EtherPeek NX是款功能強(qiáng)大的抓包分析工具。用戶可以通過這款軟件抓捕到到達(dá)本機(jī)的數(shù)據(jù)包，然后對數(shù)據(jù)包內(nèi)的協(xié)議進(jìn)行解析，獲得數(shù)據(jù)包內(nèi)的相信數(shù)據(jù)，還支持編輯修改重新發(fā)送等功能，非常好用。有喜歡的用戶不要錯過了。

【使用說明】

　　1、實時專家分析

　　EtherPeek NX的專業(yè)分析系統(tǒng)提供：問題自動確認(rèn)、分離信息包到獨立的對話群，并且用直觀的樹狀結(jié)構(gòu)圖顯示它們等功能。同時，分析每一個網(wǎng)絡(luò)設(shè)備和系統(tǒng)分離，描述和預(yù)示網(wǎng)絡(luò)、終端、路由器的行為，或者描述和預(yù)示基礎(chǔ)結(jié)構(gòu)問題。專業(yè)分析系統(tǒng)跟蹤超過36個不同的網(wǎng)絡(luò)障礙行為，提供潛在和帶寬的分析報告。

　　2、專業(yè)繪圖

　　EtherPeek NX的peer Map是一種垂直導(dǎo)向的橢圓形圖，你可以放大該圖到足夠的尺寸來顯示出你的網(wǎng)絡(luò)中所有正在通信的節(jié)點。讀懂peer map 很容易：節(jié)點之間的線段越粗越濃表明節(jié)點之間信息流越大；園點越大表明穿越該節(jié)點的信息流越大。節(jié)點的顯示數(shù)量可以被限定為最繁忙和/或者最活躍的節(jié)點，或是只顯示對EtherPeek NX過濾器有用的節(jié)點。

　　3、專業(yè)故障查找

　　EtherPeek NX 的專業(yè)故障查找系統(tǒng)提供專業(yè)系統(tǒng)遭遇的故障描述和故障原因，以及對每一個故障情景的修補(bǔ)措施。專業(yè)系統(tǒng)的運作內(nèi)容可以根據(jù)用戶個性化的網(wǎng)絡(luò)需求通過網(wǎng)絡(luò)故障診斷來裁剪定制。“初學(xué)助手”幫助使用者通過選擇網(wǎng)絡(luò)速度、使用由網(wǎng)絡(luò)運行實際經(jīng)驗得來的“嵌入式運算法則”來快速調(diào)整故障解決的評估值。

　　4、增強(qiáng)的預(yù)警功能

　　EtherPeek NX 通過預(yù)警系統(tǒng)提供超過100個實時情景。專業(yè)系統(tǒng)在此基礎(chǔ)之上增加了3個情景: 可疑的、故障的和解決的——當(dāng)一個特定的情景要被確認(rèn)為情報的、次要的、主要的還是嚴(yán)重的時以次來提供更好的控制。

　　5、起始頁面

　　EtherPeek NX內(nèi)部的新起始頁面功能就象能夠鏈接到本地和線上的有用資源一樣，它提供了一個輕松的漫游和自述入口。通過新起始頁面你可以打開最近使用過的信息包文件，啟動一個新的捕獲窗口或者瀏覽信息包文件樣本。

【使用方法】

　　一、安裝：

　　①為大家提供的是EtherPeek NX綠色漢化版，

　?、趯⑿蛄刑栞敵鯡therPeek NX啟動界面中即可順利進(jìn)入程序

　　二、監(jiān)聽統(tǒng)計（Monitor statistics）

　　監(jiān)聽統(tǒng)計是從全局來觀察網(wǎng)絡(luò)通信，以便發(fā)現(xiàn)網(wǎng)絡(luò)通信中的瓶頸和異常等問題。網(wǎng)絡(luò)統(tǒng)計的Gauge和Value窗口，監(jiān)聽統(tǒng)計的數(shù)據(jù)采集獨立于任何捕獲窗口，不能由篩選器、觸發(fā)器等其它功能改變。

　　1、為監(jiān)聽統(tǒng)計選擇適配器

　　首次啟動EtherPeek NX時，要求選擇一個用于采集監(jiān)聽統(tǒng)計信息的適配器。步驟如下：

　?、購?ldquo;開始”菜單中，選擇“WildPackets EtherPeek NX”來運行程序。

　?、谠诖蜷_的監(jiān)視器選項對話框的適配器視圖中，選擇列表中提供的任一支持的以太網(wǎng)適配器。EtherPeek NX將使用這個適配器捕獲它所監(jiān)聽到的所有通信。

