用SNIFFER進(jìn)行網(wǎng)絡(luò)性能監(jiān)測(cè)-實(shí)驗(yàn)指導(dǎo)

1、用SNIFFER進(jìn)行網(wǎng)絡(luò)性能監(jiān)測(cè)實(shí)驗(yàn)指導(dǎo) 計(jì)算機(jī)網(wǎng)絡(luò)西安交通大學(xué)西安交通大學(xué)計(jì)算機(jī)教學(xué)實(shí)驗(yàn)中心計(jì)算機(jī)教學(xué)實(shí)驗(yàn)中心下一頁(yè)上一頁(yè)停止放映第第1 1|21|21頁(yè)頁(yè)實(shí)驗(yàn)?zāi)康?了解Sniffer的工作原理了解常用網(wǎng)絡(luò)數(shù)據(jù)包的幀格式掌握Sniffer偵測(cè)、記錄和分析數(shù)據(jù)包的方法下一頁(yè)上一頁(yè)停止放映第第2 2|21|21頁(yè)頁(yè)實(shí)驗(yàn)環(huán)境 安裝Windows 98/2000/XP操作系統(tǒng)并能夠上網(wǎng)的微型計(jì)算機(jī)1臺(tái)Sniffer安裝軟件下一頁(yè)上一頁(yè)停止放映第第3 3|21|21頁(yè)頁(yè)實(shí)驗(yàn)原理 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的被稱為“幀”或“包”的協(xié)議數(shù)據(jù)單元（PDU）方式傳輸?shù)摹Ｒ詳?shù)據(jù)鏈路層的“幀”為例，不同的“幀”由多個(gè)對(duì)

2、應(yīng)不同信息功能的部分組成。幀的類型與格式根據(jù)通信雙方數(shù)據(jù)鏈路層所使用的協(xié)議確定，由網(wǎng)絡(luò)驅(qū)動(dòng)程序按照一定規(guī)則生成，通過(guò)網(wǎng)絡(luò)接口卡發(fā)送到網(wǎng)絡(luò)中，通過(guò)網(wǎng)絡(luò)傳送的目的主機(jī)。在正常情況下，網(wǎng)絡(luò)接口卡讀入一幀并進(jìn)行檢查，如果幀中所攜帶的目的MAC地址和自己的物理地址一致或者是廣播地址時(shí)，網(wǎng)絡(luò)接口卡通過(guò)產(chǎn)生一個(gè)硬件中斷引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)處理，否則就將該幀丟棄。但如果某個(gè)接口卡被設(shè)置為“混雜”狀態(tài)，則該接口卡將接收所有在網(wǎng)絡(luò)中傳輸?shù)膸?，這就形成了監(jiān)聽(tīng)。下一頁(yè)上一頁(yè)停止放映第第4 4|21|21頁(yè)頁(yè)實(shí)驗(yàn)任務(wù) 學(xué)會(huì)使用Sniffer捕獲數(shù)據(jù)包，根據(jù)所設(shè)計(jì)的具體應(yīng)用，對(duì)所捕獲的數(shù)據(jù)包

3、進(jìn)行協(xié)議分析。利用Sniffer的“數(shù)據(jù)包生成器”向網(wǎng)絡(luò)中發(fā)送一個(gè)數(shù)據(jù)包下一頁(yè)上一頁(yè)停止放映第第5 5|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包 1）安裝Sniffer-用戶運(yùn)行安裝程序，并在安裝程序的引導(dǎo)下完成Sniffer的安裝。2）配置Sniffer在進(jìn)行流量捕獲之前，首先在“FILE”“Select Settings”選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)，如下圖 。該軟件安裝在Windows 98操作系統(tǒng)時(shí)，可以選擇撥號(hào)適配器對(duì)電話撥號(hào)進(jìn)行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬的PPPOE網(wǎng)卡。下一頁(yè)

4、上一頁(yè)停止放映第第6 6|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包3）定義捕獲規(guī)則通過(guò)“Capture”“Define Filter”和“Display”“Define Filter”可以設(shè)置過(guò)濾器的過(guò)濾規(guī)則，過(guò)濾器根據(jù)所選擇的物理地址、IP地址和協(xié)議可以組合篩選內(nèi)容。在Address頁(yè)中（圖 ）可以設(shè)置MAC地址、IP地址和IPX地址。以IP地址過(guò)濾為例，說(shuō)明捕獲地址為6的主機(jī)與其他主機(jī)通信的信息。在Mode選項(xiàng)卡中，選Include(選Exclude表示捕獲除此地址外所有的數(shù)據(jù)包)；在Station1的任意一欄中填入202.11

