網(wǎng)絡(luò)嗅探教程

1、網(wǎng)絡(luò)嗅探教程：使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)流量 HYPERLINK 2007-09-27 15:34 banker 51CTO.com 我要評(píng)論（18）摘要：Sniffer Pro著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來實(shí)時(shí) 監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro,事實(shí)上，很多網(wǎng)吧管理 員都有過相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)出現(xiàn)問題、或者探查網(wǎng)絡(luò)情況時(shí)，使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng) 絡(luò)監(jiān)控軟件。這樣的軟件有一個(gè)很大優(yōu)點(diǎn)：不要配置端口鏡像就可以進(jìn)行流量查詢（其實(shí)sniffer pro也 可以變通的工作在這樣的環(huán)境下）

2、。標(biāo)簽：fXZZL10和甲骨文開發(fā)者大會(huì)2010”【51CTO.com獨(dú)家特稿】隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展，網(wǎng)吧已由過去即時(shí)通信、 瀏覽網(wǎng)頁、電子郵件等簡單的應(yīng)用，擴(kuò)展成為運(yùn)行大量在線游戲、在線視頻音頻、互動(dòng)教學(xué)、 P2P等技術(shù)應(yīng)用。應(yīng)用特點(diǎn)也呈現(xiàn)出多樣性和復(fù)雜性，因此，這些應(yīng)用對我們的網(wǎng)絡(luò)服務(wù)質(zhì) 量要求更為嚴(yán)格和苛刻。目前，大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，當(dāng)網(wǎng) 吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時(shí)，很多網(wǎng)絡(luò)管理員顯的心有于 而力不足。畢竟，靠網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)和一些簡單傳統(tǒng)的排查方法：無論從時(shí)間上面還是準(zhǔn) 確性上面都存在很大的誤差，同時(shí)

3、也影響了工作效率和正常業(yè)務(wù)的運(yùn)行。Sniffer Pro著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro,事實(shí) 上，很多網(wǎng)吧管理員都有過相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)出現(xiàn)問題、或者探查網(wǎng)絡(luò)情況時(shí)，使 用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個(gè)很大優(yōu)點(diǎn)：不要配置端口鏡 像就可以進(jìn)行流量查詢（其實(shí)sniffer pro也可以變通的工作在這樣的環(huán)境下）。這種看起 來很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，對地址表進(jìn)行欺騙， 因此可能會(huì)衍生出很多節(jié)外生枝的問

4、題，如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對于要求 正常的網(wǎng)絡(luò)來說，是不可思議的。在這里，我們將通過軟件解決方案來完成以往只有通過更換高級(jí)設(shè)備才能解決的網(wǎng)絡(luò)解 決方案，這對于很多管理員來說，將是個(gè)夢寐以求的時(shí)刻。硬件環(huán)境（網(wǎng)吧）：100M網(wǎng)絡(luò)環(huán)境下，92臺(tái)終端數(shù)量，主交換采用D-LINK （友訊）DES-3226S二層交換機(jī)（支持 端口鏡像功能），級(jí)聯(lián)普通傻瓜型交換機(jī)。光纖10M接入，華為2620做為接入網(wǎng)關(guān)。軟件環(huán)境：操作系統(tǒng)Windows2003 Server企業(yè)標(biāo)準(zhǔn)版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NA

5、I 協(xié)議分析軟件-Sniffer Portable 4.75（本文選用網(wǎng)絡(luò)上 較容易下載到的版本做為測試）環(huán)境要求:1、如果需要監(jiān)控全網(wǎng)流量，安裝有Sniffer Portable 4.7.5（以下間稱Sniffer Pro）的終 端計(jì)算機(jī)，網(wǎng)卡接入端需要位于主交換鏡像端口位置。（監(jiān)控所有流經(jīng)此網(wǎng)卡的數(shù)據(jù)）2、Snffier pro 475僅支持10M、100M、10/100M網(wǎng)卡，對于千M網(wǎng)卡，請安裝SP5補(bǔ)丁， 或4.8及更高的版本網(wǎng)絡(luò)拓?fù)洌篎 ;-+-1 + ;T;-l-;-I- +;T;TI-+I +-鏡像端口Portl安Windows 2003 Serfvi -44&Z400M|-f

