




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、嗅探器 百科名片嗅探器保護網(wǎng)絡(luò)嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行的軟件設(shè)備,協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息。網(wǎng)絡(luò)運作和維護都可以采用協(xié)議分析器:如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則、鑒定分析網(wǎng)絡(luò)數(shù)據(jù)以及診斷并修復(fù)網(wǎng)絡(luò)問題等等。非法嗅探器嚴重威脅網(wǎng)絡(luò)安全性,這是因為它實質(zhì)上不能進行探測行為且容易隨處插入,所以網(wǎng)絡(luò)黑客常將它作為攻擊武器。目錄簡介 網(wǎng)絡(luò)技術(shù)與設(shè)備簡介 網(wǎng)絡(luò)監(jiān)聽原理 Snifffer的分類 網(wǎng)絡(luò)監(jiān)聽的目的編輯本段簡介嗅探器最初由 Network General 推出,由 Network Associates 所有。最近,Network As
2、sociates 決定另開辟一個嗅探器產(chǎn)品單元,該單元組成一家私有企業(yè)并重新命名為 Network General,如今嗅探器已成為 Network General 公司的一種特征產(chǎn)品商標,由于專業(yè)人士的普遍使用,嗅探器廣泛應(yīng)用于所有能夠捕獲和分析網(wǎng)絡(luò)流量的產(chǎn)品。 編輯本段網(wǎng)絡(luò)技術(shù)與設(shè)備簡介在講述Sniffer的概念之前,首先需要講述局域網(wǎng)設(shè)備的一些基本概念。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)模瑤蓭撞糠纸M成,不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進行成型,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上,通過網(wǎng)線到達它們的目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機
3、器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀已到達,然后對其進行存儲。就是在這個傳輸和接收的過程中,存在安全方面的問題。 1 / 17每一個在局域網(wǎng)(LAN)上的工作站都有其硬件地址,這些地址惟一地表示了網(wǎng)絡(luò)上的機器(這一點與Internet地址系統(tǒng)比較相似)。當用戶發(fā)送一個數(shù)據(jù)包時,這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機器。 在一般情況下,網(wǎng)絡(luò)上所有的機器都可以“聽”到通過的流量,但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說,工作站A不會捕獲屬于工作站B的數(shù)據(jù),而是簡單地忽略這些數(shù)據(jù))。如果某個工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會在后面解釋),那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和
4、幀。 編輯本段網(wǎng)絡(luò)監(jiān)聽原理Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,一般為以太網(wǎng)卡)置為雜亂(promiscuous)模式狀態(tài)的工具,一旦網(wǎng)卡設(shè)置為這種模式,它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。 普通的情況下,網(wǎng)卡只接收和自己的地址有關(guān)的信息包,即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息,系統(tǒng)需要支持 BPF,Linux下需要支持SOCKET-PACKET。但一般情況下,網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)包,所以,為了繞過標準的TCPIP堆棧,網(wǎng)卡就必須設(shè)置為混雜模式。一般情況下,要激活這種方式,內(nèi)核必須支持這種偽
