系統 GUI 架構

本系統以 Multiple Document Interface（MDI）[21]做為 GUI 架構，如圖 4-3 所示。

圖 4-3○^a MDI 母視窗的工作區域內會有三種類別的 MDI 子視窗，分別為圖 4-3○^b IUA/M2UA/M3UA 信令流程圖子視窗、圖 4-3○^c 分析專案子視窗與圖 4-3○^d SIP 信 令流程圖子視窗。

21

圖 4-3 系統 GUI 架構畫面圖

4.2.2 系統選單與系統工具列功能

系統選單包括檔案（File）與求助（Help）兩主選單，如圖 4-4○^a 與圖 4-4○^b 所示。

檔案選單提供的選項功能為啟動遠端分析（Remote Capture）、啟動本地端分析

（Local Capture）、啟動封包檔案分析（Open Offline Packet）、關閉 MDI 子視窗

（Close Form）及結束程式（Quit）。求助選單提供的選項功能為啟動關於說明

（About）。

系統工具列如圖 4-4○^c 所示。系統工具列所提供的按鈕功能由左到右依序為啟動遠 端分析、啟動本地端分析、啟動封包檔案分析、關閉 MDI 子視窗、切換 MDI 子 視窗、並列 MDI 子視窗、平行並列 MDI 子視窗與垂直並列 MDI 子視窗。

Help Menu b

File Menu a System Toolbar ^c

圖 4-4 系統選單與系統工具列畫面圖

c

d a

b

4.2.3 分析專案子視窗

分析專案子視窗提供四種分析功能並對應到四個子頁面，分別是封包解析子頁面

（Packet Viewer；圖 4-5○^a ）、SIP 封包分析子頁面（SIP Viewer；圖 4-5○^b ）、RTP 監控與播放子頁面（RTP Viewer；圖 4-5○^c ）與流量/通訊協定統計子頁面（Statistic；

圖 4-5○^d ）。

使用者可以點選如圖 4-6○^a 所示的子頁面顯示列來控制子頁面的顯示。使用者亦可 以點選如圖 4-6○^b 所示的子頁面切換列來進行子頁面的切換。

Packet Viewer Sub Page ^a SIP Viewer Sub Page ^b

RTP Viewer Sub Page ^c Statistic Sub Page ^d

圖 4-5 分析專案子視窗的子頁面畫面圖

Sub Page Switch Button a

Sub Page Tab Button b

圖 4-6 分析專案子視窗的顯示/切換控制項畫面圖

4.2.4 分析專案子視窗之工具列控制項

分析專案子視窗之工具列控制項如圖 4-7 所示。工具列控制項中提供的按鈕 功能由左到右依次為啟動/停止封包抓取、儲存封包檔案、啟動/停止顯示過濾器、

23

功能設定與 4.2.3 節說明的子頁面顯示列。

圖 4-7 分析專案子視窗之工具列控制項畫面圖

4.2.4.1 啟動/停止封包抓取

使用者可以點選此按鈕控制啟動與停止封包抓取的動作。

4.2.4.2 儲存封包檔案

圖 4-8 儲存封包檔案的展示畫面圖

當收集到封包框架，使用者可以點選此按鈕將目前收集的封包框架儲存成檔案。

圖 4-8 展示點選儲存封包檔案鈕後彈出的儲存檔案對話盒。

4.2.4.3 啟動/停止顯示封包框架過濾

透過點選啟動/停止顯示過濾器按鈕，使用者可以對封包框架進行過濾以觀察所感 興趣的封包框架。啟用顯示過濾器之前，必須先於功能選項中設定過濾規則（Filter Rule），請參考 4.2.4.4 節的說明。

4.2.4.4 功能選項

使用者可以點選功能選項按鈕以顯示功能選項對話盒。如圖 4-9 所示，虛線圓框 標明啟動功能選項對話盒的按鈕，而功能選項對話盒上的虛線方框標明可以供使

用者設定的項目。功能選項對話盒中提供的設定項目說明如表 4-2 所列。

圖 4-9 功能選項對話盒的展示畫面圖 表 4-2 設定項目說明表

設定項目 用途

即時過濾器（Online Filter） 本系統即時抓取封包框架的過濾規則 顯示過濾器（Display Filter） 本系統顯示分析的封包框架過濾規則 全收模式（Promiscuous Mode） 進入全收模式

