sniffer专题.doc

Sniffer proSniffer 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer的用处主要是分析网络的流量，以便找出所关心的网络中的潜在的问题。例如，假设网络的某一段运行得不是很好，报文发送的比较慢，但又不知道问题出在什么地方，此时就可以用嗅探器来作出精确的问题判断。系统管理员通过Sniffe可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通信，有些甚至牵涉到各种协议，借助于Sniffe，系统管理员可以方便的确定出多少通信量属于哪个网络协议、占主要通信协议的主机是哪一台、大多数通信目的地是哪台主机等。Sniffer-pro的功能简介下面列出了Sniffer软件的一些功能介绍。 捕获网络流量进行详细分析。 利用专家分析系统诊断问题。 实时监控网络活动。 收集网络利用率和错误等。 提供在位和字节水平过滤数据包的能力。Sniffer-pro的配置与使用 要使Sniffer-pro成为超级网络嗅探器，安装的位置至关重要，必须将它安装在网络中的合适位置，才能捕获到内外部网络间传输的数据。一般来说，Sniffer-pro应该安装在内部网络和外部网络通信的中间位置，如代理服务器上。当然，也可以安装在局域网的某一台计算机上，不过效果可能不是很好。另外一点，安装Sniffer-pro的电脑内存要足够大。配置网络适配器在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。（1） 打开File-select settings，在弹出的对话框中选择合适的网络适配器。（2） 单击NEW,可以添加网络适配器。NEW对话框中的选项功能如下： Description：为网卡设置名称。 Network：列出了本地计算机上的所有网卡。 Netpod Configuration：为了使以太网可以以全双工模式工作，在Netpod Type下拉列表中可以选“Full Duplex Pod”,在Netpod IP中输入系统网络适配器的IP地址再加1。 仪表盘的使用默认情况下sniffer pro的主界面，在默认窗口中会显示Dashboard（仪表盘）窗口，共显示三个仪表盘：“Utilization%”，“Packets/s”，“Errors/s”，这三个仪表盘分别用来显示网络利用率、传输的数据和错误统计。如图所示： Utilization%（利用百分比）：用传输量与端口能处理的最大带宽值的比值，来表示线路使用带宽的百分比。表盘的红色区域表示警戒值，表盘下方有2个数字，第一个数字表示当前利用率百分比，第二个是最大的利用率百分比数值。网络利用率和网络的拓扑结构关系很大。在以太网端口，利用率为40%已经算高了，但在全双工可转换端口，80%的利用率才算高效。 Packets/s（每秒传输的数据包）：显示当前数据包的传输速度。同样，红色区域表示警戒值，下方的数字表示当前的数据包传输速度和峰值。根据数据包速率，可以得出一些重要信息。例如：如果网络利用率很高，而数据包传输速度相对较低，则说明网络上的帧比较大。 Errors/s（每秒产生的错误）：该表盘可显示当前出错率和最大出错率。在仪表盘窗口下方可以单击“detail”以表格形式显示数据，如下图。在仪表窗口下方有“Network（网络）”、“Detail Errors（错误描述）”、“Size Distribution（粒度分布）”，如下图所示。在“Network”列表中的选项如下： Packets（数据包）：网络中传输的数据包总数。 Drops（遗失）：遗失的数据包数目。（系统性能问题或网络高峰期都会遗失数据包）。 Broadcasts（广播）：广播帧数目。 Multicasts（组播）：组播帧的数目。 Bytes（字节）：总字节数。在“Detail Errors”列表中包括CRC，数据包过短，溢出，数据包碎片，数据包过长，校准错误和网络冲突。（数据包碎片是大小低于标准64K）。“Size Distribution”列表中显示了网络中各种规模数据包。通过仪表盘上的“Set Thresholds（设定阈值）”可以修改默认的阈值，修改后仪表盘红色区域会发生变化。超过阈值的信息都会记录到Alarm Log中。阈值修改如下表所示。报文捕获解析1.捕获面板2.单击“开始”按钮，或选择“Capture”菜单下的“Start”选项，弹出“expert”对话框，可以捕获局域网与外部网络连接的数据。3.单击最右侧的“Object”选项卡，会显示出当前监视的网卡的详细信息。4.当缓冲器中积累了一定的流量以后，可以停止并查看所捕获的数据。单击工具栏上的“停止”按钮，选择“Capture”下的“Display”选项，并在最下面切换到“Decode”选项卡，就可以查看捕获的内容，如下图所示。在最上面窗格中显示了捕获的帧，以及捕获的顺序“Source Address”，“Dest Address”，“Summary”和时间等信息。此时可以选中需要的帧左侧的复选框，然后就可以保存为新的捕获文件。中间的窗格部分显示所选择的协议的详细资料。最下方的窗口最下方为“HEX窗格”，里面的信息是十六进制代码的信息集合，是处于传输状态的原始ACSII格式的数据。监控网络的几种模式Sniffer pro 不仅可以使用仪表监控网络，还可以用其它方式对网络进行监控。下面简单介绍其它监控模式。1.单击“”图标，在打开的“Host Table”对话框中将分别显示当前网络上的各个主机的流量信息。各项意思如下： In Pkts：网络上发送到此主机的数据包。 Out Pkts：此主机发生到网络上的数据包。 In Bytes：网络上发送到此主机的字节数。 Out Bytes：此主机发送到网络上的字节数。2.单击上图左边的“”图标，可以以柱形图直观的看当前网络上最活跃的10台主机。如下图所示。同样单击“”图标，可以以饼状图查看。3.单击“”图标，调出“Matrix”对话框，可以清楚的看到当前网络的互联情况。当网络中的联接过多时，就很难看清两台主机之间相互连接，这时选中要查看的主机右击，在弹出的快捷菜单中选中“show select nodes”，这样就只显示只与所选节点相连的连接。4.单击“”图标，显示的是整个网络中的协议分布情况，如下图所示。5.单击工具栏上“”图标，弹出服务器响应时间对话框，如图所示，该列表显示了局域网内的通信及其响应速度列表，并将本地网的计算机名以NetBIOS名的形式解析出来。6.单击左侧的“”图标，显示“服务器 客户响应时间”柱状图，如下图所示。7.单击工具栏上的“”图标，弹出协议分布窗口，如图所示。在此窗口中可以通过下方的“MAC”、“IP”、“IPX”选项卡查看网络中各种网络协议的分布状况。8. 单击工具栏上的“”图标，弹出“Global Statistics（全局统计表）”窗口，如图所示。在“Size Distribution”选项卡中可以查看当前网络上数据包的大小比例分配；在“Utilization Dist”选项卡可以查看当前网络的利用率。设置数据过滤包在默认情况下，Sniffer Pro会接收网络中所有传输的数据包，但我们在分析网络故障的时候并不需要接收所有的，这就需要过滤，只接收与分析问题相关的数据。下面介绍过滤的相关设置：1.在菜单栏选择“Capture”下的“Define Filer”选项，打开“Address”选项卡，如图所示。在“Address”下拉列表中选择“IP”选项（这样在下面Station表中条件才可以输入IP地址），在“Mode”选项中“Include”表示包含，如果选“Exclude”表示捕获除此之外所有的数据包。在Station列表中的一栏中填入要过滤的IP地址，另一栏设置“ANY”，表