談?dòng)肧niffer監(jiān)控網(wǎng)絡(luò)流量

1、網(wǎng)絡(luò)嗅探：用Snnifffer監(jiān)監(jiān)控網(wǎng)絡(luò)絡(luò)流量出處：硅谷谷動(dòng)力 作作者：bbankker 時(shí)間：20007-009-228 110:228 隨著互互聯(lián)網(wǎng)多多層次性性、多樣樣性的發(fā)發(fā)展，網(wǎng)網(wǎng)吧已由由過去即即時(shí)通信信、瀏覽覽網(wǎng)頁、電電子郵件件等簡(jiǎn)單單的應(yīng)用用，擴(kuò)展展成為運(yùn)運(yùn)行大量量在線游游戲、在在線視頻頻音頻、互互動(dòng)教學(xué)學(xué)、P22P等技技術(shù)應(yīng)用用。應(yīng)用用特點(diǎn)也也呈現(xiàn)出出多樣性性和復(fù)雜雜性，因因此，這這些應(yīng)用用對(duì)我們們的網(wǎng)絡(luò)絡(luò)服務(wù)質(zhì)質(zhì)量要求求更為嚴(yán)嚴(yán)格和苛苛刻。 目目前，大大多數(shù)網(wǎng)網(wǎng)吧的網(wǎng)網(wǎng)絡(luò)設(shè)備備不具備備高端網(wǎng)網(wǎng)絡(luò)設(shè)備備的智能能性、交交互性等等擴(kuò)展性性能，當(dāng)當(dāng)網(wǎng)吧出出現(xiàn)掉線線、網(wǎng)絡(luò)絡(luò)卡、遭遭受內(nèi)部

2、部病毒攻攻擊、流流量超限限等情況況時(shí)，很很多網(wǎng)絡(luò)絡(luò)管理員員顯的心心有于而而力不足足。畢竟竟，靠網(wǎng)網(wǎng)絡(luò)管理理員的經(jīng)經(jīng)驗(yàn)和一一些簡(jiǎn)單單傳統(tǒng)的的排查方方法：無無論從時(shí)時(shí)間上面面還是準(zhǔn)準(zhǔn)確性上上面都存存在很大大的誤差差，同時(shí)時(shí)也影響響了工作作效率和和正常業(yè)業(yè)務(wù)的運(yùn)運(yùn)行。 Snnifffer Proo 著名名網(wǎng)絡(luò)協(xié)協(xié)議分析析軟件。本本文利用用其強(qiáng)大大的流量量圖文系系統(tǒng)Hoost Tabble來來實(shí)時(shí)監(jiān)監(jiān)控網(wǎng)絡(luò)絡(luò)流量。在在監(jiān)控軟軟件上，我我們選擇擇了較為為常用的的NAII公司的的sniiffeer ppro，事事實(shí)上，很很多網(wǎng)吧吧管理員員都有過過相關(guān)監(jiān)監(jiān)控網(wǎng)絡(luò)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)絡(luò)出現(xiàn)問問題、或或者探查查網(wǎng)絡(luò)情

3、情況時(shí)，使用用P2PP終結(jié)者者、網(wǎng)絡(luò)絡(luò)執(zhí)法官官等網(wǎng)絡(luò)絡(luò)監(jiān)控軟軟件。這這樣的軟軟件有一一個(gè)很大大優(yōu)點(diǎn)：不要配配置端口口鏡像就就可以進(jìn)進(jìn)行流量量查詢（其其實(shí)snnifffer proo也可以以變通的的工作在在這樣的的環(huán)境下下）。這這種看起起來很快快捷的方方法，仍仍然存在在很多弊弊端：由由于其工工作原理理利用AARP地地址表，對(duì)對(duì)地址表表進(jìn)行欺欺騙，因因此可能能會(huì)衍生生出很多多節(jié)外生生枝的問問題，如如掉線、網(wǎng)網(wǎng)絡(luò)變慢慢、ARRP廣播播巨增等等。這對(duì)對(duì)于要求求正常的的網(wǎng)絡(luò)來來說，是是不可思思議的。 在在這里，我我們將通通過軟件件解決方方案來完完成以往往只有通通過更換換高級(jí)設(shè)設(shè)備才能能解決的的網(wǎng)絡(luò)解解決

4、方案案，這對(duì)對(duì)于很多多管理員員來說，將將是個(gè)夢(mèng)夢(mèng)寐以求求的時(shí)刻刻。 硬硬件環(huán)境境（網(wǎng)吧吧）： 1100MM網(wǎng)絡(luò)環(huán)環(huán)境下，992臺(tái)終終端數(shù)量量，主交交換采用用D-LLINKK（友訊訊）DEES-332266S二層層交換機(jī)機(jī)(支持持端口鏡鏡像功能能)，級(jí)級(jí)聯(lián)普通通傻瓜型型交換機(jī)機(jī)。光纖纖10MM接入，華華為26620做做為接入入網(wǎng)關(guān)。 軟軟件環(huán)境境： 操作作系統(tǒng)WWinddowss20003 SServver企企業(yè)標(biāo)準(zhǔn)準(zhǔn)版（SSniffferr Prro4.6及以以上版本本均支持持Winndowws20000 Winndowws-xxp WWinddowss20003）、NNAI協(xié)協(xié)議分析析軟件-

5、Sniiffeer PPorttablle 44.755（本文文選用網(wǎng)網(wǎng)絡(luò)上較較容易下下載到的的版本做為為測(cè)試） 環(huán)環(huán)境要求求： 1、如如果需要要監(jiān)控全全網(wǎng)流量量，安裝裝有Snnifffer Porrtabble 4.77.5(以下簡(jiǎn)簡(jiǎn)稱Snnifffer Proo)的終終端計(jì)算算機(jī)，網(wǎng)網(wǎng)卡接入入端需要要位于主主交換鏡鏡像端口口位置。（監(jiān)監(jiān)控所有有流經(jīng)此此網(wǎng)卡的的數(shù)據(jù)） 22、Snnffiier proo 4775僅支支持100M、1100MM、100/1000M網(wǎng)網(wǎng)卡，對(duì)對(duì)于千MM網(wǎng)卡，請(qǐng)請(qǐng)安裝SSP5補(bǔ)補(bǔ)丁，或或4.88及更高高的版本本 網(wǎng)絡(luò)拓拓?fù)洌?圖 監(jiān)控控目的：通過SSnifffer

6、r Prro實(shí)時(shí)時(shí)監(jiān)控，及及時(shí)發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)環(huán)環(huán)境中的的故障（例例如病毒毒、攻擊擊、流量量超限等等非正常常行為）。對(duì)對(duì)于很多多企業(yè)、網(wǎng)網(wǎng)吧網(wǎng)絡(luò)絡(luò)環(huán)境中中，網(wǎng)關(guān)關(guān)（路由由、代理理等）自自身不具具備流量量監(jiān)控、查查詢功能能，本文文將是一一個(gè)很好好的解決決方案。Sniffer Pro強(qiáng)大的實(shí)用功能還包括：網(wǎng)內(nèi)任意終端流量實(shí)時(shí)查詢、網(wǎng)內(nèi)終端與終端之間流量實(shí)時(shí)查詢、終端流量TOP排行、異常告警等。同時(shí)，我們將數(shù)據(jù)包捕獲后，通過Sniffer Pro的專家分析系統(tǒng)幫助我們更進(jìn)一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問題。 步驟一：配置交換機(jī)端口鏡像（Mirroring Configurations） 以D

7、ES-3226S二層交換機(jī)為例，我們來通過WEB方式配置端口鏡像（也可用CLI命令行模式配置）。如果您的設(shè)備不支持WEB方式配置，請(qǐng)參考相關(guān)用戶手冊(cè)。 1.DES-3226S默認(rèn)登陸IP為：10.90.90.90 因此，需要您配置本機(jī)IP為相同網(wǎng)段才可通過瀏覽器訪問WEB界面。 如圖（1）所示： 圖1 22.使用用鼠標(biāo)點(diǎn)點(diǎn)擊上方方紅色字字體：“LLogiin”,如果您您是第一一次配置置，輸入入默認(rèn)用用戶名稱稱、密碼碼:addminn 自動(dòng)動(dòng)登陸管管理主界界面。 33.如圖圖（2）所所示，主主界面上上方以圖圖形方式式模擬交交換機(jī)界界面，其其中綠色色燈亮起起表示此此端口正正在使用用。下方方文字列列

8、出交換換機(jī)的一一些基本本信息。 圖2 44.如圖圖（3）：鼠標(biāo)點(diǎn)點(diǎn)擊左下下方菜單單中的aadvaanceed ssetuup-Mirrrorringg Coonfiigurratiionss （高高級(jí)配置置鏡像像配置） 圖3 55.將MMirrror Staatuss 選擇擇為Ennablle（默默認(rèn)為關(guān)關(guān)閉狀態(tài)態(tài)，開啟啟），本本例中將將Porrt-11端口設(shè)設(shè)置為監(jiān)監(jiān)聽端口口:Taargeet PPortt=Poort-1，其其余端口口選擇為為Botth，既既：監(jiān)聽聽雙向數(shù)數(shù)據(jù)（RRx接收收 Txx發(fā)送），選選擇完畢畢后，點(diǎn)點(diǎn)擊Appplyy應(yīng)用設(shè)設(shè)置。 此此時(shí)所有有的端口口數(shù)據(jù)都都將復(fù)制制

9、一份到到Porrt-11。（如如圖4） 圖4 接接下來，我我們就可可以在PPortt-1端端口，接接入計(jì)算算機(jī)并安安裝配置置Sniiffeer PPro。 步驟驟二：SSniffferr Prro 安安裝、啟啟動(dòng)、配配置 Snnifffer Proo 安裝裝過程與與其它應(yīng)應(yīng)用軟件件沒有什什么太大大的區(qū)別別，在安安裝過程程中需要要注意的的是： Sniiffeer PPro 安裝大大約占用用70MM左右的的硬盤空空間。 安裝完完畢Sniffferr Prro后，會(huì)會(huì)自動(dòng)在在網(wǎng)卡上上加載SSniffferr Prro 特特殊的驅(qū)驅(qū)動(dòng)程序序（如圖圖5）。 安裝的的最后將將提示填填入相關(guān)關(guān)信息及及序列號(hào)

10、號(hào)，正確確填寫完完畢，安安裝程序序需要重重新啟動(dòng)動(dòng)計(jì)算機(jī)機(jī)。 對(duì)對(duì)于英文文不好的的管理員員可以下下載網(wǎng)上上的漢化化補(bǔ)丁。 圖5 我我們來啟啟動(dòng)Snnifffer Proo。第一一次啟動(dòng)動(dòng)Sniiffeer PPro時(shí)時(shí),需要要選擇程程序從那那一個(gè)網(wǎng)網(wǎng)絡(luò)適配配器接收收數(shù)據(jù)，我我們指定定位于端端口鏡像像所在位位置的網(wǎng)網(wǎng)卡。 具具體位于于：Fiile-Seelecct SSetttinggs-Neww 名稱自自定義、選選擇所在在網(wǎng)卡下下拉菜單單，點(diǎn)擊擊確定即即可。(如圖66) 圖6 這這樣我們們就進(jìn)入入了Sniffferr Prro的主主界面。 步驟驟三：新新手上路路，查詢?cè)兙W(wǎng)關(guān)流流量 下下面以圖圖

11、文的方方式介紹紹，如何何查詢網(wǎng)網(wǎng)關(guān)（路路由、代代理：2219.*.2238.65）流量，這也是最為常用、重要的查詢之一。 1 掃描IP-MAC對(duì)應(yīng)關(guān)系。這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。 選擇菜單欄中Tools-Address Book 點(diǎn)擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.159點(diǎn)擊OK，系統(tǒng)會(huì)自動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系。掃描完畢后，點(diǎn)擊DataBase-Save Address Book 系統(tǒng)會(huì)自動(dòng)保存對(duì)應(yīng)關(guān)系，以備以后使用。(如

12、圖7) 圖7 22.查看看網(wǎng)關(guān)流量量。點(diǎn)擊擊Monnitoor-Hosst TTablle，選選擇Hoost tabble界界面左下下角的MMAC-IP-IPXX中的MMAC。（為為什么選選擇MAAC？在在網(wǎng)絡(luò)中中，所有有終端的的對(duì)外數(shù)數(shù)據(jù)，例例如使用用QQ、瀏瀏覽網(wǎng)站站、上傳傳、下載載等行為為，都是是各終端端與網(wǎng)關(guān)關(guān)在數(shù)據(jù)據(jù)鏈路層層中進(jìn)行行的）(如圖88) 圖8 33.找到到網(wǎng)關(guān)的的IP地地址-選擇ssinggle staatioon-barr (本本例中網(wǎng)網(wǎng)關(guān)IPP為2119.*.2338.665) 圖9 如如圖(99)所示示： 2119.*.2338.665（網(wǎng)網(wǎng)關(guān)）流流量TOOP-11

13、0 此此圖為實(shí)實(shí)時(shí)流量量圖。在在此之前前如果我我們沒有有做掃描描IP（AAddrresss Boook）的的工作，右右邊將會(huì)會(huì)以網(wǎng)卡卡物理地地址-MMAC地地址的方方式顯示示，現(xiàn)在在轉(zhuǎn)換為為IP地地址形式式（或計(jì)計(jì)算機(jī)名名），現(xiàn)現(xiàn)在很容容易定位位終端所所在位置置。流量量以3DD柱形圖圖的方式式動(dòng)態(tài)顯顯示，其其中最左左邊綠色色柱形圖圖與網(wǎng)關(guān)關(guān)流量最大大，其它它依次減減小。本本圖中2219.*.2238.93與與網(wǎng)關(guān)流流量最大大，且與與其它終終端流量量差距懸懸殊，如如果這個(gè)個(gè)時(shí)候網(wǎng)網(wǎng)絡(luò)出現(xiàn)現(xiàn)問題，可可以重點(diǎn)點(diǎn)檢查此此IP是是否有大大流量相關(guān)關(guān)的操作作。 如果果要查看看2199.*.2388.655

14、（網(wǎng)關(guān)關(guān)）與內(nèi)內(nèi)部所有有流量通信信圖，我我們可以以點(diǎn)擊左左邊菜單單中，排排列第一一位的-MAAP按鈕鈕 如圖(10)所示,網(wǎng)關(guān)與與內(nèi)網(wǎng)間間的所有有流量都在在這里動(dòng)動(dòng)態(tài)的顯顯示。 圖100 需要注注意的是是： 綠色色線條狀狀態(tài)為：正在通通訊中 暗暗藍(lán)色線線條狀態(tài)態(tài)為：通通信中斷斷 線條的的粗細(xì)與與流量的大大小成正正比 如果果將鼠標(biāo)標(biāo)移動(dòng)至至線條處處,程序序顯示出出流量雙方方位置、通通訊流量量的大小?。òɡń邮?、發(fā)發(fā)送）、并并自動(dòng)計(jì)計(jì)算流量量占當(dāng)前前網(wǎng)絡(luò)的的百分比比。 其它它主要功功能： PPIE：餅圖的的方式顯顯示TOOP 110的流流量占用用百分比比。 Deetaiil：將將Prootocc

15、ol(協(xié)議類類型)、FFromm Hoost（原原主機(jī)）、iin/oout paccketts/bbytees(接接收、發(fā)發(fā)送字節(jié)節(jié)數(shù)、包包數(shù))等等字段信信息以二二維表格格的方式式顯示。 第四四步：基基于IPP層流量量 11.為了了進(jìn)一步步分析2219.*.2238.93的的異常情情況，我我們切換換至基于于IP層層的流量量統(tǒng)計(jì)圖圖中看看看。 點(diǎn)擊擊菜單欄欄中的MMoniitorr-HHostt Taablee，選擇擇Hosst TTablle界面面左下角角的MAAC-IIP-IIPX中中的IPP。 2.找到IIP：2219.*.2238.93地地址（可可以用鼠鼠標(biāo)點(diǎn)擊擊IP Adddr排序序，

16、以方方便查找找）-選擇ssinggle staatioon-barr （如如圖111所示） 圖111 3.我我們切換換至Trrafffic Mapp來看看看它與所所有IPP的通信信流量圖。（圖圖12） 圖122 我們可可以從2219.*.2238.93的的通信圖圖中看到到，與它它建立IIP連接接的情況況。圖中中IP連連接數(shù)目目非常大大，這對(duì)對(duì)于普通通應(yīng)用終終端來講講，顯然然不是一一種正常常的業(yè)務(wù)務(wù)連接。我我們猜測(cè)測(cè)，該終終端可能能正在進(jìn)進(jìn)行有關(guān)關(guān)P2PP類的操操作，比比如正在在使用PP2P類類軟件進(jìn)進(jìn)行BTT下載、或或者正在在觀看PP2P類類在線視視頻等。 為為了進(jìn)一一步的證證明我們們的猜測(cè)測(cè)

17、，我們們?nèi)タ纯纯?199.*.2288.933的流量量協(xié)議分分布情況況。 4.如圖（113）所所示：PProttocool類型型絕大部部分為OOtheen.我我們知道道在Snnifffer Proo中Otthenn表示未未能識(shí)別別出來協(xié)協(xié)議，如如果提前前定義了了協(xié)議類類型，這這里將會(huì)會(huì)直接顯顯現(xiàn)出來來。 圖133 如圖（114）通通過菜單單欄下的的Toools-Opptioons-Prrotoocolls,在在第199欄中定定義1444055（biitcoomett的默認(rèn)認(rèn)監(jiān)聽端端口），取取名為bbitccom。 圖144 現(xiàn)在我我們?cè)俅未尾榭?119.*.2338.993協(xié)議議分布情情況.（

18、如如圖155） 圖155 現(xiàn)在，協(xié)協(xié)議類型型大部分分都轉(zhuǎn)換換為biitcoom，這這樣我們們就可以以斷定，此此終端正正在用bbitccomeet做大大量上傳傳、下載載行為。 注注意：很很多P22P類軟軟件并沒沒有固定定的使用用端口，且且端口也也可以自自定義，因因此使用用本方法法雖然不不失為一一種檢測(cè)測(cè)P2PP流量的好好方法，但但并不能能完全保保證其準(zhǔn)準(zhǔn)確性。 好好了，使使用Snnifffer Proo監(jiān)控網(wǎng)網(wǎng)關(guān)流量量，就到到這里結(jié)結(jié)束了。實(shí)實(shí)際上我我們可以以用同樣樣的方法法監(jiān)控網(wǎng)網(wǎng)絡(luò)內(nèi)的的任何一一臺(tái)終端端。后續(xù)續(xù)，我們們將繼續(xù)續(xù)連載使使用Snnifffer Proo監(jiān)控網(wǎng)網(wǎng)絡(luò)的其其它新手手教程，例例如：利利用Snnifffer proo做網(wǎng)絡(luò)絡(luò)的預(yù)警警機(jī)制、利利用Snnifffer p