基于sniffer的网络性能测试与分析

课程设计（论文）工作计

划

课程名称网络分析与测试课程设计

系别信息工程系

年级专业2010级网络工程

实施时间2013年上学期18-19周

指导组组长（签名）

教研室主任（签名）

2013年6 月13 日

邵阳学院课程设计（论文）任务书

注：1．此表由指导教师填写，经系、教研室审批，指导教师、学生签字后生效；

2．此表1式3份，学生、指导教师、教研室各1份。

指导教师（签字）：学生（签字）：

学生姓名学号

系信息工程系专业班级

题目名称基于sniffer的网络性能测试与分析课程名称网络测试与分析

一、学生自我总结

二、指导教师评定

注：1、本表是学生课程设计（论文）成绩评定的依据，装订在设计说明书（或论文）的“任务书”页后面；

2、表中的“评分项目”及“权重”根据各系的考核细则和评分标准确定。

目录

1 前言 (5)

2 需求分析 (5)

2.1测试环境 (6)

2.2网络拓扑图 (6)

2.3 测试工具 (2)

3 网络性能测试 (2)

4 网络协议分析 (3)

5 性能瓶颈分析 (7)

6 课程设计总结 (10)

参考文献 (10)

致谢 (11)

1 前言

Sniffer是一个非常好的流量分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer可以运行在各种Windows平台上。Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢。

Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情况下，网络硬件和TCP/IP 堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP/IP 堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能嗅探到root的密码，因此不能运行Sniffer。

也有基于无线网络、广域网络(DDN, FR)甚至光网络(POS、Fiber Channel)的监听技术，这时候略微不同于以太网络上的捕获概念，其中通常会引入TAP (测试介入点)这类的硬件设备来进行数据采集。

2 需求分析

2.1测试环境

网络工程实验室

2.2网络拓扑图

2.3 测试工具

网络嗅探器Sniffer

3 网络性能测试Ping

ping 172.19.32.142

Ping 220.181.111.85

4 网络协议分析

通过sniffer的Protocol Distribution功能可以直观的看到当前网络流量中协议分布图：

从上面可以很明显看出，HTTP应用流量最大占63％。了解协议分布情况以后，再找到网络中流量最大的主机，流量越大也就意味着对网络的影响也就越大，利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器，如下图所示：

可以看到124.127.185.106，220.181.111.85这两台主机在目前我们网络内部流量较大，分别占16.52%和15.97％。进一步利用HostTable功能的Outline视图，可以发现这两个地址流量的90％都是HTTP流量，如下图所示：

从上图注意到，124.127.185.106这个主机上行流量要明显小于下行的流量，而220.181.111.85这个主机则是上行流量明显大于下行流量，通过确

124.127.185.106为一台Web服务器，220.181.111.85则是其他公司托管我在我公司的一台服务器，所以到这一步我们就可以大致知道这两个主机当前正在进行的网络活动。

同时我们要注意的就是每个地址的收发包数量是否正常，即是否收发之间存在较大差异，如果只收不发或者只发不收，那很可能就意味着这个主机的当前流量有异常（例如受到SYN攻击），我们可以进一步通过sniffer提供的Decode功能对捕获的数据包进行解码，来分析具体的数据包内容。比如我们通过定义一个过滤器来查看上面两个地址的具体数据流量,如下图所示：

我们可以看到在这些HTTP应用里面，TCP的三次握手都很完整，排除了恶意的SYN攻击行为，都是正常的HTTP流量。

5 性能瓶颈分析

查看sniffer的专家系统，发现存在大量的Local Routing（本地路由）告警，sniffer中对此告警的解释为：Two DLC stations on the same segment are communicating via a router. Packets are being transmitted via the router rather than directly from one DLC station to the other（大致意思是两个属于同一网段的主机之间通过路由器通信，数据包通过路由器发送而不是直接在两主机间转发）。并提示可能原因为路由表设置不当。(如下图所示)