批处理程序引导的远程抓包平台

冀云帅，潘益民

（国电南瑞科技股份有限公司，江苏南京 210061）

批处理程序引导的远程抓包平台

冀云帅，潘益民

（国电南瑞科技股份有限公司，江苏南京 210061）

批处理程序运行在DOS系统，具有使用方便、灵活、自动化程度高的特点。利用批处理程序、Plink软件、Wireshark网络分析软件在Windows平台上搭建一个远程抓包平台，可以抓取远程Linux系统终端网卡上的数据报文并进行分析。该平台具有使用方便、高效、快捷的技术特点，是工程技术人员的良好助手。

批处理；Plink；Wireshark；Linux

0 简介

作为综合监控系统集成商，在项目实施过程中会涉及到与各相关子系统承包商的接口协议测试、验证等工作，测试接口数据收发的正确性；在项目投运阶段，当双方出现接口故障时，同样需要分析接口数据报文来明确双方的责任。对于轨道交通项目而言，系统集成商与各子系统承包商的设备在沿线各站具有接口，当某一个车站发生接口问题时，维护技术人员需要携带设备到该车站去抓取数据报文或者远程登陆到该车站终端设备上读取报文后下载到本地，利用本地软件分析数据，这样的分析方法步骤繁琐、浪费时间、实时性较差。

在工程实施中，综合监控系统服务器、前置机、工作站等设备大都采用Linux操作系统，并且在系统运行过程中，抓取数据报文时不能退出监控系统，影响正常专业的数据监视功能。

批处理程序运行在DOS平台，具有使用方便、灵活、自动化程度高的特点，程序内容是一个ASCII(无格式文本)文件，包含一个或多个操作系统命令，其结构没有固定格式，每一行可作为一个命令，每个命令里可以含有多条子命令，从第一行开始执行，直到最后一行结束。Windows操作系统的命令提示符兼容了DOS下操作命令，因此可以在Windows系统中执行批处理程序。

Plink是Putty的命令行连接工具，主要用于自动化工作的处理，用Plink可以更方便快捷的执行远程主机上的命令。

Wireshark是一个网络报文分析软件。网络报文分析软件的功能是撷取网络报文，并尽可能显示出最为详细的网络报文资料。仔细分析Wire⁃shark撷取的报文能够帮助使用者对于数据报文有清晰的认识，Wireshark不会对网络报文产生内容的修改，只会反映出目前流通的报文资讯，Wire⁃shark本身不会送出报文到网络上。该软件能够安全稳定的运行在Windows平台上，具有直观、检索报文方便的特点。

1 平台构成组件

利用批处理程序、Plink软件以及Wireshark网络数据分析软件在Windows操作系统上搭建远程抓包分析平台，通过键入远程设备的IP地址、用户名、密码以及相应的网卡号等信息后，技术人员便能在远程抓取相应的数据，然后数据自动转入Wireshark网络数据分析软件进行分析。这样便节省了技术人员的时间和步骤，并且能够实时动态的显示接口数据的变化。

该平台利用批处理程序接收技术人员输入的地址、用户名等信息，并调用Plink软件；Plink软件负责连接远程主机并且执行抓包命令，同时将读取的数据转入Wireshark网络分析软件；Wireshark网络分析软件负责显示报文的具体信息，包括报头、数据格式和内容等。

因此，在Window系统上需要安装Plink程序，并且将程序的路径写到系统的环境变量中，同时安装Wireshark网络分析软件，供报文显示分析用。

2 平台实例演示

结合以上的阐述，这里作者在Windows操作系统构建了远程抓包分析平台，其中的批处理程序代码如下所示：

@echo off

@echo"This program is used for package-analysis in some⁃where which supports ssh protocol: "

@echo"Please input your IP address:"

@set/p ipAddr=＞nul

@echo%ipAddr%

@echo"Please input your eth⁃ernet:"

@set/p net=＞nul

@echo%net%

@echo"Please input your chosen protocol such as ip,udp,tcp,arp,rarp...:"

@set/p protocol=＞nul

@echo%protocol%

@echo"Please input your user name:"

@set/p user=＞nul

@echo%user%

@echo"Please input your password:"

@set/p password=＞nul

@echo%password%

del/a dump_cmds.txt

＞＞dump_cmds.txt echo tcpdump % proto⁃col%-s0-w--i%net%

del/a plink_cmd.bat

＞＞plink_cmd.batechoplink.exe-ssh-pw % password%%user%@%ipAddr%-m dump_cmds.txt ^|"D:Wiresharkwireshark.exe"-k-i

call plink_cmd.bat

exit

程序执行过程中，会依次提示用户输入相关的内容，如图1所示。

图1 程序提示输入信息面板

图2 程序调用Wireshark过程

依据用户的输入，程序首先创建dump_cmd.bat文件，将抓包命令写入其中，然后创建plink_cmd.bat文件，调用plink程序连接远程终端，同时执行抓包命令并调用wireshark软件，如图2所示。

最后，程序将实时抓取的数据报文在Wireshark终端进行逐条显示，利用Wireshark的筛选过滤功能，可以方便的选择用户需要的数据，进而进行报文内容的分析，如图3所示。

图3 Wireshark显示报文过程

3 结束语

本文介绍了在Windows系统上利用批处理程序、Plink软件、Wireshark网络数据分析软件搭建了远程抓包分析平台的过程，并通过实际程序进行了演示。该平台具有应用方便、实时性强、方便快捷的技术特点，在重庆轨道交通六号线综合监控系统的调试和运行阶段应用广泛，给技术人员的工作提供了很大帮助。

The Introduction of Capturing Package-Remotely Platform Guided by the Batch Program

JI Yun-shuai，PAN Yi-min
（NARI Technology Development Limited Company，Nanjing210061，China）

The batch program runs in DOS system,and has the features such as used conveniently、flexibly、high degree of automation. This paper constructs a capturing package-remotely platform on windows system which can captures and analyzes data package from network adapter of the remote Linux terminal.This platform is composed of batch program，Plink software and Wireshark network analysis software,and has the features such as used conveniently、efficiently and quickly,is a good assistant of engineering and technical personnel.

batch；Plink；Wireshark；Linux

TP316

A

1009－9492(2014)01－0057－03

10.3969/j.issn.1009-9492.2014.01.014

冀云帅，男，1984年生，河北涞水人，硕士研究生，工程师。研究领域：传输网技术。已发表论文4篇。

(编辑：向 飞)

2013－07－29