5、設(shè)備BPFilter,而且需要root權(quán)限來運行這種程序,所以Sniffer需要root身份安裝,如果只是以本地用戶的身份進入了系統(tǒng),那么不可能嗅探到root的密碼,因為不能運行Sniffer。 基于Sniffer這樣的模式,可以分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機器,由于它接收任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包,所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰(zhàn)果的方法,用來奪取其他主機的控制權(quán)。 編輯本段Snifffer的分類Sniffer分為軟件和硬件兩種,軟件的Sniffer有NetXray、Packetboy、Net Monitor、
6、Sniffer Pro、WireShark、WinNetCap等,其優(yōu)點是物美價廉,易于學(xué)習(xí)使用,同時也易于交流;缺點是無法抓取網(wǎng)絡(luò)上所有的傳輸,某些情況下也就無法真正了解網(wǎng)絡(luò)的故障和運行情況。硬件的Sniffer通常稱為協(xié)議分析儀,一般都是商業(yè)性的,價格也比較貴。 實際上本章所講的Sniffer指的是軟件。它把包抓取下來,然后打開并查看其中的內(nèi)容,可以得到密碼等。Sniffer只能抓取一個物理網(wǎng)段內(nèi)的包,就是說,你和監(jiān)聽的目標中間不能有路由或其他屏蔽廣播包的設(shè)備,這一點很重要。所以,對一般撥號上網(wǎng)的用戶來說,是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。 編輯本段網(wǎng)絡(luò)監(jiān)聽的目的當一個
7、黑客成功地攻陷了一臺主機,并拿到了root權(quán)限,而且還想利用這臺主機去攻擊同一網(wǎng)段上的其他主機時,他就會在這臺主機上安裝Sniffer軟件,對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進行偵聽,從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包,就把它存到一個LOG文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包,這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺主機的密碼,他就會立刻進入這臺主機。 如果Sniffer運行在路由器上或有路由功能的主機上,就能對大量的數(shù)據(jù)進行監(jiān)控,因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。 Sniffer屬于第M層次的攻擊。就是說,只有在攻擊
8、者已經(jīng)進入了目標系統(tǒng)的情況下,才能使用Sniffer這種攻擊手段,以便得到更多的信息。 Sniffer除了能得到口令或用戶名外,還能得到更多的其他信息,比如一個重要的信息、在網(wǎng)上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網(wǎng)上傳送的數(shù)據(jù)包。 Sniffer是一種比較復(fù)雜的攻擊手段,一般只有黑客老手才有能力使用它,而對于一個網(wǎng)絡(luò)新手來說,即使在一臺主機上成功地編譯并運行了 Sniffer,一般也不會得到什么有用的信息,因為通常網(wǎng)絡(luò)上的信息流量是相當大的,如果不加選擇地接收所有的包,然后從中找到所需要的信息非常困難;而且,如果長時間進行監(jiān)聽,還有可能把放置Sniffer的機器的硬盤撐爆下
9、文將詳細介紹Sniffer的原理和應(yīng)用。 Sniffer 原理 網(wǎng)絡(luò)技術(shù)與設(shè)備簡介在講述Sniffer的概念之前,首先需要講述局域網(wǎng)設(shè)備的一些基本概念。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?,幀由幾部分組成,不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進行成型,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上,通過網(wǎng)線到達它們的目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀已到達,然后對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會帶來安全方面的問題。 每一個在局域網(wǎng)(LAN)上的工作站都有其硬件地址,這些地址惟一地表示了網(wǎng)絡(luò)上的機器