即時解析間隔（Interval Time of realtime parsing）

本系統解析封包框架的間隔

若要設定即時過濾器，使用者可以於即時過濾器（Online Filters）項目中先選取要 設定過濾規則的網路介面（Interface），再於規則（Rule）文字輸入欄中輸入封包 框架過濾器規則（本系統所採取的封包框架過濾規則語法為 Pcap 語法格式 [34]），或透過點選載入（Load）按鈕載入已定義的過濾規則，最後點選設定（Set）

按鈕使過濾規則生效。

若要設定顯示過濾器（Display Filter），使用者可以於顯示過濾器（Display Filter）

項目中設定過濾規則，設定方法與設定即時過濾器相同，但無須選取網路介面。

設定顯示過濾器後，使用者可以依照 4.2.4.3.節的說明來啟動顯示過濾器。

在設定即時過濾器或顯示過濾器中，使用者可以點選載入（Load）按鈕載入已定 義的過濾規則。點選載入（Load）按鈕會出現如圖 4-10 所示的過濾器對話盒。過 濾器對話盒中的過濾規則名稱列表（Name List）列出已定義的過濾規則，而過濾 規則名稱（Name）與規則（Rule）可以供使用者新增或修改過濾規則名稱列表。

使用者可以點選儲存（Save）按鈕將新增或修改的過濾規則儲存在過濾規則名稱 列表中。使用者可以點選刪除（Delete）按鈕刪除所選取的過濾規則。使用者可以

25

在過濾規則名稱列表中選取過濾規則名稱，然後點選載入（Load）按鈕來載入已 定義的濾規則。使用者可以點選取消（Cancel）鈕來關閉過濾器對話盒。

圖 4-10 過濾器對話盒畫面圖

4.2.5 分析專案模式

本系統的分析專案分為三種模式。第一種為本地端分析（Local Capture），即透過 目前所在電腦的網路介面收集封包框架來進行分析；第二種是遠端分析（Remote Capture），即透過遠端電腦的網路介面收集封包框架來進行分析；第三種是封包 檔案分析，即讀取 Pcap 格式 [34]的封包檔案來進行分析。

接下來說明如何啟動這三種模式的分析專案。

4.2.5.1 本地端分析

File Menu a System Toolbar ^b

圖 4-11 啟動本地端分析的選項按鈕圖

使用者可以透過兩種方式啟動本地端分析，分別為點選 MDI 母視窗檔案選單中的 啟動本地端分析（Local Capture）選項，或點選系統工具列中的啟動本地端分析按 鈕，如圖 4-11○^a ○^b 中的虛線圓框所標示。

圖 4-12 本地端分析對話盒畫面圖

使用者啟動本地端分析時，會出現本地端分析（Local Capture）對話盒，如圖 4-12 所示。使用者必須在本地端對話盒中選取欲進行分析的網路介面後，才能開始本 地端分析。首先在分析專案名稱（Analysis Name）文字輸入欄中輸入此分析專案 的名稱，並透過雙擊分析網路介面（Available Interface）列表中的網路介面或點選 加號（+）圖示選取欲進行分析的網路介面，而選取的網路介面將列出於選取網路 介面（Selected Interface）列表中。雙擊選取網路介面（Selected Interface）列表中 的網路介面或點選減號（-）圖示可以移除已選取的網路介面。介面卡資訊（Adapter Information）中，會列出目前被滑鼠選取的網路介面資訊。網路介面資訊包括裝 置名稱（Pcap instance name）、描述（Description）、IP 位址（Address）與子網 路遮罩（Net mask）。最後點選確認（OK）按鈕就開始本地端分析專案，接下來 使用者可以進行 4.2.4.節所說明的操作。

27

4.2.5.2.遠端分析

使用者在啟動遠端分析前，要先確認被分析的遠端電腦已經啟動遠端封包抓取

（Remote Packet Capture）服務，如圖 4-13 所示。遠端封包抓取服務包含在 WinPcap3.0 或 WinPcap3.0 以上的版本中。

圖 4-13 遠端封包抓取服務狀態展示圖

使用者可以透過兩種方式啟動遠端分析，分別為點選 MDI 母視窗檔案選單中的啟 動遠端分析（Remote Capture）選項，或點選系統工具列中的啟動遠端分析按鈕，

