網絡器Sniffer的安裝與使用

1、Sniffer Pro的安裝安裝網絡分析器Sniffer Pro，具體步驟如下。（1）Sniffer Pro的安裝過程比較簡單，運行Sniffer Pro的安裝文件進入向導，單擊【Next】按鈕，如圖1-1所示。圖1-1 Sniffer Pro的安裝向導（2）同意許可證使用協(xié)議，單擊【Yes】按鈕，如圖1-2所示。圖1-2 許可證協(xié)議（3）輸入用戶信息，單擊【Next】按鈕，如圖1-3所示。圖1-3 用戶信息（4）指定安裝路徑，單擊【Next】按鈕，如圖1-4所圖1-4 安裝路徑（5）填寫用戶注冊信息，輸入序列號后單擊【下一步】按鈕，如圖1-5和圖1-6所示。圖1-5 注冊信息1圖1-6 注冊

2、信息2（6）指定連接到Internet的方式，如圖1-7所示。圖1-7 指定連接到Internet的方式（7）注冊完畢，單擊【下一步】按鈕，如圖1-8所示。圖1-8 注冊完畢（8）安裝結束，單擊【完成】按鈕，如圖1-9所示。圖1-9 安裝結束（9）重新啟動計算機，如圖1-10所示。圖1-10 重新啟動計算機（10）安裝結束后，在網卡的屬性中可以看到綁定了的Sniffer協(xié)議驅動，如圖1-11所示。圖1-11 網卡屬性（11）單擊【開始】【程序】命令，運行Sniffer，即可打開Sniffer界面。如圖1-12所示。圖1-12 Sniffer運行界面2 捕獲數(shù)據(jù)包 2.1明確被捕獲對象選擇一個網

3、絡接口進行捕獲。如果計算機上安裝許多網卡，首先要明確在哪塊網卡上進行捕獲數(shù)據(jù)。選擇要捕獲數(shù)據(jù)的網卡上進行數(shù)據(jù)捕獲。選擇要捕獲數(shù)據(jù)的網卡步驟如下。（1）在菜單中選擇【Files】【Select Settings】菜單項，打開“Settings”窗口。其中包含了一個名為“Local”的本地代理設置，下面顯示了所有網卡的列表，只要選擇相應的網卡就指定了要見識和捕獲數(shù)據(jù)的網卡，如圖2-1所示。圖2-1 “Settings”窗口（2）新建一個本地代理設置，在“Settings”窗口中單擊【New】按鈕，輸入該代理配置的描述，在網卡的下拉列表中選擇相應的網卡。Netpod可以選擇Sniffer內置的選項，

4、Sniffer會自動根據(jù)網卡的IP地址加1來構造Netpod IP。另外也可以從已有的代理配置中拷貝過來，如圖2-2所示。圖2-2 “New Settings”窗口（3）有多個本地代理配置后，需要切換代理配置，指定監(jiān)控不同的目標時，在“Settings”窗口中選擇相應的代理配置和網卡，如圖2-3所示。圖2-3 選擇要監(jiān)控的網卡同時捕獲監(jiān)控多塊網卡上的數(shù)據(jù)流時，可以運行多個Sniffer實例。每個實例指定不同的本地代理設置和不同的網卡。2.2 捕獲特定條件的數(shù)據(jù)包 2.2.1使用“熱連接”進行捕獲在矩陣流量圖上選擇“熱連接”，可以很快捷地選擇要捕獲的地址對，這時Sniffer會創(chuàng)建臨時的過濾器來