5、7.50.16，對(duì)應(yīng)的Station2欄填上any（any表示所有的IP地址），單擊該行Dir.列的圖標(biāo)，選擇捕獲數(shù)據(jù)包的方向，就完成地址的定義，選擇“Profiles”按鈕將定義的規(guī)則保存下來(lái)。下一頁(yè)上一頁(yè)停止放映第第7 7|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包在Data Pattern中可以編輯任意的捕獲條件，實(shí)現(xiàn)更復(fù)雜的報(bào)文過(guò)濾。下一頁(yè)上一頁(yè)停止放映第第8 8|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包在Advance頁(yè)中可以編輯協(xié)議的捕獲條件。在協(xié)議選擇樹(shù)中羅列了所有可以捕獲的協(xié)議，缺省時(shí)表示捕獲所有協(xié)議。在

6、Packet Size中，可以定義捕獲包的大小，設(shè)置等于、小于、大于某個(gè)報(bào)文長(zhǎng)度的值。在Packet Type中，可以選擇當(dāng)網(wǎng)絡(luò)出現(xiàn)錯(cuò)誤時(shí)是否捕獲?！癙rofiles”按鈕可以保存所設(shè)置的過(guò)濾規(guī)則。下一頁(yè)上一頁(yè)停止放映第第9 9|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包在Buffer頁(yè)中定義捕獲數(shù)據(jù)包的緩沖區(qū)。在Buffer size選項(xiàng)卡，可設(shè)置緩沖區(qū)的大小，最大值為40M。在Capture buffer選項(xiàng)卡，可設(shè)置緩沖區(qū)文件存放的位置。下一頁(yè)上一頁(yè)停止放映第第10 10|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包最

7、后選擇“Capture”“Select Filter”，點(diǎn)選Capture中定義好的過(guò)濾規(guī)則，單擊“確定”后，該規(guī)則將應(yīng)用于以后的捕獲中。下一頁(yè)上一頁(yè)停止放映第第11 11|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包4）啟動(dòng)相應(yīng)的服務(wù)根據(jù)過(guò)濾器中設(shè)置的過(guò)濾規(guī)則，在網(wǎng)絡(luò)中啟動(dòng)相應(yīng)服務(wù)，有關(guān)服務(wù)可以參閱第3章利用IIS搭建網(wǎng)絡(luò)服務(wù)，也可以通過(guò)Internet使用其它網(wǎng)站上提供的服務(wù)。下一頁(yè)上一頁(yè)停止放映第第12 12|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包5）報(bào)文捕獲解析 在“Monitor”菜單中羅列了可以實(shí)時(shí)監(jiān)控主機(jī)、

8、協(xié)議、應(yīng)用程序、不同包類型等分布情況的監(jiān)測(cè)工具。打開(kāi)這些工具（），其中Dashboard可以實(shí)時(shí)統(tǒng)計(jì)每秒鐘接收到的包的數(shù)量、出錯(cuò)包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等信息并以“表板”和“圖表”的形式顯示出來(lái)；Host Table可以查看通信量最大的前10位主機(jī)；Matrix通過(guò)連線，可以形象地顯示主機(jī)之間的連接記錄；Application Response Time通過(guò)不同主機(jī)間通信的最小、最大、平均響應(yīng)時(shí)間方面的信息揭示回應(yīng)時(shí)間，對(duì)解決Web Server，F(xiàn)TP Server和Database Server反應(yīng)過(guò)慢十分有用；History Samples可以看