10、(這一點與Internet地址系統(tǒng)比較相似)。當用戶發(fā)送一個數(shù)據(jù)包時,這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機器。 如果使用Hub/即基于共享網(wǎng)絡(luò)的情況下,網(wǎng)絡(luò)上所有的機器都可以“聽”到通過的流量,但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說,工作站A不會捕獲屬于工作站B的數(shù)據(jù),而是簡單地忽略這些數(shù)據(jù))。如果某個工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會在后面解釋),那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。 但是現(xiàn)代網(wǎng)絡(luò)常常采用交換機作為網(wǎng)絡(luò)連接設(shè)備樞紐,在通常情況下,交換機不會讓網(wǎng)絡(luò)中每一臺主機偵聽到其他主機的通訊,因此Sniffer技術(shù)在這時必須結(jié)合網(wǎng)絡(luò)端口鏡像技術(shù)進行配合。而衍生的
11、安全技術(shù)則通過ARP欺騙來變相達到交換網(wǎng)絡(luò)中的偵聽。 網(wǎng)絡(luò)監(jiān)聽原理Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,一般為以太網(wǎng)卡)置為雜亂(promiscuous)模式狀態(tài)的工具,一旦網(wǎng)卡設(shè)置為這種模式,它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。 普通的情況下,網(wǎng)卡只接收和自己的地址有關(guān)的信息包,即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息,系統(tǒng)需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情況下,網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)包,所以,為了繞過標準的TCPIP堆棧,網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜
12、模式。一般情況下,要激活這種方式,內(nèi)核必須支持這種偽設(shè)備Bpfilter,而且需要root權(quán)限來運行這種程序,所以sniffer需要root身份安裝,如果只是以本地用戶的身份進入了系統(tǒng),那么不可能嗅探到root的密碼,因此不能運行Sniffer。 也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN, FR)甚至光網(wǎng)絡(luò)(POS、Fiber Channel)的監(jiān)聽技術(shù),這時候略微不同于以太網(wǎng)絡(luò)上的捕獲概念,其中通常會引入TAP (測試介入點)這類的硬件設(shè)備來進行數(shù)據(jù)采集。 編輯本段分類Sniffer分為軟件和硬件兩種,軟件的Sniffer有 Sniffer Pro、Network Monitor、PacketBo
13、ne等,其優(yōu)點是易于安裝部署,易于學(xué)習(xí)使用,同時也易于交流;缺點是無法抓取網(wǎng)絡(luò)上所有的傳輸,某些情況下也就無法真正了解網(wǎng)絡(luò)的故障和運行情況。硬件的Sniffer通常稱為協(xié)議分析儀,一般都是商業(yè)性的,價格也比較昂貴,但會具備支持各類擴展的鏈路捕獲能力以及高性能的數(shù)據(jù)實時捕獲分析的功能。 基于以太網(wǎng)絡(luò)嗅探的Sniffer只能抓取一個物理網(wǎng)段內(nèi)的包,就是說,你和監(jiān)聽的目標中間不能有路由或其他屏蔽廣播包的設(shè)備,這一點很重要。所以,對一般撥號上網(wǎng)的用戶來說,是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。 編輯本段網(wǎng)絡(luò)監(jiān)聽的目的當一個黑客成功地攻陷了一臺主機,并拿到了root權(quán)限,而且還想利用這臺
14、主機去攻擊同一(物理)網(wǎng)段上的其他主機時,他就會在這臺主機上安裝Sniffer軟件,對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進行偵聽,從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包,就把它存到一個LOg文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包,這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺主機的密碼,他就會立刻進入這臺主機。 如果Sniffer運行在路由器上或有路由功能的主機上,就能對大量的數(shù)據(jù)進行監(jiān)控,因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。 Sniffer屬于第M層次的攻擊。就是說,只有在攻擊者已經(jīng)進入了目標系統(tǒng)的情況下,才能使用Sniffer這種