5、捕獲數(shù)據(jù)。具體操作步驟如下。（1）在菜單中單擊【Monitor】【Matrix】命令，或者在工具欄中單擊【Matrix】圖標，打開“Matrix”窗口，如圖2-4所示。圖2-4 “Matrix”窗口(2)選擇下方的【IP】選項卡來顯示出IP地址，如圖2-5所示。圖2-5 【IP】選項卡 （3）單擊鼠標選擇“熱連接”的地址，如果同時要選擇多個地址可以使用【Ctrl】鍵，然后在右鍵菜單中單擊【Capture】命令就開始用“熱連接”進行捕獲。這時Sniffer只捕獲被選中的IP地址之間的網絡通信。2.2.2 捕獲穿過路由器的數(shù)據(jù)包廣播數(shù)據(jù)是不能跨越路由器的，點對點的數(shù)據(jù)包是可以通過路由器的。只需要指

6、定發(fā)送和接受數(shù)據(jù)的網絡地址對就可以捕獲穿過路由器的數(shù)據(jù)。具體操作步驟如下。（1）在菜單中單擊【Capture】【Define Filter】命令，可以定義過濾器，如圖2-6所示。圖2-6 定義過濾器（2）單擊【Profiles】按鈕，打開“Capture Profiles”窗口，單擊【New】按鈕。在“New Profile Name”下的文本框中輸入“My IP Filter”，單擊【OK】按鈕。在“Capture Profiles”窗口中單擊【Done】按鈕，如圖2-7所示。圖2-7 創(chuàng)建新的過濾配置（3）在“Address”下拉列表中選擇“IP”,在“Station1”和“Station

7、2”中分別指定要捕獲的地址對，在“Include”單選按鈕，然后單擊【確定】按鈕，如圖2-8所示。圖2-8 定義過濾地址（4）在主窗口中，選擇過濾器為“My IP Filter”，然后單擊【Caputre】【start】命令開始進行捕獲，如圖2-9所示。圖2-9 開始捕獲 2.2.3 捕獲單一協(xié)議的數(shù)據(jù)包 如果只想捕獲單一協(xié)議的數(shù)據(jù)包，例如FTP，需要設置對協(xié)議進行過濾。 具體操作步驟如下。（1）在菜單中單擊【Capture】【Define Filter】命令。（2）單擊【Profiles】命令，打開“Capture Profiles”窗口。單擊【New】按鈕。在“New Profiles N

8、ame”下邊的文本框中輸入“FTP filter”，單擊【OK】按鈕。在“Capture Profiles”窗口中單擊【Done】按鈕，如圖2-10所示。圖2-10 創(chuàng)建新的過濾配置（3）在“Define Filter”窗口的【Advanced】選項卡中指定要捕獲的協(xié)議為“FTP”，單擊【確定】按鈕，如圖2-11所示。圖2-11 指定要捕獲的協(xié)議（4）在主窗口中，選擇過濾器為“FTP filter”，然后單擊【Capture】【Start】命令開始進行捕獲，如圖2-12所示。圖2-12 開始捕獲2.3 定義捕獲觸發(fā)器Sniffer的觸發(fā)器功能提供了一種可以根據(jù)觸發(fā)事件來啟動和停止捕獲行為的方法

9、。觸發(fā)事件可以是：日期和時間、流量載荷或出錯閾值的報警、事件過濾器。通俗地說，就是可以在滿足特定的條件時用特定的過濾器開始或者停止捕獲。使用起來可以按照自己的意愿設置。定義啟動和停止捕獲的觸發(fā)器：定義觸發(fā)器自動在上午9:00開始捕獲，使用FTP filter過濾器捕獲5分鐘的數(shù)據(jù)后自動停止捕獲。具體操作步驟如下。（1）在菜單中單擊【Capture】【Trigger Setup】命令。（2）在“Start Trigger”欄內選擇“Enable”復選框，單擊【Define】按鈕，定義名為“Morning Trigger” 的觸發(fā)器，指定日期為9:00，單擊【OK】按鈕，如圖2-13所示。圖2-1

