谈用Sniffer监控网络流量

谈用Sniffer监控网络流量
网络嗅探：用Sniffer监控网络流量
出处：硅谷动力banker 时间：2007-09-28 10:28
随着互联网多层次性、多样性的开展，网吧已由过去即时通讯、阅读网页、电子邮件等复杂的运用，扩展成为运转少量在线游戏、在线视频音频、互动教学、P2P等技术运用。

运用特点也出现出多样性和复杂性，因此，这些运用对我们的网络效劳质量要求更为严厉和苛刻。

目前，大少数网吧的网络设备不具有高端网络设备的智能性、交互性等扩展功用，当网吧出现掉线、网络卡、遭受外部病毒攻击、流量超限等状况时，很多网络管理员显的心有于而力缺乏。

毕竟，靠网络管理员的阅历和一些复杂传统的排查方法：无论从时间下面还是准确性下面都存在很大的误差，同时也影响了任务效率和正常业务的运转。

Sniffer Pro 著名网络协议剖析软件。

本文应用其弱小的流量图文系统Host Table来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，理想上，很多网吧管理员都有过相关监控网络阅历：在网络出现效果、或许探查网络状况时，运用P2P 终结者、网络执法官等网络监控软件。

这样的软件有一个很大优点：不要配置端口镜像就可以停止流量查询〔其实sniffer pro也可以变通的任务在这样的环境下〕。

这种看起来很快捷的方法，依然存在很多弊端：由于其任务原理应用ARP地址表，对地址表停止诈骗，因此能够会衍生出很多节外生枝的效果，如掉线、网络变慢、ARP广播巨增等。

这关于要求正常的网络来说，是不可思议的。

在这里，我们将经过软件处置方案来完成以往只要经过改换初级设备才干处置的网络处置方案，这关于很多管理员来说，将是个念念不忘的时辰。

硬件环境〔网吧〕：
100M网络环境下，92台终端数量，主交流采用D-LINK〔友讯〕DES-3226S二层交流机(支持端口镜像功用)，级联普通傻瓜型交流机。

光纤10M接入，华为2620做为接入网关。

软件环境：
操作系统Windows2003 Server企业规范版〔Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003〕、NAI协议剖析软件-Sniffer Portable 4.75〔本文选用网络上较容易下载到的版本做为测试〕
环境要求：
1、假设需求监控全网流量，装置有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需求位于主交流镜像端口位置。

〔监控一切流经此网卡的数据〕
2、Snffier pro 475仅支持10M、100M、10/100M网卡，关于千M网卡，请装置SP5补丁，或4.8及更高的版本
网络拓扑：
图
监控目的：经过Sniffer Pro实时监控，及时发现网络环境中的缺点〔例如病毒、攻击、流量超限等非正常行为〕。

关于很多企业、网吧网络环境中，网关〔路由、代理等〕自身不具有流量监控、查询功用，本文将是一个很好的处置方案。

Sniffer Pro弱小的适用功用还包括：网内恣意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。

同时，我们将数据包捕捉后，经过Sniffer Pro的专家剖析系统协助我们更进一步剖析数据包，以助更好的剖析、处置网络异常效果。

步骤一：配置交流机端口镜像〔Mirroring Configurations〕
以DES-3226S二层交流机为例，我们来经过WEB方式配置端口镜像〔也可用CLI命令行形式配置〕。

假设您的设备不支持WEB方式配置，请参考相关用户手册。

1.DES-3226S默许登陆IP为：10.90.90.90 因此，需求您配置本机IP为相反网段才可经过阅读器访问WEB界面。

如图〔1〕所示：
图1
2.运用鼠标点击上方白色字体：〝Login〞,假设您是第一次配置，输入默许用户称号、密码:admin 自动登陆管理主界面。

3.如图〔2〕所示，主界面上方以图形方式模拟交流机界面，其中绿色灯亮起表示此端口正在运用。

下方文字列出交流机的一些基本信息。

图2
4.如图〔3〕：鼠标点击左下方菜单中的advanced setup->Mirroring Configurations 〔初级配置—镜像配置〕
图3
5.将Mirror Status 选择为Enable〔默以为封锁形状，开启〕，本例中将Port-1端口设置为监听端口:Target Port=Port-1，其他端口选择为Both，既：监听双向数据〔Rx接纳Tx发送〕，选择终了后，点击Apply运用设置。

此时一切的端口数据都将复制一份到Port-1。

〔如图4〕
图4
接上去，我们就可以在Port-1端口，接入计算机并装置配置Sniffer Pro。

步骤二：Sniffer Pro 装置、启动、配置
Sniffer Pro 装置进程与其它运用软件没有什么太大的区别，在装置进程中需求留意的是：
①Sniffer Pro 装置大约占用70M左右的硬盘空间。

②装置终了Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动顺序〔如图5〕。

③装置的最后将提示填入相关信息及序列号，正确填写终了，装置顺序需求重新启动计
算机。

④关于英文不好的管理员可以下载网上的汉化补丁。

图5
我们来启动Sniffer Pro。

第一次启动Sniffer Pro时,需求选择顺序从那一个网络适配器接纳数据，我们指定位于端口镜像所在位置的网卡。

详细位于：File->Select Settings->New
称号自定义、选择所在网卡下拉菜单，点击确定即可。

(如图6)
图6
这样我们就进入了Sniffer Pro的主界面。

步骤三：新手上路，查询网关流量
下面以图文的方式引见，如何查询网关〔路由、代理：219.*.238.65〕流量，这也是最为常用、重要的查询之一。

1．扫描IP-MAC对应关系。

这样做是为了在查询流量时，方便判别详细流量终端的位置，MAC地址不如IP地址方便。

选择菜单栏中Tools->Address Book 点击左边的缩小镜〔autodiscovery 扫描〕在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP-MAC对应关系。