15、攻擊手段,以便得到更多的信息。 Sniffer除了能得到口令或用戶名外,還能得到更多的其他信息,比如一個重要的信息、在網(wǎng)上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網(wǎng)上傳送的數(shù)據(jù)包。 編輯本段產(chǎn)品介紹網(wǎng)絡(luò)的安全性和高可用性是建立在有效的網(wǎng)絡(luò)管理基礎(chǔ)之上的,網(wǎng)絡(luò)管理包括配置管理、故障管理、性能管理、安全管理和計費管理五大部分。對于企業(yè)計算機網(wǎng)絡(luò)來說,網(wǎng)絡(luò)故障管理主要側(cè)重于實時的監(jiān)控,而網(wǎng)絡(luò)性能管理更看中歷史分析。 Sniffer網(wǎng)絡(luò)分析儀是一個網(wǎng)絡(luò)故障、性能和安全管理的有力工具,它能夠自動地幫助網(wǎng)絡(luò)專業(yè)人員維護網(wǎng)絡(luò),查找故障,極大地簡化了發(fā)現(xiàn)和解決網(wǎng)絡(luò)問題的過程,廣泛適用于Ether
16、net、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等網(wǎng)絡(luò)。網(wǎng)絡(luò)安全· 網(wǎng)絡(luò)安全的保障與維護 1. 對異常的網(wǎng)絡(luò)攻擊的實時發(fā)現(xiàn)與告警; 2. 對高速網(wǎng)絡(luò)的捕獲與偵聽; 3. 全面分析與解碼網(wǎng)絡(luò)傳輸?shù)膬?nèi)容; · 面向網(wǎng)絡(luò)鏈路運行情況的監(jiān)測 1. 各種網(wǎng)絡(luò)鏈路的運行情況; 2. 各種網(wǎng)絡(luò)鏈路的流量及阻塞情況; 3. 網(wǎng)上各種協(xié)議的使用情況; 4. 網(wǎng)絡(luò)協(xié)議自動發(fā)現(xiàn); 5. 網(wǎng)絡(luò)故障監(jiān)測; · 面向網(wǎng)絡(luò)上應(yīng)用情況的監(jiān)測 1. 任意網(wǎng)段應(yīng)用流量、流向;
17、2. 任意服務(wù)器應(yīng)用流量、流向; 3. 任意工作站應(yīng)用流量、流向; 4. 典型應(yīng)用程序響應(yīng)時間; 5. 不同網(wǎng)絡(luò)協(xié)議所占帶寬比例; 6. 不同應(yīng)用流量、流向的分布情況及拓撲結(jié)構(gòu); · 強大的協(xié)議解碼能力,用于對網(wǎng)絡(luò)流量的深入解析 1. 對各種現(xiàn)有網(wǎng)絡(luò)協(xié)議進行解碼; 2. 對各種應(yīng)用層協(xié)議進行解碼; 3. Sniffer協(xié)議開發(fā)包(PDK)可以讓用戶簡單方便地增加用戶自定義的協(xié)議; · 網(wǎng)絡(luò)管理、故障報警及恢復(fù) 運用強大的專家分析系統(tǒng)幫助維護人員在最短時間內(nèi)排除網(wǎng)絡(luò)故障; 根據(jù)用戶習(xí)慣,Sniffer可提供實時數(shù)據(jù)或圖表方式顯示統(tǒng)計結(jié)果,統(tǒng)計內(nèi)容包括: l 網(wǎng)絡(luò)統(tǒng)計:如當前和
18、平均網(wǎng)絡(luò)利用率、總的和當前的幀數(shù)及字節(jié)數(shù)、總站數(shù)和激活的站數(shù)、協(xié)議類型、當前和總的平均幀長等。 協(xié)議統(tǒng)計:如協(xié)議的網(wǎng)絡(luò)利用率、協(xié)議的數(shù)、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類型的幀的統(tǒng)計等。l 差錯統(tǒng)計:如錯誤的CRC校驗數(shù)、發(fā)生的碰撞數(shù)、錯誤幀數(shù)等。l 站統(tǒng)計:如接收和發(fā)送的幀數(shù)、開始時間、停止時間、消耗時間、站狀態(tài)等。最多可統(tǒng)計1024個站。l 幀長統(tǒng)計:如某一幀長的幀所占百分比,某一幀長的幀數(shù)等。l 當某些指標超過規(guī)定的閾值時,Sniffer可以自動顯示或采用有聲形式的告警。 Sniffer可根據(jù)網(wǎng)絡(luò)管理者的要求,自動將統(tǒng)計結(jié)果生成多種統(tǒng)計報告格式,并可存盤或打印輸出。 1.3 Sniff
19、er實時專家分析系統(tǒng) 高度復(fù)雜的網(wǎng)絡(luò)協(xié)議分析工具能夠監(jiān)視并捕獲所有網(wǎng)絡(luò)上的信息數(shù)據(jù)包,并同時建立一個特有網(wǎng)絡(luò)環(huán)境下的目標知識庫。智能的專家技術(shù)掃描這些信息以檢測網(wǎng)絡(luò)異?,F(xiàn)象,并自動對每種異?,F(xiàn)象進行歸類。所有異?,F(xiàn)象被歸為兩類:一類是symptom(故障征兆提示,非關(guān)鍵事件例如單一文件的再傳送),另一類是diagnosis(已發(fā)現(xiàn)故障的診斷,重復(fù)出現(xiàn)的事件或要求立刻采取行動的致命錯誤)。經(jīng)過問題分離、分析且歸類后,Sniffer將實時地,自動發(fā)出一份警告、對問題進行解釋并提出相應(yīng)的建議解決方案。 Sniffer與其他網(wǎng)絡(luò)協(xié)議分析儀最大的差別在于它的人工智能專家系統(tǒng)(Expert System)