10、3 定義Start Trigger（3）在“Stop Trigger”欄內選擇“Enable”復選框，單擊【Define】按鈕，定義名為“Stop Trigger”的觸發(fā)器，指定日期為9:05，單擊【OK】按鈕，如圖2-14所示。圖2-14 定義Stop Trigger（4）如果需要取消觸發(fā)器，在菜單中單擊【Capture】【Cancel Trigger】命令。2.4 保存捕獲到的數(shù)據(jù)Sniffer捕獲下來的數(shù)據(jù)可以存為文本格式。實時的統(tǒng)計信息可以存為.csv數(shù)據(jù)庫格式。2.4.1實時導出捕獲的包到文件中具體操作步驟如下。（1）在菜單中單擊【Capture】【Define Filter】命令，

11、在“Capture Buffer”欄中，編輯Default的設置，選中“Save to file”復選框，指定文件路徑、文件名和文件的數(shù)量，如圖2-15所示。圖2-15 配置保存捕獲結果到文件（2）在主窗口中，選擇過濾器為“Default”，然后單擊【Capture】【Start】命令進行捕獲。（3）捕獲的時候查看導出到文件的進度。在菜單中單擊【Capture】【Capture panel】命令，在【Detail】選項卡中有導出到文件的進度顯示，如圖2-16所示。圖2-16 查看實時導出的進度（4）停止捕獲。在主菜單中單擊【File】【Open】命令打開捕獲文件，在定義好的捕獲文件存放的文件夾

12、中可以看到生成的捕獲文件，從中可以查看文件的數(shù)據(jù)包信息。如圖2-17所示。圖2-17 打開捕獲的數(shù)據(jù)包文件2.4.2 配置數(shù)據(jù)庫選項實時監(jiān)控的統(tǒng)計信息可以被保存到格式為.csv的數(shù)據(jù)庫文件中。默認情況下，Sniffer每隔60分鐘就會更新這些數(shù)據(jù)庫文件。具體操作步驟如下。（1）在菜單中單擊【Database】【Option】命令，選中“Log Expert Data”復選框后，Sniffer會自動導出統(tǒng)計數(shù)據(jù)到“.csv”文件中，可選的數(shù)據(jù)類型有Staticstics、Host Table、Matrix、Protocol Distribution和Application Response Ti

13、me，如圖2-18所示。圖2-18 配置數(shù)據(jù)庫選項（2）刪除某天的統(tǒng)計數(shù)據(jù)，在菜單中單擊【Database】【Maintenances】命令，指定日歷中的日期，如圖2-19所示。圖2-19 刪除某天的統(tǒng)計數(shù)據(jù)3 實時監(jiān)控工具Sniffer的實時監(jiān)控工具能把網絡流量的統(tǒng)計度量值記錄下來，提供了對網絡活動實時狀況的精確描述。根據(jù)實時監(jiān)控的值，還可以在檢測到網絡錯誤的時候生成報警來通知網絡管理員。網絡的實時狀態(tài)也能被保存起來作為歷史記錄。便于日后對網絡行為進行網絡出錯的分析是使用。3.1 包的大小及分布情況用Sniffer可以實時統(tǒng)計包的大小和分布情況，從而可以從統(tǒng)計的角度了解網絡通信的情況。查看數(shù)

14、據(jù)包的尺寸和分布情況，具體操作步驟如下。（1）在菜單中單擊【Monitor】【Global Statistics】命令，打開“Global Statistics”窗口，可以查看數(shù)據(jù)包的尺寸和分布狀況，如圖3-1所示。圖3-1 “Global Statistics”窗口（2）單擊窗口左側的餅形圖標，可以查看包尺寸分布的餅形圖，如圖3-2所示。圖3-2 包尺寸分布的餅形圖（3）選擇窗口下方的【Utilization Dist】選項卡，可以查看網絡利用率的分布情況。3.2 Top Talkers根據(jù)通信量對主機的地址進行實時的監(jiān)控和統(tǒng)計，可以掌握網絡主機通信的情況。從統(tǒng)計的角度進行通信量分析也是了解