6、fl-4-4-|-4-t- 子茹isi嗑d觸:獺二技壬接入Port 1端口F ;-+-1 + ;T;-l-;-I- +;T;TI-+I +-鏡像端口Portl安Windows 2003 Serfvi -44&Z400M|-ffl-4-4-|-4-t- 子茹isi嗑d觸:獺二技壬接入Port 1端口219. *. 23a. 65JDES-3226S/二層主交換監(jiān)控目的：通過Sniffer Pro實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的故障（例如病毒、攻擊、流 量超限等非正常行為）。對于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中，網(wǎng)關(guān)（路由、代理等）自身不具 備流量監(jiān)控、查詢功能，本文將是一個(gè)很好的解決方案。Sniffer

7、Pro強(qiáng)大的實(shí)用功能還包 括：網(wǎng)內(nèi)任意終端流量實(shí)時(shí)查詢、網(wǎng)內(nèi)終端與終端之間流量實(shí)時(shí)查詢、終端流量TOP排行、 異常告警等。同時(shí)，我們將數(shù)據(jù)包捕獲后，通過Sniffer Pro的專家分析系統(tǒng)幫助我們更進(jìn) 一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問題。步驟一：配置交換機(jī)端口鏡像（Mirroring Configurations）以DES-3226S二層交換機(jī)為例，我們來通過WEB方式配置端口鏡像（也可用CLI命令行模式 配置）。如果您的設(shè)備不支持WEB方式配置，請參考相關(guān)用戶手冊。1.DES-3226S默認(rèn)登陸IP為：0因此，需要您配置本機(jī)IP為相同網(wǎng)段才可通過 瀏覽器訪問WEB界面。如圖（1

8、）所示:圖12.使用鼠標(biāo)點(diǎn)擊上方紅色字體：“Login”，如果您是第一次配置，輸入默認(rèn)用戶名稱、 密碼:admin自動(dòng)登陸管理主界面。如圖（2）所示，主界面上方以圖形方式模擬交換機(jī)界面，其中綠色燈亮起表示此端口正 在使用。下方文字列出交換機(jī)的一些基本信息。秀=L皿r ixi EfetaH-bal:.afll HI7 如 Ul# MQU!6也 一 工?：；/ 二爭 -.小D-Linkif皿.afll HI7 如 Ul# MQU!6也 一 工?：；/ 二爭 -.小D-Linkif皿3拒SI left fcwftfwiiiUW* gWTSi口 gwdxh IrJcrraluriB h5： JE*EJ

9、 攻 lM ihttiXr 日 ftrt Cvnfiite*iTE 偵，mivwEJE Lllk3Rhh1 SyxtanSwitch Informationr:： i ： - - i -MxMr Tjte:MAC Addons牌MunMaiudiiPAdissi1G 90 SO 50VUUl NarrriiU心H鈿Ma-kK00DWWE考11神嶇000.0PMFflQMVtrtKn瞄 209000*trnwara VtircmEE 402 84.2明Drepn infcnrrfliMi ifiwlthi swilfht hiixtwin and krnwin5iCT0.cmn技術(shù)成就夢想如圖（

10、3）：鼠標(biāo)點(diǎn)擊左下方菜單中的 advanced setup-Mirroring Configurations（高級(jí)配置一鏡像配置）將Mirror Status選擇為Enable （默認(rèn)為關(guān)閉狀態(tài)，開啟），本例中將Port-1端口 設(shè)置為監(jiān)聽端口： Target Port=Port-1，其余端口選擇為Both，既：監(jiān)聽雙向數(shù)據(jù)（Rx接收Tx發(fā)送），選擇完畢后，點(diǎn)擊Apply應(yīng)用設(shè)置。此時(shí)所有的端口數(shù)據(jù)都將復(fù)制一份到Port-1。（如圖4）接下來，我們就可以在Port-1端口，接入計(jì)算機(jī)并安裝配置Sniffer Pro。步驟二：Sniffer Pro安裝、啟動(dòng)、配置Sniffer Pro安裝過程與

11、其它應(yīng)用軟件沒有什么太大的區(qū)別，在安裝過程中需要注意的是:Sniffer Pro安裝大約占用70M左右的硬盤空間。安裝完畢Sniffer Pro后，會(huì)自動(dòng)在網(wǎng)卡上加載Sniffer Pro特殊的驅(qū)動(dòng)程序（如圖5）。安裝的最后將提示填入相關(guān)信息及序列號(hào)，正確填寫完畢，安裝程序需要重新啟動(dòng)計(jì)算機(jī)。對于英文不好的管理員可以下載網(wǎng)上的漢化補(bǔ)丁。圖5我們來啟動(dòng)Sniffer Pro。第一次啟動(dòng)Sniffer Pro時(shí)，需要選擇程序從那一個(gè)網(wǎng)絡(luò)適 配器接收數(shù)據(jù)，我們指定位于端口鏡像所在位置的網(wǎng)卡。具體位于：File-Select Settings-New名稱自定義、選擇所在網(wǎng)卡下拉菜單，點(diǎn)擊確定即可。（如

