网络抓包小能手

工具使用方法

如何使用软件

打开网络抓包分析小能手程序，双击运行。

使用网络抓包分析小能手

• 打开文件选择按钮，选择需要分析的数据包，
• 点击start进行分析，如果数据包比较大分析时间比较长

软件功能区介绍

• 数据包过滤栏
• 数据包显示区域

依次显示抓取的数据包，时间、源mac、目的mac、源ip、目的ip和备注信息

• 数据包包头显示区域

显示数据包的详细包头（解析数据链路层、IP层和传输层）

• 抓包检测提示区域

对抓取的数据包解析，功能见第二章节

• 参数配置选项

可以对参数进行配置

目前可修改参数为arp的响应时间，如果超过阈值，自动提示和告警。

单包分析功能

arp报文响应检测

检测arp报文请求和arp报文响应时间。软件默认时间1秒。超过1秒会告警。可以在config设置时间值。

在广播域比较大的网络里，设备之间通信时，使用mac地址查询和转发，如果设备比较多，会导致arp表溢出，访问需要发送arp请求，等待对端arp响应，arp响应时间，同时也是网络中断时间。

ip地址冲突检测

同一个ip地址，出现两个或多个mac地址告警。一般情况是网络中有两台设备配置相同的IP地址。

特殊情况：服务器端口聚合时，Mode=4(802.3ad)、Mode=5(balance-tlb)、Mode=6(balance-alb)会出现单个IP地址有两个MAC地址，这种情况下也可以辨析，MAC地址相近。

数据包带VLAN TAG

当检测到数据包带vlan tag封装时，linux服务器无法解析该数据，需要传输交换机去掉vlan tag才可以解析。

网卡聚合检测

服务器配置双网卡聚合时，如果tcpdump 网卡参数为-i any时，抓取的报文都是重复2份，建议tcpdump抓包时网卡参数设为 –i bondx(bondx为聚合设置的逻辑网卡组)

TCP三次握手检测

TCP三次握手请求建立连接失败，会有三次握手报文告警。

UDP端口不可达报错

数据通信时，UDP数据传输失败，提示ICMP udp端口不可达。