9、到歷史數(shù)據(jù)抽樣出來(lái)的統(tǒng)計(jì)值；Protocol distribution可以實(shí)時(shí)觀察到數(shù)據(jù)流中不同協(xié)議的分布情況及用途；Switch可以獲取Cisco交換機(jī)的狀態(tài)信息；Global Statics用來(lái)顯示網(wǎng)絡(luò)上各種Protocol Size的分布及網(wǎng)絡(luò)的整體用量和表現(xiàn)；Alarm Log在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)可以通過(guò)E-mail、SNMP、Alert Beep以及傳呼等方式及時(shí)通知網(wǎng)絡(luò)管理員。下一頁(yè)上一頁(yè)停止放映第第13 13|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包在快捷工具中可以看到捕獲報(bào)文的快捷鍵，如捕獲開(kāi)始、捕獲暫停、捕獲停止、捕獲停止并查看、捕獲查看、捕

10、獲條件編輯、選擇捕獲條件等。這些快捷鍵對(duì)應(yīng)的菜單命令也可以在“Capture”菜單中找到。如下圖，捕獲前需要單擊“Start”快捷按鈕啟動(dòng)捕獲引擎。暫停捕獲時(shí)，點(diǎn)擊“Pause”。要停止捕獲時(shí)，點(diǎn)選“Capture Stop”或者“Capture Stop and Display”快捷按鈕，前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。點(diǎn)擊“Display”快捷按鈕可以顯示記錄。點(diǎn)擊“Define Filter”快捷按鈕可以定義過(guò)濾方案，出現(xiàn)，默認(rèn)情況下將記錄所有的數(shù)據(jù)包，也可以通過(guò)定義過(guò)濾器的方法選擇記錄。 下一頁(yè)上一頁(yè)停止放映第第14 14|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1

11、：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包單擊“Capture Stop and Display”后，在“Expert”頁(yè)是Sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類并做出診斷，其中diagnoses可以提出非常有價(jià)值的診斷信息。 下一頁(yè)上一頁(yè)停止放映第第15 15|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容1：使用：使用Sniffer監(jiān)聽(tīng)監(jiān)聽(tīng)數(shù)據(jù)包數(shù)據(jù)包“在Decode”頁(yè)是對(duì)每個(gè)數(shù)據(jù)包進(jìn)行解碼，可以看到整個(gè)包的結(jié)構(gòu)、從鏈路層到應(yīng)用層的信息以及相應(yīng)的十六機(jī)制編碼。Sniffer同樣提供解碼后的數(shù)據(jù)包過(guò)濾顯示，要對(duì)包進(jìn)行顯示過(guò)濾需切換到Decode模式，選擇“Dis

12、play”“Define filter”定義過(guò)濾規(guī)則，選擇“Display”“Select filter”應(yīng)用過(guò)濾規(guī)則。 下一頁(yè)上一頁(yè)停止放映第第16 16|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器 Sniffer在“Tools”菜單中還提供了一系列輔助工具，包括數(shù)據(jù)包生成器、ping、trace route、DNS lookup、finger、who is工具，除了數(shù)據(jù)包生成器外，其他工具在操作系統(tǒng)中也有提供，具體使用方法請(qǐng)同學(xué)們自己學(xué)習(xí)。這些工具中最有特色的是數(shù)據(jù)包生成器 下一頁(yè)上一頁(yè)停止放映第第17 17|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容2：使

13、用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器1）選擇“Tools”“Packet Generator”，將出現(xiàn)圖 所示的窗口，點(diǎn)擊最后三個(gè)快捷按鈕可以按照不同方式生成數(shù)據(jù)包。下一頁(yè)上一頁(yè)停止放映第第18 18|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器2）用第一個(gè)數(shù)據(jù)包生成器工具“Send 1 Frame”所構(gòu)成的新數(shù)據(jù)包需要由用戶直接填寫包頭、包內(nèi)容及包長(zhǎng)并且由用戶選擇發(fā)送模式和發(fā)送類型下一頁(yè)上一頁(yè)停止放映第第19 19|21|21頁(yè)頁(yè)實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容2：使用：使用Sniffer的數(shù)的數(shù)據(jù)包生成器據(jù)包生成器3）當(dāng)然也可以對(duì)捕獲到的報(bào)文進(jìn)行修改后再發(fā)送。具體作法是選中某個(gè)捕獲的報(bào)文后，單擊鼠標(biāo)右鍵，選擇“Send Current Packet”快捷菜單命令，則報(bào)文的內(nèi)容將被原封不動(dòng)地送到“Send current Frame” 編輯窗口中此時(shí)就可以對(duì)該報(bào)