通过Sniffer Pro监控网络程序以进行网络和协议分析，需要先使Sniffer Pro捕获网络中的数据。在工具栏上单击“Start”按钮，或者选择“Capture”菜单中的“Start”选项，显示如图9所示“Expert”对话框，此时，Sniffer便开始捕获局域网与外部网络所传输的所有数据。

　　图9 Expert

　　要想查看当前捕获的数据，可单击该对话框左侧“Layer”标签右侧的黑色三角箭头，即可在右侧窗口中显示所捕获数据的详细信息。此时，在对话框下方还有一条横线，将鼠标移动到该横线上，当指针变成上下箭头时，向上拖动该横线，就可以看到所选择连接的详细信息，如图10所示。

　　图10 当前已捕获的数据

　　当缓冲器中积累了一定流量后，可以停止并查看所捕获的数据。单击主窗口工具栏上的“停止”按钮，或者选择“Capture”菜单中的“Stop”选项，停止捕获数据，再选择“Capture”菜单中的“Display”选项，就可以查看所捕获的内容了。单击窗口下方的“Decode(解码)”选项卡，如图11所示，该窗口共分为三个部分，由上到下依次为：总结、详细资料和Hex窗口的内容，可以查看所捕获的每个帧的详细信息。

　　图11 捕获的数据信息

　　在最上面的窗口中显示了捕获的帧和捕获的顺序、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框，然后就可以保存为新的捕获文件。选择“Display”菜单中的“Save Select”选项，即将选择的帧保存为新的捕获文件;选择“Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择，或者选择和取消任何一个范围的选择。

　　“Decode”窗口中间的窗口部分显示所选择的协议的详细资料，如图12所示。最上面显示的就是DLC文件头信息，包括来源、目的地址、帧大小(以字节计)以及Ethertype(以太网类型)。在这里，以太网类型值为0800，表示为IPv4协议。

　　图12 DLC文件头信息

　　如果捕获的是HTTP协议，则DLC下面显示的是IP文件头的详细内容(如图13所示)，

　　图13 IP文件头信息

　　包括：

　　Version(版本)：版本序号为4，代表IPv4。

　　Header length：Internet文件头长度，为20个字节。

　　Type of service(服务类型值)：该值为00，我们会看到ToS下面一直到总长度部分都是0。这里可以提供服务质量(QoS)信息;每个二进制数位的意义都不同，这取决于最初的设定。例如，正常延迟设定为0，说明没有设定为低延迟，如果是低延迟，设定值应该为1。

　　Total length(总长度)：显示该数据的总长度，为Internet文件头和数据的长度之和。

　　Identification：该数值是文件头的标识符部分，当数据包被划分成几段传送时，接收数据的主机可以用这个数值来重新组装数据。

　　Flag(标记)：数据包的“标记”功能，例如，数据包分段用0标记，未分段用1标记。

　　Fragment offset(分段差距)：分段差距为0个字节。可以设定0代表最后一段，或者设定1代表更多区段，这里该值为0。分段差距用来说明某个区段属于数据包的哪个部分。

　　Time to live(保存时间)：表示TTL值的大小，说明一个数据包可以保存多久。

　　Protocol(协议)：显示协议值，在Sniffer Pro中代表传输层协议。文件头的协议部分只说明要使用的下一个上层协议是什么，这里为UDP。

　　Header checksum(校验和)：这里显示了校验和(只在这个头文件中使用)的值，并且已经做了标记，表明这个数值是正确的。

　　Source address(源地址)：显示了数据的来源地址。

　　Destination address(目的地址)：显示了数据访问的目的地址。

　　IP文件头下面为TCP或者UDP文件头，这里为UDP协议(如图14所示)。

　　图14 UDP文件头信息

　　UDP协议头包括下列信息：

　　Source port(源端口)：显示了所使用的UDP协议的源端口。

　　Destination port(目的端口)：显示了UDP协议的目的端口。

　　Length(长度)：表示IP文件头的长度。

　　Checksum(校验和)：显示了UDP协议的校验和。

　　Bytes of data：表示有多少字节的数据。

　　根据协议的不同，在详细资料窗口中有的还会显示ARP、HTTP、WINS等信息。通过这些信息，可以发现正在解析的协议中更多内容。

　　“Decode”窗口最下方为“Hex窗口”，这里显示的内容最直观，但也难以理解，如图15所示。“Hex窗口”中的信息是16进制代码的信息集合。数据的传输是按照二进制系统为基本标准进行的，二进制数据还可以转换为十六进制、十进制和八进制的格式，在“Hex窗口”中查看数据时，看到的就是处于传输状态的原始ASCⅡ格式的数据。

　　图15 Hex窗口

　　5. 监控网络的几种模式

　　在Sniffer中，除了使用仪表盘表示网络的当前状况以外，还可以使用其它几种模式来查看网络当前的运行状况。

　　选择“Monitor”菜单中的“Host Table(主机列表)”选项，显示如图16所示“Host Table”对话框，该列表框中显示了当前与该主机连接通信信息，包括连接地址、通信量、通信时间等，例如，这里选择“IP”标签，可以看到与本机相连接的所有IP地址及其信息。在该对话框左侧，可以选择不同的按钮，使该主机列表以不同的图形显示，如柱形、圆形等。

　　图16 主机列表

　　选择“Monitor”菜单中的“Matrix”选项，显示“Matrix”窗口，该窗口会监控本地网络与外部网络的连接情况，并将源地址与目的地址的连接用直线表示。如图17所示该蓝色圆中的各点连线表明了当前处于活跃状态的本地计算机与目的地址的点对点连接，在这里，选择“IP”标签，可以看到源地址与目的IP地址的连接(如图17)。不过，由于连接点太多而过于密集，用户难以看清楚各连接点的源地址和目的地址，此时可在该窗口上单击右键，选择快捷菜单中的“Zoom”子菜单中的比例值来扩展大图形，如300%，500%等。

　　图17 “IP”标签

　　同样，如果选择“MAC”标签，则可以查看该计算机与哪些物理设备进行通信，从而便于排除其是否在大量进行广播。

　　选择“Monitor”菜单中的“Protocol Distribution”选项，显示如图18所示窗口，可以查看各种协议的分布状态，例如，我们选择“IP”标签，在“IP Protocol”中可以看到不同的网络协议以不同颜色的区块表示。

　　图18 Protocol Distribution

　　选择“Monitor”菜单中“Global Statistics”选项，在“Size Distribution”标签中，可以查看网络上传输包的大小比例分配，显示如图19所示。而在“Utilization Dist”标签中，可以查看当前网络的利用率。

　　图19 Global Statistics

　　选择“Monitor”菜单中的“Application Response Time”选项，该列表中显示拉局域网内的通信及其响应速度列表，并将本地网的计算机名以NetBIOS名的形式解析出来。