15、通信情況的重要手段。統(tǒng)計通信量最多的主機，具體操作步驟如下。（1）在菜單中單擊【Monitor】【Host Tables】命令，打開“Host Table”窗口，可以查看主機地址及通信量的大小。地址可以是MAC地址、IP地址或者IPX地址，可在窗口下方的選項卡中選擇，根據(jù)不同的地址查看通信量統(tǒng)計，如圖3-3所示。圖3-3 通信量統(tǒng)計（2）在窗口左側的圖標中單擊【Detail】圖標，可以根據(jù)協(xié)議類型分組，并列出每個地址的通信量，如圖3-4所示。圖3-4 通信量詳細信息（3）在窗口左側的圖標中單擊【Bar】圖標，可以根據(jù)通信量的大小描繪出前10個通信量最多的主機的柱狀圖，如圖3-5所示。圖3-5

16、通信量柱狀圖 （4）在窗口左側的圖標中單擊【Pie】圖標，可以通過通信量大小繪制出通信量最多的主機的餅形圖，如圖3-6所示。圖3-6 通信量餅形圖3.3 網絡采樣分析 采樣分析是一種網絡狀況統(tǒng)計分析的方法，通過每隔一定時間間隔記錄一次網絡流量的參數(shù)，可以在一個比較長的時間范圍內得出網絡運行狀況的宏觀情況。 對網絡數(shù)據(jù)采樣分析，具體操作步驟如下。 （1）在菜單中單擊【Monitor】【History Samples】命令，打開“History Samples”窗口，每一個采樣，都是針對一種不同的網絡運行情況的參數(shù)，如圖3-7所示。圖3-7 歷史采樣窗口（2）“Packets/s”表示每秒通過的數(shù)

17、據(jù)包的數(shù)目，在“Packets/s”上單擊鼠標右鍵，在彈出的菜單中單擊【屬性】命令可以配置采樣的參數(shù)，默認的采樣時間間隔是15秒，現(xiàn)在設為1秒。還可以配置采樣的最低和最高的閾值、采樣結果的顯示圖形和顏色等，單擊【確定】按鈕，如圖3-8所示。圖3-8 配置采樣參數(shù)（3）在“Packets/s”上單擊鼠標右鍵，在彈出的菜單中單擊【start sample】命令開始進行采樣，采樣結果顯示了每隔1秒鐘網絡通信的數(shù)據(jù)包的數(shù)量，如圖3-9所示。圖3-9 采樣結果（4）關閉采樣結果窗口，彈出保存歷史采樣記錄的對話框，單擊【是】按鈕，如圖3-10所示。圖3-10 保存歷史采樣（5）在“保存在”下拉菜單中指定保

18、存采樣結果的文件名的路徑，如圖3-11所示。圖3-11 保存采樣文件4 分析和診斷問題對捕獲到的數(shù)據(jù)包進行分析和研究，有助于發(fā)現(xiàn)網絡故障。Sniffer提供了圖形化的分析工具，可幫助分析捕獲到的數(shù)據(jù)包。4.1 配置如何顯示捕獲到的數(shù)據(jù)包可以配置Sniffer的顯示選項，指定在界面中顯示的選項卡和已經可以選擇的協(xié)議等，用戶可根據(jù)不同的場景和要求定制不同的Sniffer用戶界面，使顯示的結果更直觀有用。配置Sniffer Pro的顯示選項，具體操作步驟如下。（1）在菜單中單擊【Display】【Display Setup】命令，打開“Display Setup”窗口，在“Display Setup”窗口的【General】選項卡中選中“Expert tab”和“Post analysis tabs”復選框。在【Summary Display】選項卡中，把需要的顯示選項選中，例如“Show network address”等，如圖4-1所示。圖4-1【Summary Display】選項卡（4）在【Protocol Expand】選項卡中選擇可以進行分析的協(xié)議，如圖4-2所示。圖4-2 【Protoco