Sniffer监控广播风暴

BPDU协议分析－sniffer应用系列作者: 保通出处:ChinaITLab ( 5 ) 砖 ( 11 ) 好评论 ( 0 ) 条进入论坛更新时间：2005-12-05 23:33关键词：协议阅读提示：现代交换网络环境中，为了防止发生交换环路引起广播风暴等问题，常采用STP （Spanning Tree Prtocol，生成树协议）技术。

STP利用BPDU（Bridge Protocol Data Unit，网桥协议数据单元）中三个字段：路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序，从而决定一个生成树实例。

2.1 BPDU协议概述现代交换网络环境中，为了防止发生交换环路引起广播风暴等问题，常采用STP（Spanning Tree Prtocol，生成树协议）技术。

STP利用BPDU（Bridge Protocol Data Unit，网桥协议数据单元）中三个字段：路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序，从而决定一个生成树实例。

2.2 BPDU包结构BPDU协议的包结构如下图所示：图1 BPDU包结构首先是以太网帧头，包括DLC头部、LLC头部，接下来是BPDU字段，最后是为了补齐60字节边界用的DLC填充（Padding）8字节（注意，BPDU帧也经常被封装在802.1Q头部后）。

其中的BPDU协议包结构如图2所示。

图2 BPDU包格式2.3 BPDU协议sniffer分析2.3.1 BPDU协议sniffer分析图3是sniffer捕获到到的Catalyst WS-C2924-XL输出BPDU部。

图3 BPDU帧格式在图中，应该注意到以下一些重要信息：●BPDU采用的是多播目标MAC地址：01-80-c2-00-00-00（Bridge_group_addr：网桥组多播地址）●DLC后面所跟的802.3帧的总长度为38字节，是指除了DLC头、尾之外的所有容的长度接下来是BPDU头部，如图4所示：图4 BPDU头部其中：应该注意到以下一些重要信息：●协议标识符和协议版本都是固定的0。

第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。

为了解决网络问题需要对网络中的数据进行相应的捕获和分析，Sniffer就是这样一种类型的软件。

它能够针对网络工作中的各种数据进行相应的捕获和分析。

从本章开始，本书将对Sniffer这类网络工具的功能和使用方法进行介绍。

1.1局域网安全概述局域网是日常使用中最常见的一种网络结构，同时也是组成网络的基本单位。

由于Sniffer必须在局域网中使用，所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。

目前的局域网基本上都采用以广播为技术基础的以太网。

在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截获。

因此，只要使用软件在接入以太网上的任一节点进行侦听，就可以捕获在这个以太网上传输的所有数据包。

如果使用相应的算法对截获的数据包进行解包分析，就可以获得相应的关键信息，这是以太网固有的安全隐患。

针对这一安全隐患，可以使用多种软件达到截获数据包并进行分析的目的。

Sniffer就是这样的一种软件。

这也是本书的一个意义：认识这种安全隐患技术，从而达到避免这种安全隐患，维护网络安全的目的。

针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。

1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施。

其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

网络分段可分为物理分段和逻辑分段两种方式。

物理分段是以硬件设备将网络划分成不同的网络地址段。

在出现问题时可以通过物理手段来断开网络以避免更大的损失。

第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。

在实际的网络工程应用中，这两种方式经常混合使用以便达到更好的效果。

通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段就可以了。

控制网络上的广播风暴常用方法1、误将智能型集线器作为交换机引发广播风暴采购人员或者奸商将智能型集线器当作交换机使用，这样，当网络稍微繁忙时，由于集线器的天生缺陷，故引发了广播风暴。

对策：检查所使用的网络设备是否是交换机，如果不是则更换正确的交换机，切记不要使用集线器。

2、网线短路压制网线时没有做好，或者网线表面有磨损导致短路，会引起交换机的端口阻塞，因为交换机大多都使用存储转发技术，它的工作原理是对某一段数据包进行分析判断寻址；并进行转发，在发出前均存储在交换机的缓冲区，当网线发生短路时，该交换机将接收到大量的不符合分装原则的包，造成交换机处理器工作繁忙，数据包来不及转发，从而导致缓冲区溢出产生丢包现象，导致广播风暴。

