網(wǎng)絡(luò)嗅探教程 使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)流量

1、網(wǎng)絡(luò)嗅探教程 使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)流量 隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展，網(wǎng)吧已由過去即時(shí)通信、瀏覽網(wǎng)頁、電子郵件等簡(jiǎn)單的應(yīng)用，擴(kuò)展成為運(yùn)行大量在線游戲、在線視頻音頻、互動(dòng)教學(xué)、P2P等技術(shù)應(yīng)用。應(yīng)用特點(diǎn)也呈現(xiàn)出多樣性和復(fù)雜性，因此，這些應(yīng)用對(duì)我們的網(wǎng)絡(luò)服務(wù)質(zhì)量要求更為嚴(yán)格和苛刻。目前，大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，當(dāng)網(wǎng)吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時(shí)，很多網(wǎng)絡(luò)管理員顯的心有于而力不足。畢竟，靠網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)和一些簡(jiǎn)單傳統(tǒng)的排查方法：無論從時(shí)間上面還是準(zhǔn)確性上面都存在很大的誤差，同時(shí)也影響了工作效率和正常業(yè)務(wù)的運(yùn)行。Sn

2、iffer Pro 著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實(shí)上，很多網(wǎng)吧管理員都有過相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)出現(xiàn)問題、或者探查網(wǎng)絡(luò)情況時(shí)，使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個(gè)很大優(yōu)點(diǎn)：不要配置端口鏡像就可以進(jìn)行流量查詢（其實(shí)sniffer pro也可以變通的工作在這樣的環(huán)境下）。這種看起來很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，對(duì)地址表進(jìn)行欺騙，因此可能會(huì)衍生出很多節(jié)外生枝的問題，如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對(duì)于要

3、求正常的網(wǎng)絡(luò)來說，是不可思議的。在這里，我們將通過軟件解決方案來完成以往只有通過更換高級(jí)設(shè)備才能解決的網(wǎng)絡(luò)解決方案，這對(duì)于很多管理員來說，將是個(gè)夢(mèng)寐以求的時(shí)刻。硬件環(huán)境（網(wǎng)吧）：100M網(wǎng)絡(luò)環(huán)境下，92臺(tái)終端數(shù)量，主交換采用D-LINK（友訊）DES-3226S二層交換機(jī)(支持端口鏡像功能)，級(jí)聯(lián)普通傻瓜型交換機(jī)。光纖10M接入，華為2620做為接入網(wǎng)關(guān)。軟件環(huán)境：操作系統(tǒng)Windows2003 Server企業(yè)標(biāo)準(zhǔn)版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI協(xié)議分析軟件-Sniffer Portable 4.7

4、5（本文選用網(wǎng)絡(luò)上較容易下載到的版本做為測(cè)試）環(huán)境要求：圖監(jiān)控目的：通過Sniffer Pro實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的故障（例如病毒、攻擊、流量超限等非正常行為）。對(duì)于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中，網(wǎng)關(guān)（路由、代理等）自身不具備流量監(jiān)控、查詢功能，本文將是一個(gè)很好的解決方案。Sniffer Pro強(qiáng)大的實(shí)用功能還包括：網(wǎng)內(nèi)任意終端流量實(shí)時(shí)查詢、網(wǎng)內(nèi)終端與終端之間流量實(shí)時(shí)查詢、終端流量TOP排行、異常告警等。同時(shí)，我們將數(shù)據(jù)包捕獲后，通過Sniffer Pro的專家分析系統(tǒng)幫助我們更進(jìn)一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問題。步驟一：配置交換機(jī)端口鏡像（Mirroring Config

5、urations）圖12.使用鼠標(biāo)點(diǎn)擊上方紅色字體：“Login”,如果您是第一次配置，輸入默認(rèn)用戶名稱、密碼:admin 自動(dòng)登陸管理主界面。3.如圖（2）所示，主界面上方以圖形方式模擬交換機(jī)界面，其中綠色燈亮起表示此端口正在使用。下方文字列出交換機(jī)的一些基本信息。圖24.如圖（3）：鼠標(biāo)點(diǎn)擊左下方菜單中的advanced setup->Mirroring Configurations （高級(jí)配置鏡像配置）圖35.將Mirror Status 選擇為Enable（默認(rèn)為關(guān)閉狀態(tài)，開啟），本例中將Port-1端口設(shè)置為監(jiān)聽端口:Target Port=Port-1，其余端口選擇為Both