20、。簡單地說,Sniffer能自動實時監(jiān)視網(wǎng)絡(luò),捕捉數(shù)據(jù),識別網(wǎng)絡(luò)配置,自動發(fā)現(xiàn)網(wǎng)絡(luò)故障并進行告警,它能指出: 網(wǎng)絡(luò)故障發(fā)生的位置,以及出現(xiàn)在OSI第幾層。l 網(wǎng)絡(luò)故障的性質(zhì),產(chǎn)生故障的可能的原因以及為解決故障建議采取的行動。l Sniffer 還提供了專家配制功能,用戶可以自已設(shè)定專家系統(tǒng)判斷故障發(fā)生的觸發(fā)條件。l l 有了專家系統(tǒng),您無需知道那些數(shù)據(jù)包構(gòu)成網(wǎng)絡(luò)問題,也不必熟悉網(wǎng)絡(luò)協(xié)議,更不用去了解這些數(shù)據(jù)包的內(nèi)容,便能輕松解決問題。 編輯本段OSI全協(xié)議七層解碼Sniffer的軟件非常豐富,可以對在各種網(wǎng)絡(luò)上運行的400多種協(xié)議進行解碼,如TCP/IP、Novell Netware、DECn
21、et、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網(wǎng)絡(luò)互聯(lián)橋/路由器的幀格式。 Sniffer可以在全部七層OSI協(xié)議上進行解碼,目前沒有任何一個系統(tǒng)可以做到對協(xié)議有如此透徹的分析;它采用分層方式,從最低層開始,一直到第七層,甚至對Oracle數(shù)據(jù)庫、SYBASE數(shù)據(jù)庫都可以進行協(xié)議分析;每一層用不同的顏色加以區(qū)別。 Sniffer對每一層都提供了Summary(解碼主要
22、規(guī)程要素)、Detail(解碼全部規(guī)程要素)、Hex(十六進制碼)等幾種解碼窗口。在同一時間,最多可以打開六個觀察窗口。 Sniffer還可以進行強制解碼功能(Protocl Forcing),如果網(wǎng)絡(luò)上運行的是非標準協(xié)議,可以使用一個現(xiàn)有標準協(xié)議樣板去嘗試解釋捕獲的數(shù)據(jù)。 Sniffer提供了在線實時解碼分析和在線捕捉,將捕捉的數(shù)據(jù)存盤后進行解碼分析二種功能。 編輯本段Sniffer的商業(yè)應(yīng)用Sniffer被 Network General公司注冊為商標,這家公司以出品Sniffer Pro系列產(chǎn)品而知名。目前最新版本為Sniffer Portable 4.9,這類產(chǎn)品通過網(wǎng)絡(luò)嗅探這一技術(shù)方
23、式,對數(shù)據(jù)協(xié)議進行捕獲和解析,能夠大大幫助故障診斷和網(wǎng)絡(luò)應(yīng)用性能的分析鑒別。 Network General 已經(jīng)被NetScout公司收購。 編輯本段Sniffer的擴展應(yīng)用1、專用領(lǐng)域的Sniffer Sniffer被廣泛應(yīng)用到各種專業(yè)領(lǐng)域,例如FIX (金融信息交換協(xié)議)、MultiCast(組播協(xié)議)、3G (第三代移動通訊技術(shù))的分析系統(tǒng)。其可以解析這些專用協(xié)議數(shù)據(jù),獲得完整的解碼分析。 2、長期存儲的Sniffer應(yīng)用 由于現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)量驚人,帶寬越來越大。采用傳統(tǒng)方式的Sniffer產(chǎn)品很難適應(yīng)這類環(huán)境,因此誕生了伴隨有大量硬盤存儲空間的長期記錄設(shè)備。例如nGenius Infi
24、nistream等。 3、易于使用的Sniffer輔助系統(tǒng) 由于協(xié)議解碼這類的應(yīng)用曲高和寡,很少有人能夠很好的理解各類協(xié)議。但捕獲下來的數(shù)據(jù)卻非常有價值。因此在現(xiàn)代意義上非常流行如何把協(xié)議數(shù)據(jù)采用最好的方式進行展示,包括產(chǎn)生了可以把Sniffer數(shù)據(jù)轉(zhuǎn)換成Excel的BoneLight類型的應(yīng)用和把Sniffer分析數(shù)據(jù)進行圖形化的開源系統(tǒng)PacketMap等。這類應(yīng)用使用戶能夠更簡明地理解Sniffer數(shù)據(jù)。 4、無線網(wǎng)絡(luò)的Sniffer 傳統(tǒng)Sniffer是針對有線網(wǎng)絡(luò)中的局域網(wǎng)而言,所有的捕獲原理也是基于CSMA/CD的技術(shù)實現(xiàn)。隨著WLAN的廣泛使用,Sniffer進一步擴展到802.
