谈用Sniffer监控网络流量Word下载.docx

谈用Sniffer监控网络流量Word下载.docx

《谈用Sniffer监控网络流量Word下载.docx》由会员分享，可在线阅读，更多相关《谈用Sniffer监控网络流量Word下载.docx（14页珍藏版）》请在冰豆网上搜索。

不管从时刻上面依旧准确性上面都存在专门大的误差，同时也阻碍了工作效率和正常业务的运行。

　　SnifferPro闻名网络协议分析软件。

本文利用其强大的流量图文系统HostTable来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的snifferpro，事实上，专门多网吧治理员都有过相关监控网络经验：

在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。

如此的软件有一个专门大优点：

不要配置端口镜像就能够进行流量查询（事实上snifferpro也能够变通的工作在如此的环境下）。

这种看起来专门快捷的方法，仍然存在专门多弊端：

由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出专门多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。

这关于要求正常的网络来讲，是不可思议的。

　　在那个地点，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这关于专门多治理员来讲，将是个梦寐以求的时刻。

　　硬件环境（网吧）：

　　100M网络环境下，92台终端数量，主交换采纳D-LINK（友讯）DES-3226S二层交换机（支持端口镜像功能），级联一般傻瓜型交换机。

光纤10M接入，华为2620做为接入网关。

　　软件环境：

　　操作系统Windows2003Server企业标准版（SnifferPro4.6及以上版本均支持Windows2000Windows-xpWindows2003）、NAI协议分析软件-SnifferPortable4.75（本文选用网络上较容易下载到的版本做为测试）

　　环境要求：

　　1、假如需要监控全网流量，安装有SnifferPortable4.7.5（以下简称SnifferPro）的终端计算机，网卡接入端需要位于主交换镜像端口位置。

（监控所有流经此网卡的数据）

　　2、Snffierpro475仅支持10M、100M、10/100M网卡，关于千M网卡，请安装SP5补丁，或4.8及更高的版本

　　网络拓扑：

　　图

　　监控目的：

通过SnifferPro实时监控，及时发觉网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。

关于专门多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个专门好的解决方案。

SnifferPro强大的有用功能还包括：

网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。

同时，我们将数据包捕获后，通过SnifferPro的专家分析系统关心我们更进一步分析数据包，以助更好的分析、解决网络异常问题。

　　步骤一：

配置交换机端口镜像（MirroringConfigurations）

　　以DES-3226S二层交换机为例，我们来通过WEB方式配置端口镜像（也可用CLI命令行模式配置）。

假如您的设备不支持WEB方式配置，请参考相关用户手册。

　　1.DES-3226S默认登陆IP为：

10.90.90.90因此，需要您配置本机IP为相同网段才可通过扫瞄器访问WEB界面。

　　如图

（1）所示：

　　图1

　　2.使用鼠标点击上方红色字体：

“Login”,假如您是第一次配置，输入默认用户名称、密码:

admin自动登陆治理主界面。

　　3.如图

（2）所示，主界面上方以图形方式模拟交换机界面，其中绿色灯亮起表示此端口正在使用。

下方文字列出交换机的一些差不多信息。

　　图2

　　4.如图（3）：

鼠标点击左下方菜单中的advancedsetup->

MirroringConfigurations（高级配置—镜像配置）

　　图3

　　5.将MirrorStatus选择为Enable（默认为关闭状态，开启），本例中将Port-1端口设置为监听端口:

TargetPort=Port-1，其余端口选择为Both，既：

监听双向数据（Rx接收Tx发送），选择完毕后，点击Apply应用设置。

　　现在所有的端口数据都将复制一份到Port-1。

（如图4）

　　图4

　　接下来，我们就能够在Port-1端口，接入计算机并安装配置SnifferPro。

　　步骤二：

SnifferPro安装、启动、配置

　　SnifferPro安装过程与其它应用软件没有什么太大的区不，在安装过程中需要注意的是：

　　①SnifferPro安装大约占用70M左右的硬盘空间。

　　②安装完毕SnifferPro后，会自动在网卡上加载SnifferPro专门的驱动程序（如图5）。

　　③安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。

　　④关于英文不行的治理员能够下载网上的汉化补丁。

　　图5

　　我们来启动SnifferPro。

第一次启动SnifferPro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。

　　具体位于：

File->

SelectSettings->

New

　　名称自定义、选择所在网卡下拉菜单，点击确定即可。

（如图6）

　　图6

　　如此我们就进入了SnifferPro的主界面。

　　步骤三：

新手上路，查询网关流量

　　下面以图文的方式介绍，如何查询网关（路由、代理：

219.*.238.65）流量，这也是最为常用、重要的查询之一。

　　1．扫描IP-MAC对应关系。

如此做是为了在查询流量时，方便推断具体流量终端的位置，MAC地址不如IP地址方便。

　　选择菜单栏中Tools->

AddressBook点击左边的放大镜（autodiscovery扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：