对策：使用MRGT等流量查看软件可以查看出现短路的端口，如果交换机是可网管的，也可以通过逐个封闭端口来进行处理查找，进而找到有问题的网线。

找到短路的网线后，更换一根网线。

3、接入层拓扑环当网络中存在环路，就会造成每一帧都在网络中重复广播，引起广播风暴。

要消除这种网络循环连接带来的网络广播风暴可以使用STP协议（生成树协议），；只在这棵树所指示的路径上传输，就不会产生广播风暴——因为树没有环路。

但因为STP算法开销太大，交换机默认都没启用该协议。

对策：在接入层启用树生成协议，或者在诊断故障时打开树生成协议，以便协助确定故障点。

在广播风暴发生时，应首先了解发生故障前网络的改动，建立完善的网络文档资料，包括：网络布线图、IP地址和MAC地址对应表等，可以通过局域网工具软件来扫描获取这些信息。

4、傻瓜交换机可网管的交换机由于具备生成树协议功能，可自动切断级联交换机环回端口，避免网络拓扑环的产生，但这个功能，傻瓜交换机并不具备。

在同一傻瓜交换机上的不同端口，或傻瓜交换机之间有冗余的连接，就导致网络拓扑环的发生，进而导致网络广播风暴，造成网络通讯失败。

对策：用于级联交换机的跳线应当做一些特殊标记，最好选择使用不同颜色的跳线，与其他普通跳线相区别。

局域网广播风暴产生的原因及防范随着网络技术及其应用的快速发展，计算机技术的普及，计算机网络已经成为人们日常生活中的一个重要组成部分，通过互联网获取新闻、收发电子邮件、进行网络游戏等已成为许多人每天的必修课。

但是网络故障的频发给我们带来不便，也造成了一些损失,为了提高设备和资源的利用率,解决这些网络故障已经刻不容缓。

在实际工作中，造成网络故障的原因很多，但是80%的网络故障是由网络广播风暴引起的，本文结合实际工作针对局域网广播风暴的产生原因以及相关防范措施进行一些探讨。

一、广播风暴及其危害作为发现未知设备的主要手段，广播在网络中起着非常重要的作用。

一个数据帧或包被传输到本地网段(由广播域定义)上的每个节点就是广播。

在广播帧中，帧头中的目的MAC 地址是“FF.FF.FF.FF.FF.FF”,代表网络上所有主机网卡的MAC地址。

随着网络中计算机数量的增多,广播包的数量会急剧增加，网络长时间被大量的广播数据包所占用，当广播数据包的数量达到30%时,网络的传输速率将会明显下降,使正常的点对点通信无法正常进行,导致网络性能下降,甚至网络瘫痪，这就是广播风暴。

广播风暴的危害:广播风暴现象是最常见的数据洪泛(flood）之一，是一种典型的雪球效应。

当广播风暴产生时，以太介质几乎充满广播数据包，网络设备接口上统计的报文速率达到106数量级，设备处理器高负荷运转。

不仅网络设备会受到影响，而且所有的主机都要接收链路层的广播数据包，因而受到危害。

每秒数万级的数据包通常都会使网卡工作异常繁忙，操作系统反映迟缓，网络通讯严重受阻，严重地危害了网络的正常运行。

二、广播风暴产生的原因形成广播风暴的原因有很多，这里主要介绍以下几种:1.网络设备中、小型办公网络、网吧、校园网络大量采用了集线器（Hub）和智能型的Hub。

用集线器组成的网络称为共享式网络，由于使用载波侦听多路访问/冲突检测（CSMA/CD)机制，随着网络主机数目不断增加，不足之处就表现得很突出了，当广播报文较多的情况下，广播风暴会造成网络崩溃。

实验一sniffer软件的使用
一、实验目的：
通过实验操作掌握Sniffer软件的安装与基本功能的使用，对监控软件原理有一定的了解，能够熟练使用sniffer软件实现常用的监控功能。

二、实验要求
根据第2章介绍的Sniffer软件的功能和步骤来完成实验，在掌握基本功能的基础上，实现日常监控应用，给出实验总结报告
三、实验设备及软件
2台磁盘格式配置为NTFS的Windows xp操作系统的计算机，局域网环境，Sniffer软件。

四、实验预习
1. 网络监控软件的主要目标有哪些？
2. Sniffer的工作原理是什么？
五、实验步骤（参照教材第十章内容）
1. 安装Sniffer软件
2. 对默认状态下的报文进行捕获解析
3. 设置捕获条件并对其数据进行分析
4. 使用Sniffer pro监控网络流量
5. 使用sniffer监控“广播风暴”
六、实验报告要求
1. 参照实验步骤简单将实验过程写出来。

2．对于加密数据sniffer Pro还有没有作用？
3. sniffer pro能监控的协议中，数据量比较大的是那些？。

软件使用指南在日常的局域网维护中，对于一款软件，不仅要知道其表面的功能，更要深入了解其工作原理，这样才能更有效地挖掘软件更高级的应用及功能，以此来解决网络中的疑难故障。