6、，既：監(jiān)聽雙向數(shù)據(jù)（Rx接收 Tx發(fā)送），選擇完畢后，點(diǎn)擊Apply應(yīng)用設(shè)置。此時(shí)所有的端口數(shù)據(jù)都將復(fù)制一份到Port-1。（如圖4）圖4接下來，我們就可以在Port-1端口，接入計(jì)算機(jī)并安裝配置Sniffer Pro。步驟二：Sniffer Pro 安裝、啟動(dòng)、配置Sniffer Pro 安裝過程與其它應(yīng)用軟件沒有什么太大的區(qū)別，在安裝過程中需要注意的是：Sniffer Pro 安裝大約占用70M左右的硬盤空間。安裝完畢Sniffer Pro后，會(huì)自動(dòng)在網(wǎng)卡上加載Sniffer Pro 特殊的驅(qū)動(dòng)程序（如圖5）。安裝的最后將提示填入相關(guān)信息及序列號(hào)，正確填寫完畢，安裝程序需要重新啟動(dòng)計(jì)算機(jī)。

7、對(duì)于英文不好的管理員可以下載網(wǎng)上的漢化補(bǔ)丁。 圖5我們來啟動(dòng)Sniffer Pro。第一次啟動(dòng)Sniffer Pro時(shí),需要選擇程序從那一個(gè)網(wǎng)絡(luò)適配器接收數(shù)據(jù)，我們指定位于端口鏡像所在位置的網(wǎng)卡。具體位于：File->Select Settings->New名稱自定義、選擇所在網(wǎng)卡下拉菜單，點(diǎn)擊確定即可。(如圖6)圖6這樣我們就進(jìn)入了Sniffer Pro的主界面。步驟三：新手上路，查詢網(wǎng)關(guān)流量1 掃描IP-MAC對(duì)應(yīng)關(guān)系。圖72.查看網(wǎng)關(guān)流量。點(diǎn)擊Monitor->Host Table，選擇Host table界面左下角的MAC-IP-IPX中的MAC。（為什么選擇MAC？

8、在網(wǎng)絡(luò)中，所有終端的對(duì)外數(shù)據(jù)，例如使用QQ、瀏覽網(wǎng)站、上傳、下載等行為，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的）(如圖8)圖83.找到網(wǎng)關(guān)的IP地址圖9圖10需要注意的是：綠色線條狀態(tài)為：正在通訊中暗藍(lán)色線條狀態(tài)為：通信中斷線條的粗細(xì)與流量的大小成正比如果將鼠標(biāo)移動(dòng)至線條處,程序顯示出流量雙方位置、通訊流量的大?。òń邮铡l(fā)送）、并自動(dòng)計(jì)算流量占當(dāng)前網(wǎng)絡(luò)的百分比。其它主要功能：PIE：餅圖的方式顯示TOP 10的流量占用百分比。Detail：將Protocol(協(xié)議類型)、From Host（原主機(jī)）、in/out packets/bytes(接收、發(fā)送字節(jié)數(shù)、包數(shù))等字段信息以二維表格的方式

9、顯示。第四步：基于IP層流量圖113.我們切換至Traffic Map來看看它與所有IP的通信流量圖。（圖12）圖124.如圖（13）所示：Protocol類型絕大部分為Othen.我們知道在Sniffer Pro中Othen表示未能識(shí)別出來協(xié)議，如果提前定義了協(xié)議類型，這里將會(huì)直接顯現(xiàn)出來。圖13如圖（14）通過菜單欄下的Tools->Options->Protocols,在第19欄中定義14405（bitcomet的默認(rèn)監(jiān)聽端口），取名為bitcom。圖14圖15現(xiàn)在，協(xié)議類型大部分都轉(zhuǎn)換為bitcom，這樣我們就可以斷定，此終端正在用bitcomet做大量上傳、下載行為。注意

10、：很多P2P類軟件并沒有固定的使用端口，且端口也可以自定義，因此使用本方法雖然不失為一種檢測(cè)P2P流量的好方法，但并不能完全保證其準(zhǔn)確性。好了，使用Sniffer Pro監(jiān)控網(wǎng)關(guān)流量，就到這里結(jié)束了。實(shí)際上我們可以用同樣的方法監(jiān)控網(wǎng)絡(luò)內(nèi)的任何一臺(tái)終端。后續(xù)，我們將繼續(xù)連載使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)的其它新手教程，例如：利用Sniffer pro做網(wǎng)絡(luò)的預(yù)警機(jī)制、利用Sniffer pro分析病毒、通過包分析結(jié)合專家系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在的“未知問題”，以后我們將陸續(xù)做更深一步的探討和分析。概念解釋：1.什么是端口鏡像?把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。2.為什么需要端口鏡像 ?交換機(jī)的工作原理與HUB有很大的不同，HUB組建的網(wǎng)絡(luò)數(shù)據(jù)交換都是通過廣播方式進(jìn)行的，而交換機(jī)組建的網(wǎng)絡(luò)是根據(jù)交換機(jī)內(nèi)部CAM表（通常也稱IP-MAC表）進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽。3.端口鏡像通常有以下幾種別名：Port Mirroring 通常指允許把一個(gè)端口的流量