　?、墼?ldquo;監(jiān)控”菜單中，若未選擇“監(jiān)控統(tǒng)計”項，則選中它。

　?、蹺therPeek NX基于所選適配器監(jiān)聽到的所有通信，計算得到監(jiān)聽統(tǒng)計信息，繼續(xù)收集 監(jiān)聽統(tǒng)計信息，直到退出程序或重置統(tǒng)計信息。

　　2、概要統(tǒng)計（Summary Statistics）

　　概要統(tǒng)計功能允許我們實時監(jiān)聽關(guān)鍵的網(wǎng)絡(luò)統(tǒng)計信息，并保存這些信息以便以后進(jìn)行比較。使用概要統(tǒng)計，我們可以保存正常網(wǎng)絡(luò)活動的統(tǒng)計信息，然后讓存在異常網(wǎng)絡(luò)行為時得到的統(tǒng)計信息與其進(jìn)行比較，從而有助于準(zhǔn)確描述問題的起因。此外，概要統(tǒng)計也可以用來比較兩個不同網(wǎng)絡(luò)的性能。

　　三、捕獲數(shù)據(jù)包

　　1、開始捕獲（Start Capture）

　　EtherPeek NX中捕獲數(shù)據(jù)包，我們需要創(chuàng)建一個捕獲窗口，設(shè)置它的參數(shù)（包括在特定捕獲窗口中使用的適配器）。步驟如下：

　?、僭?ldquo;文件”菜單中選擇“新建…”，打開抓包選項對話框

　?、谠谧グx項對話框的常規(guī)視圖中，在抓包標(biāo)題中輸入新創(chuàng)建捕獲窗口的名字。

　?、墼诰彌_區(qū)大小中設(shè)置捕獲緩沖區(qū)的大小，或者接受默認(rèn)大?。?6384 kilobytes）。

　?、蹸ontinuous capture選項用來指定在捕獲期間緩沖區(qū)的使用方法。 當(dāng)Continuous capture未選中時，當(dāng)緩沖滿時捕獲就停止。當(dāng)Continuous capture被選中時，選擇單選按鈕Discard all packets when wrapping或Discard oldest packets first（use ring buffer）。

　?、菰谧グx項對話框的Adapter視圖中，從列表中選擇一個支持的適配器。

　?、拊赥riggers，過濾器，Statistics Output和Performance視圖中，可進(jìn)行其它選項的設(shè)置， 可以在第一次創(chuàng)建捕獲窗口時設(shè)置，也可以以后通過在“監(jiān)控”菜單中選擇“監(jiān)控選項”來打開抓包選項對話框進(jìn)行設(shè)置。

　?、邌螕鬙K按鈕，即可打開新建的捕獲窗口。

　　⑧單擊“開始抓包”按鈕，就會在新建的捕獲窗口中出現(xiàn)捕獲的數(shù)據(jù)包。

　　2、Packets視圖

　　捕獲窗口中提供了許多方式來查看捕獲的通信信息。我們可以通過單擊位于捕獲窗口底部的標(biāo)簽來打開這些視圖。

　　四、查看解碼數(shù)據(jù)包

　　通過查看數(shù)據(jù)包的詳細(xì)信息能夠很快地解決一些網(wǎng)絡(luò)問題。數(shù)據(jù)包解碼窗口使得我們能夠打開數(shù)據(jù)包來觀察數(shù)據(jù)包的內(nèi)部，準(zhǔn)確描述問題來源，跟蹤出故障的硬件，了解和檢驗協(xié)議的結(jié)構(gòu)和規(guī)范。

　　數(shù)據(jù)包解碼窗口表示的是單個數(shù)據(jù)包的詳細(xì)結(jié)構(gòu)和內(nèi)容。EtherPeek NX能夠?qū)?shù)以萬計的協(xié)議和子協(xié)議解碼，能夠顯示出以太網(wǎng)數(shù)據(jù)包的組成元素，并有英文解釋其含義。我們按下面步驟查看一個數(shù)據(jù)包的解碼。

　　1、在捕獲窗口或數(shù)據(jù)包文件窗口中打開Packets視圖的解碼窗格和十六進(jìn)制碼窗格，也 可以在Packets窗口中雙擊任一數(shù)據(jù)包來打開。

　　2、查看解碼窗格頂部以綠色顯示的部分。這部分包含數(shù)據(jù)包的Flag，Status，PacketLength和Timestamp信息。

　　3、查看解碼窗格的主體部分。信息排列的順序同數(shù)據(jù)包自身一致。通過觀察這部分通常 能夠分析出問題所在。4、查看解碼窗格下面的十六進(jìn)制碼窗格，該窗格顯示了數(shù)據(jù)包原始十六制碼，左部是每行首字符的偏移量，右部是原始數(shù)據(jù)包數(shù)據(jù)的ASCII碼。