219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP-MAC对应关系。

扫描完毕后，点击DataBase->

SaveAddressBook系统会自动保存对应关系，以备以后使用。

（如图7）

　　图7

　　2.查看网关流量。

点击Monitor->

HostTable，选择Hosttable界面左下角的MAC-IP-IPX中的MAC。

（什么缘故选择MAC？

在网络中，所有终端的对外数据，例如使用QQ、扫瞄网站、上传、下载等行为，差不多上各终端与网关在数据链路层中进行的）（如图8）

　　图8

　　3.找到网关的IP地址->

选择singlestation->

bar（本例中网关IP为219.*.238.65）

　　图9

　　如图（9）所示：

　　219.*.238.65（网关）流量TOP-10此图为实时流量图。

在此之前假如我们没有做扫描IP（AddressBook）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在专门容易定位终端所在位置。

流量以3D柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。

本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，假如那个时候网络出现问题，能够重点检查此IP是否有大流量相关的操作。

　　假如要查看219.*.238.65（网关）与内部所有流量通信图，我们能够点击左边菜单中，排列第一位的->

MAP按钮

　　如图（10）所示,网关与内网间的所有流量都在那个地点动态的显示。

　　图10

　　需要注意的是：

　　绿色线条状态为：

正在通讯中

　　暗蓝色线条状态为：

通信中断

　　线条的粗细与流量的大小成正比

　　假如将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。

　　其它要紧功能：

　　PIE：

饼图的方式显示TOP10的流量占用百分比。

　　Detail：

将Protocol（协议类型）、FromHost（原主机）、in/outpackets/bytes（接收、发送字节数、包数）等字段信息以二维表格的方式显示。

　　第四步：

基于IP层流量

　　1.为了进一步分析219.*.238.93的异常情况，我们切换至基于IP层的流量统计图中看看。

　　点击菜单栏中的Monitor->

HostTable，选择HostTable界面左下角的MAC-IP-IPX中的IP。

　　2.找到IP：

219.*.238.93地址（能够用鼠标点击IPAddr排序，以方便查找）->

bar（如图11所示）

　　图11

　　3.我们切换至TrafficMap来看看它与所有IP的通信流量图。

（图12）

　　图12

　　我们能够从219.*.238.93的通信图中看到，与它建立IP连接的情况。

图中IP连接数目特不大，这关于一般应用终端来讲，显然不是一种正常的业务连接。

我们推测，该终端可能正在进行有关P2P类的操作，比如正在使用P2P类软件进行BT下载、或者正在观看P2P类在线视频等。

　　为了进一步的证明我们的推测，我们去看看219.*.228.93的流量协议分布情况。

　　4.如图（13）所示：

Protocol类型绝大部分为Othen.我们明白在SnifferPro中Othen表示未能识不出来协议，假如提早定义了协议类型，那个地点将会直接显现出来。

　　图13

　　如图（14）通过菜单栏下的Tools->

Options->

Protocols,在第19栏中定义14405（bitcomet的默认监听端口），取名为bitcom。

　　图14

　　现在我们再次查看219.*.238.93协议分布情况.（如图15）

　　图15

　　现在，协议类型大部分都转换为bitcom，如此我们就能够断定，此终端正在用bitcomet做大量上传、下载行为。

　　注意：

专门多P2P类软件并没有固定的使用端口，且端口也能够自定义，因此使用本方法尽管不失为一种检测P2P流量的好方法，但并不能完全保证其准确性。

　　好了，使用SnifferPro监控网关流量，就到那个地点结束了。

实际上我们能够用同样的方法监控网络内的任何一台终端。

后续，我们将接着连载使用SnifferPro监控网络的其它新手教程，例如：

利用Snifferpro做网络的预警机制、利用Snifferpro分析病毒、通过包分析结合专家系统发觉网络内存在的“未知问题”，以后我们将陆续做更深一步的探讨和分析。

　　概念解释：

　　1.什么是端口镜像?

　　把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。