下面结合一些日常网络故障实例，介绍一下Sniffer在局域网维护中的综合应用。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。

Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。

以下以Sniffer 4.7.5汉化版本为例，介绍一下Snffer在局域网维护中的具体应用。

一、Sniffer软件的安装在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。

运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。

二、Sniffer软件的使用打开Sniffer软件后，会出现主界面(如图1)，显示一些机器列表和Sniffer软件目前的运行情况，上面是软件的菜单，下面有一些快捷工具菜单，左侧还有一排快捷菜单按钮。

由于使用的是汉化版软件，因此部分词语汉化不是太准确。

1、获取网络中的机器列表Sniffer软件运行后，首先要搜索网络中的机器。

在"工具”菜单中找到"地址簿”选项并运行，在"地址簿”中的左侧工具菜单中，可以找到一个"放大镜”的图标，这是"自动搜索”的按钮。

运行"自动搜索”功能后，在IP地址段中输入网络的开始IP地址和结束地址，然后系统会自动搜索。

搜索完成后，会出现一个如图1的机器列表。

2、保存机器列表Sniffer搜索网络中所有的机器列表后，可以在"数据库”菜单中选择"保存地址簿”选项，将当前的机器列表保存，以备日后使用。

网络分析工具Sniffer Pro详解2008-08-16 20:01超级网络分析工具Sniffer Pro详解Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b 无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

因此，建议Sniffer系统应该有一个速度尽可能快的处理器，以及至少512MB的物理内存。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer 就不能正确抓取数据，而且有可能丢失重要的通信内容。

浅析Sniffer工具的应用与发展前景摘要计算机网络在各发达国家迅速蓬勃发展,从过去的AR-PANET到今天复杂的Internet网络,经历了不同的时期。

网络不仅大幅度提高了人们的工作效率,也最大程度地实现了信息资源的共享.伴随着网络的出现, 网络分析工具也随之产生，便携式和笔记本PC上运行的Sniffer网络规程分析仪就是很方便的网络维护工具，它也是目前运用最广、功能最强的网络安全保护软件。

Sniffer可以是硬件，也可以是软件。

现在品种最多,应用最广的是软件Sniffer, 绝大多数黑客们用的也是软件Sniffer。

本文主要介绍sniffer作为软件的相关的主要用途及其原理。

关键词：sniffer 工具；网络嗅探；网络安全目录1引言 (1)1.1研究sniffer工具的价值和意义 (1)1.2国外研究现状 (1)1.3国内研究现状 (2)2 Sniffer工具简介及其概述 (2)2.1 sniffer工具简介 (2)2.2 Sniffer软件概述 (2)2.3哪里可以得到sniffer (3)3 Sniffer的工作原理及环境 (4)3.1 sniffer的工作原理 (4)3.2 Sniffer的工作环境 (5)4 sniffer工具的具体应用及其原理和发展前景； (5)4.1用sniffer解决广播风暴 (5)4.2使用sniffer分析ARP病毒攻击 (6)4.2.1 ARP病毒攻击 (6)4.2.2 解决ARP病毒攻击 (6)4.2借助Sniffer深入理解TCP_IP协议 (7)4.3 Sniffer用作嗅探侦听 (7)5 sniffer工具的未来发展方 (8)5.1 现如今影响网络发展的频宽问题 (8)5.2 解决频宽问题的办法 (8)6结束语 (9)6.1网络通常攻击方法和防范措施 (9)6.2研究目的和意义 (9)1引言随着信息化的飞速发展,今天的计算机网络信息量大。

网络应用程序要求随时有效,一旦出现问题,必须快速、有效地解决。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

基于局域网的网络监听技术及其防范分析摘要：随着现代社会人们使用网络频次的几何式增长，网络信息安全已经成为一个热点。

而作为人们使用网络的主场所，局域网技术的实施也处于一个不断的演进和发展成熟过程。

该文针对局域网络监听技术的分析，给出了加强防范局域网网络监听技术的一些方法。

为维护网络信息安全和局域网安全运行体系提出了一些建议。

关键词：网络信息安全中图分类号：tp393 文献标识码：a 文章编号：1009-3044（2013）05-0990-02近年来，互联网的迅速推广和普及应用使越来越多的人认识到了网络的优势和价值。