扫描终了后，点击DataBase->Save Address Book 系统会自动保管对应关系，以备以后运用。

(如图7)
图7
2.检查网关流量。

点击Monitor->Host Table，选择Host table界面左下角的MAC-IP-IPX 中的MAC。

〔为什么选择MAC？在网络中，一切终端的对外数据，例如运用QQ、阅读网站、上传、下载等行为，都是各终端与网关在数据链路层中停止的〕(如图8)
图8
3.找到网关的IP地址->选择single station->bar (本例中网关IP为219.*.238.65)
图9
如图(9)所示：
219.*.238.65〔网关〕流量TOP-10 此图为实时流量图。

在此之前假设我们没有做扫描IP〔Address Book〕的任务，左边将会以网卡物理地址-MAC地址的方式显示，如今转换为IP地址方式〔或计算机名〕，如今很容易定位终端所在位置。

流量以3D柱形图的方式静态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。

本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，假设这个时分网络出现效果，可以重点反省此IP 能否有大流量相关的操作。

假设要检查219.*.238.65〔网关〕与外部一切流量通讯图，我们可以点击左边菜单中，陈列第一位的->MAP按钮
如图(10)所示,网关与内网间的一切流量都在这里静态的显示。

图10
需求留意的是：
绿色线条形状为：正在通讯中
暗蓝色线条形状为：通讯中缀
线条的粗细与流量的大小成正比
假设将鼠标移动至线条处,顺序显示出流量双方位置、通讯流量的大小〔包括接纳、发送〕、并自动计算流量占以后网络的百分比。

其它主要功用：
PIE：饼图的方式显示TOP 10的流量占用百分比。

Detail：将Protocol(协议类型)、From Host〔原主机〕、in/out packets/bytes(接纳、发送字节数、包数)等字段信息以二维表格的方式显示。

第四步：基于IP层流量
1.为了进一步剖析219.*.238.93的异常状况，我们切换至基于IP层的流量统计图中看看。

点击菜单栏中的Monitor->Host Table，选择Host Table界面左下角的MAC-IP-IPX中的IP。

2.找到IP：219.*.238.93地址〔可以用鼠标点击IP Addr排序，以方便查找〕->选择single station->bar 〔如图11所示〕
图11
3.我们切换至Traffic Map来看看它与一切IP的通讯流量图。

〔图12〕
图12
我们可以从219.*.238.93的通讯图中看到，与它树立IP衔接的状况。

图中IP衔接数目十分大，这关于普通运用终端来讲，显然不是一种正常的业务衔接。

我们猜想，该终端能够正在停止有关P2P类的操作，比如正在运用P2P类软件停止BT下载、或许正在观看P2P 类在线视频等。

为了进一步的证明我们的猜想，我们去看看219.*.228.93的流量协议散布状况。

4.如图〔13〕所示：Protocol类型绝大局部为Othen.我们知道在Sniffer Pro中Othen表示未能识别出来协议，假设提早定义了协议类型，这里将会直接显现出来。

图13
如图〔14〕经过菜单栏下的Tools->Options->Protocols,在第19栏中定义14405〔bitcomet 的默许监听端口〕，取名为bitcom。

图14
如今我们再次检查219.*.238.93协议散布状况.〔如图15〕
图15
如今，协议类型大局部都转换为bitcom，这样我们就可以判定，此终端正在用bitcomet 做少量上传、下载行为。

留意：很多P2P类软件并没有固定的运用端口，且端口也可以自定义，因此运用本方法虽然不失为一种检测P2P流量的好方法，但并不能完全保证其准确性。

好了，运用Sniffer Pro监控网关流量，就到这里完毕了。

实践上我们可以用异样的方法监控网络内的任何一台终端。

后续，我们将继续连载运用Sniffer Pro监控网络的其它新手教程，例如：应用Sniffer pro做网络的预警机制、应用Sniffer pro剖析病毒、经过包剖析结合专家系统发现网络内存在的〝未知效果〞，以后我们将陆续做更深一步的讨论和剖析。

概念解释：
1.什么是端口镜像?
把交流机一个或多个端口〔VLAN〕的数据镜像到一个或多个端口的方法。

2.为什么需求端口镜像?
交流机的任务原理与HUB有很大的不同，HUB组建的网络数据交流都是经过广播方式停止的，而交流机组建的网络是依据交流机外部CAM表〔通常也称IP-MAC表〕停止数据
转发，因此需求经过配置交流机来把一个或多个端口〔VLAN〕的数据转发到某一个端口来完成对网络的监听。

3.端口镜像通常有以下几种别名：
①Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

②Monitoring Port 监控端口
③panning Port 通常指允许把一切端口的流量复制到另外一个端口，同时这个端口不能再传输数据。

④PAN Port 在Cisco 产品中，SPAN 通常指Switch Port ANalyzer。

某些交流机的SPAN 端口不支持传输数据。