12、圖6）這樣我們就進(jìn)入了 Sniffer Pro的主界面。步驟三：新手上路，查詢網(wǎng)關(guān)流量下面以圖文的方式介紹，如何查詢網(wǎng)關(guān)（路由、代理：219.*.238.65）流量，這也是最為常 用、重要的查詢之一。1.掃描IP-MAC對應(yīng)關(guān)系。這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置， MAC地址不如IP地址方便。選擇菜單欄中Tools-Address Book點(diǎn)擊左邊的放大鏡（autodiscovery掃描）在彈出的 窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.159點(diǎn)擊OK，系 統(tǒng)會(huì)自動(dòng)掃描IP-MAC對應(yīng)關(guān)系。掃描完畢后，點(diǎn)擊DataBase-

13、Save Address Book系統(tǒng)會(huì) 自動(dòng)保存對應(yīng)關(guān)系，以備以后使用。（如圖7）上|_|.|、囹爪|圖 7列日上|_|.|、囹爪|圖 7列日1?況一到目查看網(wǎng)關(guān)流量。點(diǎn)擊Monitor-Host Table,選擇Host table界面左下角的MAC-IP-IPX 中的MAC0（為什么選擇MAC?在網(wǎng)絡(luò)中，所有終端的對外數(shù)據(jù)，例如使用QQ、瀏覽網(wǎng)站、 上傳、下載等行為，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的）（如圖8）卜 | |%|#寸 m| 伺松i匚: *Sn-E2314E-IS 144. 切*aiQimEOMWT 09 溷購 蹈伯INIs 卜 | |%|#寸 m| 伺松i匚: *Sn-E

14、2314E-IS 144. 切*aiQimEOMWT 09 溷購 蹈伯INIs 時(shí)匚。dcra：TBEfw，心畢-幽明 河ID Ell san? 幽114 E19 E3119 EM的 T317I 初再 EH 129 EMW 幽1蕓Ujjusi tain.K7?60!375?13K0值*wi.wagD：*.w?214a0雨E5翊r?qL初近0MiaU.ffi0W.5ZZ涌1Q判a中i.i.硒1?.SQ3TJEI5W0W.W53W.W1D；147.1711095371imdA.TO網(wǎng)Qisjm2.0.0野閔agQ3.%”漩aWijtfid3.歡見02S.a心徑mM36.E7；Dw用婭戛lltKJ.

15、1B事1.1* K曲212nW1拍丑選擇single station-bar （本例中網(wǎng)關(guān)IP為219.*.238.65）如圖（9）所示：219.*.238.65 （網(wǎng)關(guān)）流量TOP-10此圖為實(shí)時(shí)流量圖。在此之前如果我們沒有做掃描IP（Address Book）的工作，右邊將會(huì)以網(wǎng)卡物理地址-MAC地址的方式顯示，現(xiàn)在轉(zhuǎn)換為IP 地址形式（或計(jì)算機(jī)名），現(xiàn)在很容易定位終端所在位置。流量以3D柱形圖的方式動(dòng)態(tài)顯 示，其中最左邊綠色柱形圖與網(wǎng)關(guān)流量最大，其它依次減小。本圖中219.*.238.93與網(wǎng)關(guān) 流量最大，且與其它終端流量差距懸殊，如果這個(gè)時(shí)候網(wǎng)絡(luò)出現(xiàn)問題，可以重點(diǎn)檢查此IP 是否有大流

16、量相關(guān)的操作。如果要查看219.*.238.65（網(wǎng)關(guān)）與內(nèi)部所有流量通信圖，我們可以點(diǎn)擊左邊菜單中， 排列第一位的-MAP按鈕如圖（10）所示,網(wǎng)關(guān)與內(nèi)網(wǎng)間的所有流量都在這里動(dòng)態(tài)的顯示。i fit-i Ifulw Cv-Lvw 11匚. bv1-4ui Iifrh* fd? i f | M |r-lLUihlP 炸加 5i fit-i Ifulw Cv-Lvw 11匚. bv1-4ui Iifrh* fd? i f | M |r-lLUihlP 炸加 5m F a FA 41, Zl g 1湖圖10需要注意的是：綠色線條狀態(tài)為：正在通訊中暗藍(lán)色線條狀態(tài)為：通信中斷線條的粗細(xì)與流量的大小成正比