25、11A/B/G/N的無線網(wǎng)絡(luò)分析能力。無線網(wǎng)絡(luò)相比傳統(tǒng)網(wǎng)絡(luò)無論從捕獲的原理和接入的方式都發(fā)生了較大改變。這也是Sniffer技術(shù)發(fā)展趨勢中非常重要的部分. 編輯本段用Sniffer監(jiān)控網(wǎng)絡(luò)流量隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展,網(wǎng)吧已由過去即時通信、瀏覽網(wǎng)頁、電子郵件等簡單的應(yīng)用,擴展成為運行大量在線游戲、在線視頻音頻、互動教學(xué)、P2P等技術(shù)應(yīng)用。應(yīng)用特點也呈現(xiàn)出多樣性和復(fù)雜性,因此,這些應(yīng)用對我們的網(wǎng)絡(luò)服務(wù)質(zhì)量要求更為嚴格和苛刻。 目前,大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴展性能,當網(wǎng)吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時,很多網(wǎng)絡(luò)管理員顯的心有于而力不足
26、。畢竟,靠網(wǎng)絡(luò)管理員的經(jīng)驗和一些簡單傳統(tǒng)的排查方法:無論從時間上面還是準確性上面都存在很大的誤差,同時也影響了工作效率和正常業(yè)務(wù)的運行。 Sniffer Pro 著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強大的流量圖文系統(tǒng)Host Table來實時監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上,我們選擇了較為常用的NAI公司的sniffer pro,事實上,很多網(wǎng)吧管理員都有過相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗:在網(wǎng)絡(luò)出現(xiàn)問題、或者探查網(wǎng)絡(luò)情況時,使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個很大優(yōu)點:不要配置端口鏡像就可以進行流量查詢(其實sniffer pro也可以變通的工作在這樣的環(huán)境下)。這種看起來很快捷的方法,仍然存
27、在很多弊端:由于其工作原理利用ARP地址表,對地址表進行欺騙,因此可能會衍生出很多節(jié)外生枝的問題,如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對于要求正常的網(wǎng)絡(luò)來說,是不可思議的。 在這里,我們將通過軟件解決方案來完成以往只有通過更換高級設(shè)備才能解決的網(wǎng)絡(luò)解決方案,這對于很多管理員來說,將是個夢寐以求的時刻。 硬件環(huán)境(網(wǎng)吧): 100M網(wǎng)絡(luò)環(huán)境下,92臺終端數(shù)量,主交換采用D-LINK(友訊)DES-3226S二層交換機(支持端口鏡像功能),級聯(lián)普通傻瓜型交換機。光纖10M接入,華為2620做為接入網(wǎng)關(guān)。 軟件環(huán)境: 操作系統(tǒng)Windows2003 Server企業(yè)標準版(Sniffer Pro4
28、.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI協(xié)議分析軟件-Sniffer Portable 4.75(本文選用網(wǎng)絡(luò)上較容易下載到的版本做為測試) 環(huán)境要求: 1、如果需要監(jiān)控全網(wǎng)流量,安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機,網(wǎng)卡接入端需要位于主交換鏡像端口位置。(監(jiān)控所有流經(jīng)此網(wǎng)卡的數(shù)據(jù)) 2、Snffier pro 475僅支持10M、100M、10/100M網(wǎng)卡,對于千M網(wǎng)卡,請安裝SP5補丁,或4.8及更高的版本 監(jiān)控目的:通過Sniffer Pro實時監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中