网络中大量信息的流通和使用给人们的工作、学习和生活娱乐等都带来了极大的便利。

但是随着网络应用的不断丰富和发展，网络信息安全等问题逐渐变得越发突出。

身份泄密、信息篡改、不良信息发布等问题日益严重。

许多不法分子从中获取不法利益，对国家和个人造成各种经济损害和生活困扰，严重扰乱了正常的社会秩序。

因此，分析网络信息安全隐患，利用网络监听技术实施网络监控，减少网络的负面效果对国家和个人的影响具有非常重要的现实意义。

1 网络监听技术概述1.1 网络监听的定义监听一词在百度百科里的解释就是采取比较隐蔽的手段或设备等技术，对相应的声音或事态的发展进行探听的一种行为。

众所周知，声音可以监听，无线电可以监听，而计算机网络作为一种数字信号在实体中的传播同样是可以监听的。

网络监听也叫嗅探，既将网络上传输的数据捕获并进行分析的行为。

目前应用较广的网络监听器又叫嗅探器，英文名是sniffer，既有硬件形式，又有软件形式。

它是利用计算机的网络接口捕获目的地向其它计算机传送的数据报文的一种工具。

它最初是网络管理员用来监视网络的运行状态、数据流动以及信号传输等的管理工具。

但是黑客们也常通过该技术来对网络进行信息窃取和攻击。

1.2 网络监听的原理我们目前所熟知和广泛使用的internet互联网其实就是由众多的局域网组成，这种结构我们一般叫做以太网或令牌网。

某地移动客服网络风暴问题分析作者：朱可欣工号：31844一、问题描述某地移动客服系统，11月至今发生了几次的系统异常，从现场反馈的情况来看有可能是由于广播风暴的原因，导致服务器间的通讯不畅，引起客服系统部分业务异常，因此我们对客服系统的数据网络质量作了评估。

二、问题分析在现场使用网络分组抓包软件进行抓包，对发回的日志使用sniffer进行分析，初步判断有如下几个主要问题：1、使用SNIFFER打开分组抓包日志，在Global栏中可以观察到在2min18sec 的抓包过程中，有1m14s912ms的广播风暴（Broadcast/Multicst Storm Diag）以及1m3s331ms局域网负荷过载（LAN overload percetage）。

很明显整个局域网中充斥着大量的广播流量，由此导致了局域网负荷过载，引起网络连接的不稳定。

（图一）2、进一步分析数据流量，选择对象栏中的Matrix（下图中的红圈位置），并在地址类型中选择IP（图中绿圈处），通过观察Traffic Map可以发现同一个广播域中包含了10.0.0.0 100.0.0.0 139.119.0.0 172.19.0.0四个网段的信息，网段之间没有进行必要的隔离。

另外其中可以看出有一条100.0.20.254发送出大量目的地址为100.0.20.255的广播包，且数据流量极大（在Traffic Map中两点间的线条越粗，说明两点间的数据流量越大）。

3、选择饼图（点击上图中黄圈所示的按钮），分析整个局域网中数据流量的构成，可以发现一台IP地址为100.0.20.254的主机/路由器，在频繁的发RIP广播包，占了所有数据量的99.53%（见下图）。

三、问题定位方法将这一分析结果直接反馈给了在现场的机房维护人员后，要求其协助查找100.0.20.254这台主机，在机房人员的协助下，最后判断，该主机为帐务系统使用的一台主机，当时正在进行某种测试，有可能是因为测试的原因，导致帐务系统的拓扑不稳定，主机发出大量的广播包，而这台主机通过一台级联在客服核心交换机CATAL YST4003上的CATAL YST2950交换机跟客服系统所在的网络在物理上联通，中间没有有效的隔离措施，导致大量的RIP广播包洪泛至客服系统所在的网段，直接导致广播风暴发生。

绝技！广播风暴或者环路的快速检测方法！~就是在核心交换机上所有网线都拔下来，在旁边的插入一台手提电脑上用ping -t命令一直ping一根根网线插上去，每根网线等待20秒。

等到某根网线插入后，ping命令无法到达，或者终端，就是这跟网线下面的交换机问题。

然后再次向下检测，一直到故障点。

SNIFFERSNIFFERSNIFFERSNIFFERSNIFFER方法很直观，不过稍微有些笨拙。

其实如果广播风暴的话，在交换机上看到所有接入网络的灯都是狂闪的，如果平时留意的话，大致看一下哪些电脑是稳定的，新接进来的有哪些电脑，只把新接进来的电脑一个一个排除一下就行了。

直到拔了哪个其他的灯都不狂闪了，就说明是哪台电脑在作怪~ 省时省力...用SNIFFER工具呗，哪个连接数多一般就是哪个了。

VLAN!这个方法是解决方法之一，也是比较简便的一种方法。

你的问题分两个广播风暴和环路。

环路的检测，其实，你可以用更简便的方法。

环路形成时，所有交换机都狂闪了，你只要把核心交换机上的所有接入层交换机断开，这样每个接入层交换机就是单独了，那些不闪了的就说明没问题，马上插回去，那个还在狂闪的就是有问题的接入层设备了，你就按照你的网路信息点图纸查吧，这样最快，影响面最小。