17、如果將鼠標(biāo)移動(dòng)至線條處，程序顯示出流量雙方位置、通訊流量的大?。òń邮?、發(fā)送）、并自動(dòng)計(jì)算流量占當(dāng)前網(wǎng)絡(luò)的百分比。其它主要功能：PIE:餅圖的方式顯示TOP 10的流量占用百分比。Detail：將 Protocol（協(xié)議類型）、From Host （原主機(jī)）、in/out packets/bytes （接收、 發(fā)送字節(jié)數(shù)、包數(shù)）等字段信息以二維表格的方式顯示。第四步：基于IP層流量為了進(jìn)一步分析219.*.238.93的異常情況，我們切換至基于IP層的流量統(tǒng)計(jì)圖中看看。點(diǎn)擊菜單欄中的Monitor-Host Table，選擇Host Table界面左下角的MAC-IP-IPX中的IP。找到I

18、P： 219.*.238.93地址（可以用鼠標(biāo)點(diǎn)擊IP Addr排序，以方便查找）-選擇single station-bar (如圖 11 所示)IP心IDIXIg, 41 .IS 30 gaiwiwMi 囪 S, 213.149471 gmioui i；7IP心IDIXIg, 41 .IS 30 gaiwiwMi 囪 S, 213.149471 gmioui i；7E.JiSiSi 353 3117H2191S16fi2E 耳21勤型矢 0219.1*516? 17* S214mi77iS213235-ffi12?- S2132S3JT 32132

19、374? 14a皿笠盤WJ3TT5S3&伯 燈107s00苞b? W細(xì)徑isTu 2W7M 22 C7:*S 27.727 渺小*町:電的炒q11I.K10a665W1Z.3I90a2Ki7O4-22-07：i5S12130002(1701.22Cf7 *7 31 61?&44U1S.915116.1510(j莉 W 嶺 3016E5抑a;期苒3用 泗TtW.戲拆48WU毛d0瞄的IDa就 W4S30 4次13130口2WM422 加蛇;KW14363224J.7W0o2D0?4-2?C?：t3 295931J556&XI .技0a知郎尊隊(duì)侃:岫3022KJ靈1t15H1U.U20a2W?M2

20、?07:岫閱J-!3.811苒神0Q200701-2207 *7: KJ 5133365.2WSX7170,2W?O4迓財(cái)峪3w 5U10政0以。丁嶺1口1攤615.3Kqa泗凹1以財(cái)略有暗JtW也由*始耍皿1寰顯饑?.reaaa3007MSfl?:47 55 &9511522 tt24 555aa2W7ri fQj; k? ?-*! Jo-,uif；2OW-O4zSC?:&3EL?ra2?*1931921.3240o3W?-220? iS:29.S97典煩1朋推0a的:30 倒3.17?，或澎528&5用做02W?Options-Protocols，在第19欄中定義14405 （bitcom

21、et的默認(rèn)監(jiān)聽端口），取名為bitcom。圖14現(xiàn)在我們再次查看219.*.238.93協(xié)議分布情況.（如圖15）E時(shí)熾rI.FHE時(shí)熾rI.FH旦虹哈：隹1 OHM川吵hK冊ZZ2S1D1J77EDW雋一219 214 13013DlOSTGDOC%瀏例沖輜 Zll 1JQZ1Z91.SB1.15W1OWEd 1H5E25 Mlm血芝DM)%頑g痕溜H?.W0niNubire7ZS221 IXIEGU湖3?k.imD CM 4UsKaiwn#1PW0加器12J!115 2ffiW1HIfainnB432 771DOI za 納 llBffiU峪 151也g 2.106QU1 DW%1快1IT

22、O JU口心1；5*抑新枷雄瓣C4nE3 J31F3 fib 207 112 43 U3tU.M 323QCOtQWiia5網(wǎng)out歸泗IRERFKHEMM2I3137Z3IU公53 17OCT :Esam】心村SgZI31就網(wǎng)*1193切0%321372E4沖睥小1dm型l河跑13骨2ldE1l-E7+7512BDOI ?a】&M暗$心日 USZn BEKi75 .EHnon *iMsiE222EG133JCQ13皿*I：.114T1SW5hK伽Z19 3E27JDTOoon *222昭嶷陽122Sff2DOO%W15整甌知ocnlZll EWW11IE。頃MDrtwi.59 2111%口跆r.l 1H1 的IT1.QCOIeIK S3 -Xg yiK3Frgml