omnipeek

Omnipeek是一款功能强大的网络协议分析软件。软件能够深入解析数据包，分析上千种网络协议，提供全方位的网络流量分析。通过Omnipeek，用户可以轻松获取网络流量的全面视图，从而快速识别和解决网络问题。拥有丰富的功能，包括数据包捕获、深度数据包检测、网络诊断等。其独特的指南针面板提供了一个交互式的取证仪表板，可显示网络利用率、事件、协议、流、节点等关键统计信息。

软件教程

使用方法

过滤器的使用

使用菜单栏View->Filters打开过滤器界面，如下图所示：

系统默认已经创建了一系列过滤器，可以直接在抓包中设置过滤。

创建一个抓包器，设置好网卡和通道后，开启抓包，一段时间后停止抓包。在Packages界面使用工具栏中的过滤器图标选择过滤条件，如下图所示：

例如：选择Wireless->802.11 Beacons， 生效后就会将802.11 Beacons的包过滤出来。再次点选All Aackages后显示全部的数据包。

注意：这种使用过滤器的方法，只能停止抓包后选在过滤。

当我们希望只抓取过滤条件的数据包做分析时，可以在创建抓包器时设置过滤条件，如下图所示：

在抓包前，勾选过滤条件。开启抓包后，只显示过滤后的数据包。

这种方式有个弊端：过滤条件之外的数据包全部无法查看。当我们想要分析特定数据包时可以通过这种方式，避免All Packages太多，造成分析困难。

在停止抓包后，可以通过根据某一数据包的属性来过滤出目标报文。操作步骤：

选中数据包 右键选择Selete Related Packages 选在过滤条件（过滤条件中可以通过源地址、目标地址、协议、端口号等方式）-> 选择结果显示方式，如下图所示：

可以直接在当前界面高亮显示过滤出的包，也可以通过选择Copy selected packages to new window来打开一个新的窗口显示过滤后的结果，以供分析。这个功能非常实用。

设置过滤条件

在系统过滤器列表中，选中一个过滤器，双击打开，会进入编辑界面，如下图所示：

手动添加过滤器：

简单过滤器可以通过地址、协议和端口三种方式配置过滤条件。可以切换到高级设置界面，如下图所示：

在高级模式下可以对已有的过滤条件进行操作，增加、删除过滤条件，可以设置过个条件（串行、并行）。这样更助于数据分析。

可以在Filter界面插入、删除等操作。点击Insert图标，进入过滤器创建界面。通过简单模式设置数据包的MAC、端口号、通信协议来过滤，基本可以达到要求。

根据特定数据包来创建过滤器：

选择特定数据包，在数据包报文解析中找到作为过滤调节的条目，右键选择Make Filter，会自动进入过滤器创建界面。后面步骤同上。

空口抓包

正常模式下直接抓取某一信道的数据包，是无法看到明文数据的，只能显示加密后的数据。当我们需要针对某一问题抓取所有的802.11数据包时，可以简单将路由器设置成open模式，这样就可以显示明文数据了。当然也可以抓取报文后再进行解包，操作起来较复杂。

常见问题

1. 网卡驱动冲突与识别问题

问题描述：在安装或使用OmniPeek时，用户可能会遇到网卡驱动冲突或OmniPeek无法识别网卡的问题。这通常是由于Windows系统的驱动程序强制签名机制与网卡驱动不兼容所致。

解决方案：

· 禁用驱动程序强制签名：通过Windows的“恢复”选项进入“高级启动”，然后选择“启动设置”并重启计算机。在重启后的选项中选择禁用驱动程序强制签名（通常是按F7或输入数字7）。

· 更新网卡驱动：确保使用OmniPeek支持的网卡驱动版本，并尝试通过设备管理器手动更新驱动程序。在选择驱动程序时，应指向OmniPeek提供的特定驱动文件夹。

2. 抓包性能不足

问题描述：在高负载网络环境下，OmniPeek的抓包性能可能不足以捕捉所有数据包，导致数据丢失。

解决方案：

· 优化硬件资源：确保OmniPeek运行的计算机具备足够的CPU、内存和存储资源。

· 调整抓包设置：减少抓包过滤器的复杂度，或降低抓包速率以减轻系统负担。

· 使用高速网卡：选择支持高吞吐量的网卡进行抓包操作。

3. 协议解析错误

问题描述：OmniPeek在解析某些协议时可能出现错误，特别是针对非标准或自定义协议。

解决方案：

· 导入协议模板：利用OmniPeek的协议模板功能，导入针对特定协议的模板文件。

· 自定义协议解析：通过OmniPeek的协议编辑器，用户可以自定义协议的解析规则和显示方式。

· 查阅官方文档和社区资源：OmniPeek的官方文档和在线社区中可能包含有关特定协议解析问题的解决方案和讨论。

怎样处理非标准或自定义协议的数据

1. 理解协议结构

步骤：

· 分析协议规范：用户需要获取并详细阅读非标准或自定义协议的规范文档。

· 识别关键字段：确定协议中的关键字段，如版本号、命令码、数据长度等。

· 构建协议模板：基于协议规范，在OmniPeek中构建协议模板，包括字段名称、类型、位置和解析规则。

2. 数据捕获与解析

步骤：

· 设置抓包条件：在OmniPeek中设置合适的抓包条件，以确保能够捕获到含有非标准或自定义协议的数据包。

· 启动抓包：点击“New Capture”并选择合适的网卡，然后启动抓包过程。

· 查看解析结果：抓包结束后，查看OmniPeek对非标准或自定义协议的解析结果。如有必要，根据解析结果调整协议模板。

3. 数据分析与利用

步骤：

· 筛选数据包：根据协议字段或特定条件筛选数据包，以便进行进一步分析。

· 统计分析：利用OmniPeek的统计分析功能，对捕获的数据包进行统计分析，获取有用信息。

· 问题排查与解决：根据分析结果，定位网络问题或安全威胁，并采取相应的解决措施。

4. 持续优化与改进

建议：

· 定期更新协议模板：随着非标准或自定义协议的更新迭代，用户应定期更新协议模板以确保解析的准确性。

· 关注社区动态：加入OmniPeek的在线社区，与其他用户交流经验，获取最新的技术支持和解决方案。

· 备份关键数据：定期备份重要的数据包和协议模板文件，以防止数据丢失或损坏。