29、的故障(例如病毒、攻擊、流量超限等非正常行為)。對于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中,網(wǎng)關(guān)(路由、代理等)自身不具備流量監(jiān)控、查詢功能,本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括:網(wǎng)內(nèi)任意終端流量實時查詢、網(wǎng)內(nèi)終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時,我們將數(shù)據(jù)包捕獲后,通過Sniffer Pro的專家分析系統(tǒng)幫助我們更進一步分析數(shù)據(jù)包,以助更好的分析、解決網(wǎng)絡(luò)異常問題。 步驟一:配置交換機端口鏡像(Mirroring Configurations) 以DES-3226S二層交換機為例,我們來通過WEB方式配置端口鏡像(也可用CLI命令行模式配置)。
30、如果您的設(shè)備不支持WEB方式配置,請參考相關(guān)用戶手冊。 1.DES-3226S默認登陸IP為:0 因此,需要您配置本機IP為相同網(wǎng)段才可通過瀏覽器訪問WEB界面。 2.使用鼠標點擊上方紅色字體:“Login”,如果您是第一次配置,輸入默認用戶名稱、密碼:admin 自動登陸管理主界面。 3.如圖(2)所示,主界面上方以圖形方式模擬交換機界面,其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。 圖1 圖24.如圖(3):鼠標點擊左下方菜單中的advanced setup->Mirroring Confi
31、gurations (高級配置鏡像配置) 5.將Mirror Status 選擇為Enable(默認為關(guān)閉狀態(tài),開啟),本例中將Port-1端口設(shè)置為監(jiān)聽端口:Target Port=Port-1,其余端口選擇為Both,既:監(jiān)聽雙向數(shù)據(jù)(Rx接收 Tx發(fā)送),選擇完畢后,點擊Apply應(yīng)用設(shè)置。 此時所有的端口數(shù)據(jù)都將復(fù)制一份到Port-1。(如圖4) 圖3 圖4接下來,我們就可以在Port-1端口,接入計算機并安裝配置Sniffer Pro。 步驟二:Sniffer Pro 安裝、啟動、配置 Sniffer Pro 安裝過程與其它應(yīng)用軟件沒
32、有什么太大的區(qū)別,在安裝過程中需要注意的是: Sniffer Pro 安裝大約占用70M左右的硬盤空間。 安裝完畢Sniffer Pro后,會自動在網(wǎng)卡上加載Sniffer Pro 特殊的驅(qū)動程序(如圖5)。 安裝的最后將提示填入相關(guān)信息及序列號,正確填寫完畢,安裝程序需要重新啟動計算機。 對于英文不好的管理員可以下載網(wǎng)上的漢化補丁。 我們來啟動Sniffer Pro。第一次啟動Sniffer Pro時,需要選擇程序從那一個網(wǎng)絡(luò)適配器接收數(shù)據(jù),我們指定位于端口鏡像所在位置的網(wǎng)卡。 具體位于:File->Select Settings->New 名稱自定義、選擇所在網(wǎng)卡下拉菜單,點擊
33、確定即可。(如圖6) 圖5 圖6這樣我們就進入了Sniffer Pro的主界面。 步驟三:新手上路,查詢網(wǎng)關(guān)流量 下面以圖文的方式介紹,如何查詢網(wǎng)關(guān)(路由、代理:219.*.238.65)流量,這也是最為常用、重要的查詢之一。 1 掃描IP-MAC對應(yīng)關(guān)系。這樣做是為了在查詢流量時,方便判斷具體流量終端的位置,MAC地址不如IP地址方便。 選擇菜單欄中Tools->Address Book 點擊左邊的放大鏡(autodiscovery 掃描)在彈出的窗口中輸入您所要掃描的IP地址段,本例輸入:219.*.238.64-219.*.238.