如圖 4-14○^a ○^b 中的虛線圓框所標示。

File Menu

System Toolbar

圖 4-14 啟動遠端分析的選項按鈕圖

使用者啟動遠端分析時，會出現遠端分析（Remote Capture）對話盒，如圖 4-15 所示。使用者必須在遠端對話盒中選取欲進行分析的遠端網路介面後，才能開始 遠端分析。首先在分析專案名稱（Analysis Name）文字欄中填入此分析專案的名 稱。再來使用者必須填入遠端主機的遠端主機位址（Remote Host）、埠號（Port）、

使用者名稱（Username）與密碼（Password）相關資訊，並點選掃描（Scan）按 鈕進行遠端網路介面的掃描工作。成功完成掃描後，在分析網路介面（Available Interface）列表中將會出現可供分析的遠端網路介面。再來的操作步驟需將分析網 路介面列表中的網路介面加入到選取網路介面列表（Selected Interface）中與 4.2.5.1 節的說明相同，本文不再贅述。

圖 4-15 遠端分析對話盒畫面圖

4.2.5.3 檔案分析

File Menu a System Toolbar ^b

圖 4-16 啟動檔案分析的選項按鈕圖

使用者可以透過三種方式啟動檔案分析。點選 MDI 母視窗檔案選單中的檔案分析

（Open Offline Packet）選項，或點選系統工具列中的檔案分析按鈕，如圖 4-16○^a

○^b 中的虛線圓框所標示。最後一種方式是將檔案直接拖放至 MDI 母視窗的工作區。

29

4.2.6 分析專案功能

接下來將說明本系統所提供的五種分析功能。

4.2.6.1 封包解析（Packet Viewer）

封包解析功能提供封包框架的解析資訊。封包解析子頁面提供封包解析功能，如 圖 4-17 所示。

圖 4-17 封包解析子頁面畫面圖

使用者可以於封包框架列表（Frame List）中觀察到本系統目前所抓取的封包框架 資訊。封包框架資訊包括編號（NO.）、封包框架被抓取的時間（Time）、來源 位元址（Source）、目的位元址（Destination）與封包框架封裝（Encapsulation）

資訊。當封包框架為 IPv4 或 IPv6 封包，封包框架列表中的來源位元址與目的位 元址會顯示封包的 IP 位址，否則會顯示封包的 MAC 位址。

使用者可以點選封包框架列表中的封包框架，此時詳細封包框架資訊（Detail Frame Information）將輸出 Ethereal 封包分析器對封包框架進行通訊協定（Protocol）解 析的結果，同時最下層的文字輸出將更新封包框架的十六進位與 ASCII 內容輸出。

4.2.6.2.SIP 封包分析（SIP Viewer）

SIP 封包分析功能提供 SIP 封包分析資訊。SIP 封包分析子頁面提供 SIP 封包分析 功能，如圖 4-18 所示。

圖 4-18 SIP 封包解析子頁面畫面圖

使用者可以於對話列表（Dialog List）中觀察到本系統目前所分析出的 SIP 對話資 訊。SIP 對話資訊包括 Call-ID、呼叫者（Caller）、被呼叫者（Callee）與 SIP 信 令個數（Packet Count）資訊。

使用者可以點選對話列表中的對話，此時 SIP 信令封包列表（SIP Packet List）將 列出此對話中的 SIP 信令封包。使用者可以展開 SIP 信令封包列表中的 SIP 信令 封包以觀察詳細的 SIP 信令內容，如圖 4-19 所示。

圖 4-19 展開 SIP 信令內容範例圖

使用者可以於對話盒列表（Dialog List）中按下滑鼠右鍵觀察，此時會彈出 SIP 信 令流程圖選單，如圖 4-20 所示。選單選項有兩個選項，分別為流程圖繪圖（Draw Flowchart）與標頭流程圖繪圖（Draw Flowchart From Header）。使用者可以點選 這兩種選項對選取對話盒內的 SIP 信令予以圖形化輸出。流程圖繪圖選項的圖形

31

輸出是根據實體網路通訊 IP 來繪圖，而標頭流程圖繪圖是根據 SIP 信令內的標頭

輸出是根據實體網路通訊 IP 來繪圖，而標頭流程圖繪圖是根據 SIP 信令內的標頭