為 (kb/min) 紅色代表總傳輸量 TX,即 RX SX ,單位為 (kb/min) 在圖中的紅色線的每一點按下 double click,即可呼叫該時段的 Packet Details 視窗。 2. Minute Data 分鐘數據 可於功能表中選 Detailed Info -> Minute Data 來啟用,其功用與 Minute Chart 大同小異,差異祇在於可顯示出確實數字而已。 在圖每一列數據按下 double click,即可呼叫該時段的 Packet Details 視窗。 3. IP and Port Through-Put Monitor 即時流量監視 可於功能表中選 Detailed Info -> IP and Port Through-Put 來啟用。此視窗在畫面上分為兩邊,左邊為內網情況,右邊為外界情況。預設以每秒鐘更新一次,以每一個 IP 所對應的 Port 的流量作即時統計。並以總流量作排序。 4. Packet Details in Minute 分鐘數據封包分析 可於 Minute Chart 或 Minute Data 中以滑鼠 double click 啟用。利用此視窗,監控者可以據內網的 IP 和所使用 Port,在此時段內查出每一個外界每一個連接的 IP 和 Port,再跟據這個條件找出這個連接中的所有封包。從而可計算出入流量。除此之外,Packet Analyzer 會針對 HTTP 封包進行解拆,提供更多資訊。 簡單來說,你可以從 Packet Details in Minute 視窗中取得以資訊: i. 該分鐘內的出入流量 ii. 該分鐘內有那些連接和流量 iii. 每一個連接的封包詳細情形 iv. HTTP 封包的額外資訊注意: 即是說,你用作網絡監控的電腦並不需要取得欲監控的 IP,祇要封包流經過此 LAN Card 便可。另外有些情況即使物理上連線了,但仍不能欄截封包。 例如你把用作監控的電腦連接於 Switch 或其他 Device (而不是 Hub),因為有些網絡設備就以 Switch 為例,為了提高傳輸效率,因此有 routing 基制,TCP 封包祇可以由一個 Port 傳到另一個 Port而不用流經其他 Port。亦即是硬體本身己經 Filter 了封包。所以使用前請確認一下你的網絡連接設備是否為 Hub。 Anthony Lee 發表人 - skcc 於 2004/09/21 14:27:35 |
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |