用SNIFFER進行網(wǎng)絡性能監(jiān)測-實驗指導

1、用SNIFFER進行網(wǎng)絡性能監(jiān)測實驗指導 計算機網(wǎng)絡西安交通大學西安交通大學計算機教學實驗中心計算機教學實驗中心下一頁上一頁停止放映第第1 1|21|21頁頁實驗目的 了解Sniffer的工作原理了解常用網(wǎng)絡數(shù)據(jù)包的幀格式掌握Sniffer偵測、記錄和分析數(shù)據(jù)包的方法下一頁上一頁停止放映第第2 2|21|21頁頁實驗環(huán)境 安裝Windows 98/2000/XP操作系統(tǒng)并能夠上網(wǎng)的微型計算機1臺Sniffer安裝軟件下一頁上一頁停止放映第第3 3|21|21頁頁實驗原理 數(shù)據(jù)在網(wǎng)絡上是以很小的被稱為“幀”或“包”的協(xié)議數(shù)據(jù)單元（PDU）方式傳輸?shù)?。以?shù)據(jù)鏈路層的“幀”為例，不同的“幀”由多個對

2、應不同信息功能的部分組成。幀的類型與格式根據(jù)通信雙方數(shù)據(jù)鏈路層所使用的協(xié)議確定，由網(wǎng)絡驅動程序按照一定規(guī)則生成，通過網(wǎng)絡接口卡發(fā)送到網(wǎng)絡中，通過網(wǎng)絡傳送的目的主機。在正常情況下，網(wǎng)絡接口卡讀入一幀并進行檢查，如果幀中所攜帶的目的MAC地址和自己的物理地址一致或者是廣播地址時，網(wǎng)絡接口卡通過產(chǎn)生一個硬件中斷引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)處理，否則就將該幀丟棄。但如果某個接口卡被設置為“混雜”狀態(tài)，則該接口卡將接收所有在網(wǎng)絡中傳輸?shù)膸?，這就形成了監(jiān)聽。下一頁上一頁停止放映第第4 4|21|21頁頁實驗任務 學會使用Sniffer捕獲數(shù)據(jù)包，根據(jù)所設計的具體應用，對所捕獲的數(shù)據(jù)包

3、進行協(xié)議分析。利用Sniffer的“數(shù)據(jù)包生成器”向網(wǎng)絡中發(fā)送一個數(shù)據(jù)包下一頁上一頁停止放映第第5 5|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包 1）安裝Sniffer-用戶運行安裝程序，并在安裝程序的引導下完成Sniffer的安裝。2）配置Sniffer在進行流量捕獲之前，首先在“FILE”“Select Settings”選擇網(wǎng)絡適配器，確定從計算機的哪個網(wǎng)絡適配器上接收數(shù)據(jù)，如下圖 。該軟件安裝在Windows 98操作系統(tǒng)時，可以選擇撥號適配器對電話撥號進行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬的PPPOE網(wǎng)卡。下一頁

4、上一頁停止放映第第6 6|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包3）定義捕獲規(guī)則通過“Capture”“Define Filter”和“Display”“Define Filter”可以設置過濾器的過濾規(guī)則，過濾器根據(jù)所選擇的物理地址、IP地址和協(xié)議可以組合篩選內(nèi)容。在Address頁中（圖 ）可以設置MAC地址、IP地址和IPX地址。以IP地址過濾為例，說明捕獲地址為6的主機與其他主機通信的信息。在Mode選項卡中，選Include(選Exclude表示捕獲除此地址外所有的數(shù)據(jù)包)；在Station1的任意一欄中填入202.11

5、7.50.16，對應的Station2欄填上any（any表示所有的IP地址），單擊該行Dir.列的圖標，選擇捕獲數(shù)據(jù)包的方向，就完成地址的定義，選擇“Profiles”按鈕將定義的規(guī)則保存下來。下一頁上一頁停止放映第第7 7|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包在Data Pattern中可以編輯任意的捕獲條件，實現(xiàn)更復雜的報文過濾。下一頁上一頁停止放映第第8 8|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包在Advance頁中可以編輯協(xié)議的捕獲條件。在協(xié)議選擇樹中羅列了所有可以捕獲的協(xié)議，缺省時表示捕獲所有協(xié)議。在

6、Packet Size中，可以定義捕獲包的大小，設置等于、小于、大于某個報文長度的值。在Packet Type中，可以選擇當網(wǎng)絡出現(xiàn)錯誤時是否捕獲?！癙rofiles”按鈕可以保存所設置的過濾規(guī)則。下一頁上一頁停止放映第第9 9|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包在Buffer頁中定義捕獲數(shù)據(jù)包的緩沖區(qū)。在Buffer size選項卡，可設置緩沖區(qū)的大小，最大值為40M。在Capture buffer選項卡，可設置緩沖區(qū)文件存放的位置。下一頁上一頁停止放映第第10 10|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包最

7、后選擇“Capture”“Select Filter”，點選Capture中定義好的過濾規(guī)則，單擊“確定”后，該規(guī)則將應用于以后的捕獲中。下一頁上一頁停止放映第第11 11|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包4）啟動相應的服務根據(jù)過濾器中設置的過濾規(guī)則，在網(wǎng)絡中啟動相應服務，有關服務可以參閱第3章利用IIS搭建網(wǎng)絡服務，也可以通過Internet使用其它網(wǎng)站上提供的服務。下一頁上一頁停止放映第第12 12|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包5）報文捕獲解析 在“Monitor”菜單中羅列了可以實時監(jiān)控主機、

8、協(xié)議、應用程序、不同包類型等分布情況的監(jiān)測工具。打開這些工具（），其中Dashboard可以實時統(tǒng)計每秒鐘接收到的包的數(shù)量、出錯包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等信息并以“表板”和“圖表”的形式顯示出來；Host Table可以查看通信量最大的前10位主機；Matrix通過連線，可以形象地顯示主機之間的連接記錄；Application Response Time通過不同主機間通信的最小、最大、平均響應時間方面的信息揭示回應時間，對解決Web Server，F(xiàn)TP Server和Database Server反應過慢十分有用；History Samples可以看

9、到歷史數(shù)據(jù)抽樣出來的統(tǒng)計值；Protocol distribution可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況及用途；Switch可以獲取Cisco交換機的狀態(tài)信息；Global Statics用來顯示網(wǎng)絡上各種Protocol Size的分布及網(wǎng)絡的整體用量和表現(xiàn)；Alarm Log在網(wǎng)絡出現(xiàn)問題時可以通過E-mail、SNMP、Alert Beep以及傳呼等方式及時通知網(wǎng)絡管理員。下一頁上一頁停止放映第第13 13|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包在快捷工具中可以看到捕獲報文的快捷鍵，如捕獲開始、捕獲暫停、捕獲停止、捕獲停止并查看、捕獲查看、捕

10、獲條件編輯、選擇捕獲條件等。這些快捷鍵對應的菜單命令也可以在“Capture”菜單中找到。如下圖，捕獲前需要單擊“Start”快捷按鈕啟動捕獲引擎。暫停捕獲時，點擊“Pause”。要停止捕獲時，點選“Capture Stop”或者“Capture Stop and Display”快捷按鈕，前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進行解碼和顯示。點擊“Display”快捷按鈕可以顯示記錄。點擊“Define Filter”快捷按鈕可以定義過濾方案，出現(xiàn)，默認情況下將記錄所有的數(shù)據(jù)包，也可以通過定義過濾器的方法選擇記錄。 下一頁上一頁停止放映第第14 14|21|21頁頁實驗內(nèi)容實驗內(nèi)容1

11、：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包單擊“Capture Stop and Display”后，在“Expert”頁是Sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應用層進行分類并做出診斷，其中diagnoses可以提出非常有價值的診斷信息。 下一頁上一頁停止放映第第15 15|21|21頁頁實驗內(nèi)容實驗內(nèi)容1：使用：使用Sniffer監(jiān)聽監(jiān)聽數(shù)據(jù)包數(shù)據(jù)包“在Decode”頁是對每個數(shù)據(jù)包進行解碼，可以看到整個包的結構、從鏈路層到應用層的信息以及相應的十六機制編碼。Sniffer同樣提供解碼后的數(shù)據(jù)包過濾顯示，要對包進行顯示過濾需切換到Decode模式，選擇“Dis

12、play”“Define filter”定義過濾規(guī)則，選擇“Display”“Select filter”應用過濾規(guī)則。 下一頁上一頁停止放映第第16 16|21|21頁頁實驗內(nèi)容實驗內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器 Sniffer在“Tools”菜單中還提供了一系列輔助工具，包括數(shù)據(jù)包生成器、ping、trace route、DNS lookup、finger、who is工具，除了數(shù)據(jù)包生成器外，其他工具在操作系統(tǒng)中也有提供，具體使用方法請同學們自己學習。這些工具中最有特色的是數(shù)據(jù)包生成器 下一頁上一頁停止放映第第17 17|21|21頁頁實驗內(nèi)容實驗內(nèi)容2：使

13、用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器1）選擇“Tools”“Packet Generator”，將出現(xiàn)圖 所示的窗口，點擊最后三個快捷按鈕可以按照不同方式生成數(shù)據(jù)包。下一頁上一頁停止放映第第18 18|21|21頁頁實驗內(nèi)容實驗內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器2）用第一個數(shù)據(jù)包生成器工具“Send 1 Frame”所構成的新數(shù)據(jù)包需要由用戶直接填寫包頭、包內(nèi)容及包長并且由用戶選擇發(fā)送模式和發(fā)送類型下一頁上一頁停止放映第第19 19|21|21頁頁實驗內(nèi)容實驗內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器3）當然也可以對捕獲到的報文進行修改后再發(fā)送。具體作法是選中某個捕獲的報文后，單擊鼠標右鍵，選擇“Send Current Packet”快捷菜單命令，則報文的內(nèi)容將被原封不動地送到“Send current Frame” 編輯窗口中此時就可以對該報