至于广播风暴论坛里有论述的很详细的。

所有方法都是帮你最快定位问题源，或缩小故障源的范围。

小心局域网环路引起的广播风暴来源：互联网笔者公司局域网采用的是星型拓扑结构千兆以太网技术，中心机房配备一台华为6506三层路由交换机，各楼层采用华为3026或者背板堆叠的2026接入核心交换机，各部门计算机通过直接接入或用级连方式通过接入层交换机接进网络。

中心的服务器有多台，提供FTP、文件服务、Web等多项服务。

全网分为5个VLAN，根据业务不同为不同网段定义了IP地址。

随着接进网络PC的不断增多及信息流量的增加，在网络维护中遇到过各类问题及故障，现在分析其中影响较大的一个故障，谈谈在管理与维护上的一点经验和体会。

网络嗅探教程：使用Sniffer Pro监控网络流量随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。

应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有于而力不足。

毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。

Sniffer Pro 著名网络协议分析软件。

本文利用其强大的流量图文系统Host Table来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。

这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。

这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。

这对于要求正常的网络来说，是不可思议的。

在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。

硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。

光纤10M接入，华为2620做为接入网关。

软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。

第四章4.3 查看并使用高级工具高级系统是Sniffer Pro程序的一部分，在检修网络和协议问题时可以提供帮助。

我们在这里将详细讨论这个系统，使你了解希望用它来做什么、要检查什么、哪些数据可信（哪些不可信），以及哪些组件构成了高级系统。

在监控网络时，当然想知道网络上发生了什么。

但这个过程并不像听起来这么简单。

当遇到大量的数据时，可能会想如果有什么可以帮助，告诉去检查哪里或者从哪里开始检修问题，这就好了。

高级系统实际上做的就是这样的工作。

在图4.18中，会看到Sniffer Pro做了大量的工作来把捕获到的所有信息分解，使你更容易对发生的问题进行分析。

Sniffer Pro使你可以以OSI模型的格式查看所有可能的问题。

高级系统模型实际上是与OSI模型互相对应的。

必须了解它与Sniffer专业认证考试之间的关系。

要记住它们的对应关系来准备考试，这里我们先简单介绍一下，使你能有个初步的印象。

在表4.1中，会看到需要牢记的内容。

表4.1 OSI与Sniffer Pro高级系统的对应关系高级系统的层次OSI模型的层次服务器层应用层应用层表示层会话层会话层数据连接层（传输层）数据链接层（传输层）工作站层网络层DLC数据链路与物理层图4.18 查看高级系统的诊断结果、症状和对象栏高级工具与对象在图4.18中，对话框左上角有三栏，分别是对象、症状和诊断结果。

在了解每层意义之前，我们要先介绍这几栏的作用，因为它们会影响对数据的判断。

诊断结果这一栏显示的是在对高级系统中所有层发生事件情况的“诊断”结果，能够显示出一组被分析的症状中影响最大的事件。

如果有很多问题不断重复发生，系统就会提供给这个信息。

症状这一栏显示的是高级系统中所有层事件的症状数目。

当高级系统探测到一个特殊的或者不正常的网络事件时，系统会做上标记。

症状通常说明存在网络问题或者超出阈值情况。

对象对象栏显示的是高级系统中所有层发生事件的对象数。

高级对象是来自数据流的数据，它们代表了一些实体。

sniffer,广播协议篇一：Sniffer分析协议实验报告密码与网络安全课程设计报告题目：利用Sniffer分析协议系（部）：理学院专业：信息与计算科学姓名：任业乔杨坤学号：090111104090111107指导教师：邢朝辉2012年6月目录前言 21.Sniffer技术概括1.1 Sniffer的定义1.2 Sniffer的工作原理1.3 Sniffer技术应用现状51.4 Sniffer技术发展状况52.monitor功能介绍2,1 dashboard仪表盘的使用2.2 Host table的使用2.3 Matrix矩阵的应用2.4 ART的使用3. Sniffer抓包实例3.1 抓取10.20.1.3这台机器的所有数据包4.抓取邮箱密码账号4.1 设置规则4.2 抓包开始4.3 登录邮箱4,4 对包分析4.5 查找获取账号密码5.谢辞6.参考文献前言简介数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。

帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。

就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。

每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。

当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。

如果使用Hub/即基于共享网络的情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。

如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。