网络管理实验报告五

《网络管理》课程实验报告五

五、实验步骤、过程和结果

步骤1：Sniffer的安装

Sniffer通常安装在内部网络和外部网络之间（如代理服务器），也可安装在局域网内任何一台计算机上，但此时只能对局域网内部通信进行分析。

如果使用交换机或路由器方式接入Internet，可以在网络设备上配置端口镜像，并将网络设备的出口设置为目的端口，然后将安装Sniffer的计算机连接到该端口，即可对整个网络的监控。

步骤2：sniffer界面与配置网络适配器

启动Sniffer，选择要监控的网卡。为了使Sniffer能够监控多个不同的网络，可以设置多个代理。选择New。

主界面仪表板主机列表

协议列表流量列表

网络连接配置

步骤3：Sniffer的监控功能可以查看当前网络中的数据传输情况。

●Dashboard（仪表）：主窗口中，“Monitor”—“Dashboard”。显示有三个盘：

（1）Utilization%（利用百分比）：使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。利用率达到40%就已经相当高了。

（2）Packets/s（每秒传输的数据包）：显示网络中当前数据包的传输速率。如果网络利用率高，但速率低，说明网络上的帧比较大。

（3）Error/s（每秒错误率）：显示当前网络中的出错率。

--------每个仪表盘下方都会显示两个数值，前一个数值表示当前值，后一个数值表示最大值。

--------如果想查看详细的传输数据，可单击仪表盘下方“Detail”（详细）按钮。如图所示。

●Host Table（主机列表）：列表形式显示当前网络上计算机的流量信息。

选择“Monitor”—“Host Table”选项，如图。

（1）Hw Addr（硬件地址）：以MAC地址形式显示计算机。

（2）In Pkts（传入数据包）：网络上发送到此主机的数据包。

（3）Out Pkts（传出数据包）：本地主机发送到网络上的数据包

（4）In Bytes（传入字节数）：网络上发送到此主机的字节数

（5）Out Bytes（传出字节数）：本地主机发送到网络上的字节数

---------提示：通过主机列表功能，可以查看某台计算机所传输的数据量。如果发现某台计算机在某个时间段内发送或接收了大量的数据，例如某个用户一天内就传输了数GB的数据，则说明该用户很可能在使用BT、PPLive等P2P软件。

●Matrix（矩阵）

Sniffer最常用功能之一，选择“Monitor”—“Matrix”。显示了当前所捕获的网络中各计算机的连接情况。单击窗口下方的”IP”标签，可以以IP地址方式显示各主机。

在窗口空白处单击鼠标右键，在快捷键中选择“Zoom”选项，可以放大显示比例。

右键单击要查看的主机IP地址，快捷键中选择“Show Select Nodes”，可以查看与那些地址连接，鼠标放在线上，可以查看流量。

提示：通过Matrix功能，管理员可以发现网络中使用BT等P2P软件或中了蠕虫病毒的用户。如果某个用户的并发连接数特别多，并且不断地向其他计算机发送数据，这就说明该计算机可能中了蠕虫病毒。此时，网络管理员应及时封掉该计算机所连接的交换机端口，并对该计算机查杀病毒。

●ART（Application Response Time，应用响应时间）

Sniffer的ART主要用来显示网络中Web网站的连接情况，可以看到局域网中哪些计算机正在上网，浏览的是哪些网站。

●Protocol Distribution（协议分类）

选择“Monitor”—“Protocol Distribution”，以不同颜色的柱形显示网络中不同协议使用情况。

●History Sample（历史采样）

Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。选择“Monitor”

—“History Samples”，双击“Packets/s”。Sniffer开始记录每秒所发送的数据包数量，并且每隔15秒便记录一次，以柱形方式显示。也可以保存记录结果。

●Global Statistics（球状统计）

Sniffer的球状统计功能用来显示不同大小数据包的使用情况。

选择“Monitor”—“Global Statistics”。

步骤4：创建过滤器

默认情况下，Sniffer会监控网络中所有传输的数据包，但在分析网络协议、查找网络故障时，有许多数据包并不是管理员所关心的。Sniffer提供了过滤器，过滤规则包括第二层，第三层地址的定义和几百种协议的定义。

（1）过滤IP地址

创建一个过滤器，只捕获IP地址段位192.168.40.101到192.168.40.110范围内传输的数据。

选择“Capture”—“Define Filer”，在“Settings For”列表中显示过滤器名，该过滤器对所有经过网卡的数据全部捕获。

单击“Profiles”，选择“New”，输入新过滤器名称。“Done”完成。

在“Settings For”列表框中，选择新建的过滤器，分别在station1和station2中输入起止IP地址。点击“确定”完成过滤器创建。

（2）过滤端口

Sniffer4.8/4.9中增加了端口过滤功能，可以让Sniffer只捕获特定端口内传输的数据，可以使固定的一个或几个端口，也可以使一个端口范围。

（3）过滤网络协议

创建一个过滤器，只捕获网络中使用FTP协议传输的数据，来查看有多少人在通过FTP下载文件。

创建一个新过滤器，名FTP。

选择FTP过滤器，切换到“Advanced”，依次展开“Available”—“Protocols”—“IP”—“TCP”,选中“FTP”复选框。

（4）设置缓冲器

缓冲器用来临时保存Sniffer捕获的数据，它占用内存。当缓冲器满了后，Sniffer就停止捕获，而缓冲器中的数据在重新捕获或关闭Sniffer时自动保存。4.7默认大小为8MB。4.9的为64MB可以调整缓冲器大小和保存路径。