封包分析
Traffic(封包分析)面板是 SimNet 的「監控中心」——它即時記錄網路上每一個封包的來龍去脈。如果拓撲圖是「看地圖」,那封包分析就是「看行車紀錄器」,讓你知道每一輛車(封包)從哪裡出發、經過了什麼路、帶了什麼貨物。
封包列表
面板的主體是一張表格,每一行代表一個封包。欄位說明如下:
| 欄位 | 說明 |
|---|---|
| # | 序號,依封包出現的先後排列 |
| Tick | 模擬時間戳——模擬引擎的第幾個時鐘週期(Tick)捕捉到這個封包 |
| Protocol | 協定名稱,以彩色標籤(Badge)呈現 |
| Source | 來源設備(發送方) |
| → | 方向箭頭 |
| Destination | 目的設備(接收方) |
| Summary | 封包摘要,簡述這個封包在做什麼 |
| Size | 封包大小(Bytes 或 KB) |
每一行左側有一條細長的彩色指示線,顏色對應該封包的協定,讓你快速用眼睛掃過去就能辨認不同類型的流量。
協定顏色
不同的網路協定用不同的顏色標示,方便你一眼區分:
| 協定 | 顏色 | 簡介 |
|---|---|---|
| Ethernet | 灰色 | 資料連結層(Data Link Layer)的基礎框架 |
| ARP | 橘色 | 位址解析協定,用來查詢 IP 對應的 MAC 位址 |
| IPv4 | 紫色 | 網路層(Network Layer)的主要協定 |
| TCP | 青色 | 傳輸層(Transport Layer),可靠的連線導向傳輸 |
| HTTP | 綠色 | 應用層(Application Layer),網頁傳輸協定 |
| ICMP | 橘色 | 網際網路控制訊息協定,ping 使用的協定 |
| DNS | 粉紅色 | 網域名稱系統(Domain Name System),將網址轉成 IP |
顏色 = 協定層
注意到了嗎?顏色大致對應 OSI 模型的不同層級。灰色的 Ethernet 在底層,綠色的 HTTP 在最上層。隨著你完成越多挑戰,你會對這些顏色越來越熟悉,到最後看一眼顏色就能判斷網路上在發生什麼事。
篩選封包
協定篩選
面板上方有一排圓角標籤按鈕(Protocol Pills):All、Ethernet、ARP、IPv4、TCP、HTTP、ICMP、DNS。
- 點擊 All 顯示所有封包(預設)
- 點擊某個協定(例如 ARP)只顯示該協定的封包
當你在追查某個特定行為時,篩選功能非常實用。例如,如果你正在研究 ARP 欺騙攻擊,點一下 ARP 就能過濾掉其他雜訊,只看 ARP 封包。
文字搜尋
在右上角的搜尋框中輸入關鍵字,可以依設備名稱或封包摘要進行篩選。例如輸入 server1 就能找到所有與 server1 相關的封包。
搜尋框旁邊會顯示目前符合條件的封包數量(例如「12 pkts」)。
展開封包詳細資訊
點擊任何一行封包,可以展開該封包的詳細資訊面板。這裡會顯示:
協定層(Protocol Layers)
封包的詳細資訊依協定層級呈現——就像剝洋蔥一樣,一層一層往裡看。例如一個 HTTP 封包可能有這些層:
- Ethernet — 來源 MAC、目的 MAC、類型
- IPv4 — 來源 IP、目的 IP、TTL
- TCP — 來源 Port(通訊埠)、目的 Port、Flags
- HTTP — 方法、URL、狀態碼
每一層都可以點擊標題旁的箭頭來收合或展開。層名稱旁的彩色左邊框對應該協定的顏色。
每一層的內容以「欄位名稱 : 值」的格式排列,例如:
Source MAC : aa:bb:cc:00:00:02
Dest MAC : aa:bb:cc:00:00:01
EtherType : 0x0800自動捲動
當有新封包持續湧入時,面板會自動捲動到底部,確保你看到的是最新的封包。你會在右下角看到一個「↓ Auto-scrolling」的小提示。
如果你向上捲動查看舊的封包,自動捲動會暫停——畫面不會突然跳走。這時底部會出現一個按鈕:「New packets — click to resume auto-scroll」(有新封包,點擊恢復自動捲動)。點一下就能跳回底部,繼續看最新的封包。
實用工作流程
一個常見的分析流程是:
- 在 Terminal 執行
tcpdump開始擷取 - 執行
ping或其他指令產生流量 - 切換到 Traffic 面板觀察封包
- 用協定篩選找到你關心的封包
- 點擊展開查看各層細節
Topology + Traffic + Terminal 三者搭配使用,就是完整的網路分析工作流程。