34、159點擊OK,系統(tǒng)會自動掃描IP-MAC對應(yīng)關(guān)系。掃描完畢后,點擊DataBase->Save Address Book 系統(tǒng)會自動保存對應(yīng)關(guān)系,以備以后使用。(如圖7) 2.查看網(wǎng)關(guān)流量。點擊Monitor->Host Table,選擇Host table界面左下角的MAC-IP-IPX中的MAC。(為什么選擇MAC?在網(wǎng)絡(luò)中,所有終端的對外數(shù)據(jù),例如使用QQ、瀏覽網(wǎng)站、上傳、下載等行為,都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進行的)(如圖8) 圖7 圖83.找到網(wǎng)關(guān)的IP地址->選擇single station->bar
35、(本例中網(wǎng)關(guān)IP為219.*.238.65) 如圖(9)所示: 219.*.238.65(網(wǎng)關(guān))流量TOP-10 此圖為實時流量圖。在此之前如果我們沒有做掃描IP(Address Book)的工作,右邊將會以網(wǎng)卡物理地址-MAC地址的方式顯示,現(xiàn)在轉(zhuǎn)換為IP地址形式(或計算機名),現(xiàn)在很容易定位終端所在位置。流量以3D柱形圖的方式動態(tài)顯示,其中最左邊綠色柱形圖與網(wǎng)關(guān)流量最大,其它依次減小。本圖中219.*.238.93與網(wǎng)關(guān)流量最大,且與其它終端流量差距懸殊,如果這個時候網(wǎng)絡(luò)出現(xiàn)問題,可以重點檢查此IP是否有大流量相關(guān)的操作。 如果要查看219.*.238.65(網(wǎng)關(guān))與內(nèi)部所有流量通信圖,我
36、們可以點擊左邊菜單中,排列第一位的->MAP按鈕 如圖(10)所示,網(wǎng)關(guān)與內(nèi)網(wǎng)間的所有流量都在這里動態(tài)的顯示。 圖9 圖10需要注意的是: 綠色線條狀態(tài)為:正在通訊中 暗藍色線條狀態(tài)為:通信中斷 線條的粗細與流量的大小成正比 如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小(包括接收、發(fā)送)、并自動計算流量占當前網(wǎng)絡(luò)的百分比。 其它主要功能: PIE:餅圖的方式顯示TOP 10的流量占用百分比。 Detail:將Protocol(協(xié)議類型)、From Host(原主機)、in/out packets/bytes(接收、發(fā)送字節(jié)數(shù)、包數(shù))等字段信息以二維表格的方式顯示。 第四步:基于IP層流量 1.為了進一步分析219.*.238.93的異常情況,我們切換至基于IP層的流量統(tǒng)計圖中看看。 點擊菜單欄中的Monitor->Host Table,選擇Host Table界面左下角的MAC-IP-IPX中的IP。 2.找到IP:219.*.238.93地址(可以用鼠標點擊IP Addr排序,以方便查找)->選擇single station->bar (如圖11所示) 3.我們
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030中國鹽酸文拉法辛緩釋膠囊行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 2025至2030中國皮革行業(yè)發(fā)展趨勢與資風(fēng)險預(yù)測報告
- 2025至2030中國男士基礎(chǔ)護理品行業(yè)市場深度調(diào)研及發(fā)展趨勢與投資前景預(yù)測報告
- 2025至2030中國電吉他和原聲吉他弦行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國瓦楞紙和紙板箱行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 2025至2030中國環(huán)氧溴丙烷行業(yè)市場發(fā)展現(xiàn)狀及競爭策略與投資發(fā)展報告
- 2025至2030中國物流軟件行業(yè)應(yīng)用動態(tài)及發(fā)展趨勢研究報告
- 優(yōu)雅形態(tài)禮儀培訓(xùn)
- 新手烘焙理論培訓(xùn)課件
- 教育信息化與消除數(shù)字鴻溝的策略研究
- 廢水拉運服務(wù)合同協(xié)議
- 醫(yī)院培訓(xùn)課件:《西門子Syngo.via工作站的臨床應(yīng)用》
- 退役軍人保密教育
- 《水利水電工程白蟻實時自動化監(jiān)測預(yù)警系統(tǒng)技術(shù)規(guī)范》
- GB/T 15316-2024節(jié)能監(jiān)測技術(shù)通則
- 科創(chuàng)板股票開戶知識測評題庫及答案
- 光伏分布式項目日報模板
- 蘇科版九年級物理上冊一課一測-11.1杠桿
- 中試平臺管理制度
- 醫(yī)學(xué)細胞生物學(xué)(寧夏醫(yī)科大學(xué))智慧樹知到答案2024年寧夏醫(yī)科大學(xué)
- 廣東省韶關(guān)市2023-2024學(xué)年八年級下學(xué)期期末歷史試題(解析版)
評論
0/150
提交評論