　　5、當(dāng)在解碼窗格中單擊一部分使其高亮顯示時，在十六進(jìn)制碼窗格和ASCII碼窗格數(shù)據(jù) 包中對應(yīng)字節(jié)部分也高亮顯示。

　　6、單擊窗口頂部的Decode Previous或Decode Next按鈕，來觀察捕獲窗口或數(shù)據(jù)包文件 窗口中數(shù)據(jù)包列表中當(dāng)前數(shù)據(jù)包的前后數(shù)據(jù)包。

　　五、在捕獲窗口中設(shè)置篩選器

　　篩選器可以使我們集中于某些特定的通信。如果想檢查兩個設(shè)備間的問題，比如一臺計算機(jī)和一臺打印機(jī)，地址篩選器能夠只捕獲兩個設(shè)備間的通信。如果網(wǎng)絡(luò)中某個特定功能存在問題，協(xié)議篩選器能夠幫助我們準(zhǔn)確地給出與該功能相關(guān)的通信。

　　1、定義和設(shè)置一個基于地址和協(xié)議的篩選器

　　地址篩選器用于篩選兩個特定網(wǎng)絡(luò)設(shè)備間，或一個特定網(wǎng)絡(luò)設(shè)備和其它設(shè)備間的通信。協(xié)議篩選器則集中于特定的通信類型或網(wǎng)絡(luò)功能。下面我們定義一個簡單的篩選器，用于篩選通過某個特定協(xié)議（Kerberos）進(jìn)出服務(wù)器接口的通信。步驟如下：

　　①打開捕獲窗口的過濾器視圖，或者通過選擇“查看”菜單下的“過濾器”來打開過濾器窗口。

　?、趩螕?ldquo;Edit”按鈕，打開編輯過濾器對話框。默認(rèn)情況下是Simple視圖。

　　從類型下拉列表中可選擇Simple和Advanced視圖。Advanced視圖提供了額外的篩選器參數(shù)，以及在單一命名篩選器中利用邏輯與、或、非進(jìn)行多項測試的能力。

　?、墼谶^濾器對話框中輸入名字。

　?、軉螕纛伾丶頌楹Y選器選擇顏色，或者接受默認(rèn)顏色（黑色）。

　?、菰贑omment域中，可以輸入一個評論，此功能可選。

　?、捱x中Address filter復(fù)選框。類型下拉列表中的選項用來確定輸入的地址類型，我們在此選擇“地址”。

　?、咴诘刂?中，輸入服務(wù)器NIC的物理地址。物理地址是一些十六進(jìn)制字符組，并以冒號間隔。

　?、嘣诘刂?2中，單擊任意地址單選按鈕。

　?、釂螕粑挥贏ddress filter部分中間的按鈕，從下拉列表中選擇Both directions。

　?、膺x中Protocol filter復(fù)選框，單擊Protocol…按鈕來打開Protocol Filter對話框。

　　?在頂部的下拉列表中選擇定義協(xié)議的方法ProtoSpecs。

　　?選擇Ethernet Type2>IP>TCP>Kerberos，單擊OK接受當(dāng)前選項，同時關(guān)閉Protocol Filter 對話框，返回Edit Filter對話框。（如果網(wǎng)絡(luò)是IEEE802.3，則選擇IEEE802.3>SNAP>IP>TCP>Kerberos。） ?單擊OK接受修改并關(guān)閉Edit Filter對話框，新建的篩選器出現(xiàn)在篩選器列表中。

　　?為了在捕獲窗口中激活新建的篩選器，打開Filter視圖，選中新建篩選器前的復(fù)選框。則將只會捕獲篩選器指定的通信。

　　2、Make Filter命令

　　創(chuàng)建新篩選器的一個簡單的方法就是使用Make Filter命令，在許多窗口提供了Make Filter按鈕，或者在適當(dāng)位置右擊得到的菜單中有Make Filter命令。Make Filter命令對所選數(shù)據(jù)包或統(tǒng)計項來創(chuàng)建篩選器。Make Filter也可以用于Name Table中，對所選命名結(jié)點、協(xié)議或端口來創(chuàng)建篩選器，還可以用在數(shù)據(jù)包解碼窗口中對所選數(shù)據(jù)項來創(chuàng)建篩選器。如果選擇了多項，則Make Filter命令為每項創(chuàng)建一個篩選器。