iffer专业培训资料.ppt

SnifferProQuickStart 美国网络联盟 NAI 宋涛 TomSong E mail tsong Mobile议程 NAI公司Sniffer介绍流量生成监控专家系统解码提问与回答 NetworkAssociates Inc 网络安全与可用性的全球领先企业成立于1989年 拥有3600多名员工财富E50成员 在NYSE上市 股票代号NET财富500强中90 是NAI现有用户 VirusScanNetshieldGroupShieldWebShieldePolicyOrchestrator SnifferDistributedSnifferPortableSnifferOpticalSnifferWirelessSnifferVoice HelpDeskZeroAdminClient ZAC RemoteDesktop AVERTLabs 技术合作伙伴 Sniffer中国广大的用户 NetworkVAR 1997BestIntelligentNetworkAnalyzerSnifferNetworkAnalyzer NetworkComputing5 98Well ConnectedAwardSnifferBasic BestProtocolAnalyzer Software InfoWorldProductoftheYear1999InfoWorld9 98 ExcellentRatingSnifferPro98 PCWeekLabs9 98 SnifferProLAN98winsAnalyst sChoiceawardforProtocolAnalyzers 业界的赞誉 50 奖项 事实的工业标准 NetworkMagazine SnifferDSS RMON DistributedAnalyzerWinner Oct 18 2000NetworkMagazine Snifferlistedin TopTenProductsoftheDecade Oct 2 2000NetworkMagazine ProductoftheYear2001 SnifferWirelessNetworkMagazine NetworkMagazine HallofFame SnifferProNetworkMagazine ProductoftheYear2000 SnifferDistributedNetworkMagazine ProductoftheYear1999 SnifferPro98NetworkMagazine ProductoftheYear1998 SnifferTNVNetworkMagazine ProductoftheYear1997 SnifferPro DistributedSniffer SecureComputingMagazine10 99 SnifferPro FiveStars 什么是Sniffer 一个网络故障 性能优化 安全分析的整体系统 可以帮助您发现和解决网络通讯问题 分析和优化网络性能以及规划未来发展监视应用程序生成实时统计捕获功能可以对捕获缓存筛选的帧进行实时Expert分析基本信息功能可以装载复杂的过滤器 易于进行存储和激活设置事后捕获功能翔实的数据帧显示功能可以允许您使用多种视图来深度分析帧流量生成工具允许您生成帧 缓存或发送其它测试数据 什么是Sniffer Sniffer 应用性能管理 深入的协议分析 报表 实时故障诊断 Sniffer的工作原理 Adapter ToolsPacketgenBERTPingTraceRouteDNSLookupFinger NameDiscovery MonitorFilters MonitorApplicationsDashboardARTHostTableMatrixHistorySamplesProtocolDistributionGlobalStatistics CaptureFilters DisplayFilters DisplaysDecodeMatrixHostTableProtocolDistExpert ProbeDirProfilesConfigsAddrBkDatabaseTracesExportedData Trigger Alarms Sniffer专用网卡 以太网帧 数据链路层 格式 总长度64 1518字节 60 1514 4bytesCRC CRC错误而数据段正常 60 1514 则为普通CRC校验错误CRC正确而数据段1514字节 则被称为Oversize错误CRC错误且数据段1514字节被称为Jabber一个数据帧尾没有形成一个完整的Byte时为alignment错误当产生JAM信号 并出现Runt Fragment CRC错误 为collision 系统要求 Windows98 NT或2000SnifferPro软件 NetworkAssociates提供 推荐CPU为Pentium200 64MB内存和200MB剩余磁盘空间 最低为166MHzPentium 32MB内存和35MB剩余磁盘空间 NDIS3 0 驱动的网络接口卡适用于网卡的增强型NAI驱动可以提高网卡性能 并允许对错误帧进行捕获和分析 SnifferPro的类型 便携式笔记本Dolch永久安装桌面分布式Sniffer应用程序在后台运行可以从整个网络的Sniffer代理那里接收信息的控制台 启动SnifferPro 使用最希望的Windows方法打开SNIFFER EXE应用从工具菜单选中 选择网络探测器 适配器 并选择您希望使用的适配器 探测器 适配器必须已经在Windows中配置好 且使用NDIS3 1或高版本的兼容驱动应用自动开始监视所选适配器的通讯当您退出应用时 您的设置将会被存储 这样下次它可以自动开始监视上次所选的适配器 从文件菜单中选择适配器 标题栏将显示激活的探测器 选择适配器 文件菜单选择网络探测器 适配器 N 显示所有在Windows中配置的适配器 菜单与工具栏 打开文件 保存 地址簿 取消打印 Dashboard 主机通讯 应用响应时间 Matrix 历史 协议分布 全局统计 警报 捕获面板 打印 状态栏 监视右下角的实时计数 打印 生成的帧 捕获的帧 警报 Dashboard 网络利用 数据帧 秒 错误 秒 红色显示统计数据的阀值使用Dashboard作为网络状况快速浏览 Dashboard细节 使用这些细节来判断物理层运行状况 广播和多播通信 网络利用以及帧的大小 地址簿 这是一个新的名称表格需要预先配置供应商编码和广播地址SnifferPro可以实时动态了解新名称在捕获时从Expert系统解码显示时注意在探索显示数据时 不会获得DLC地址 构建地址簿 构建硬件地址簿最容易的方法就是通过主机表打开主机表 每隔几分钟运行一次捕获选择工具菜单中地址簿选项或点击地址簿图标 地址簿窗口 自动搜索获得的地址数据库 存储地址簿 自动搜索图标 将数据输出为逗号 制表符或空格隔开的文件 自动搜索 点击地址簿窗口中的自动搜索图标击激活搜索特定名称类型功能输入监视网段的网络地址一系列信息可以告诉您SnifferPro是如何搜索地址的 自动搜索设置 点击你希望搜索的地址设置IP地址范围可以发送一个覆盖一定地址的PING命令 这时DNS会搜索回复地址 在开始前请先配置路由器 以避免出现IP冲突 误报警 窗口显示进程 主机表视图和图标 大纲表细节表柱状图饼图使用这个地址捕获数据帧定义新捕获过滤器暂停屏幕更新刷新主机表数据重新设置主机表将数据输出到文件编辑主机表特性单一工作站视图 Matrix 将鼠标停留在线上以获取通讯量 协议标签 控制 Ctrl 点击选择多个地址 然后按下定义过滤器图标来开始地址过滤捕获 将鼠标停留在地址上放大地址点击右键设置缩放度 历史取样 应用响应时间 MeasuresapplicationprotocolresponsetimebetweenServer Clientinmilliseconds TableView Server ClientResponseTime 协议分配 ProtocolDistribution 柱状图饼图表格数据帧比例字节比例暂停刷新重新设置输出数据 全局统计GlobalStatistics 柱状图或饼图 尺寸或网络利用统计 Exercise1 立即断定当前网段网络利用率找出最高利用率的三种底层协议找出通讯量最大的三台主机找出通讯量最大的一对通讯会话主机建立一个包括数据包 秒 利用率 错误 秒在内的多重历史抽样 捕获面板 CapturePanel 暂停停止停止与浏览浏览 当停止时 设置捕获过滤器过滤器基本信息 捕获细节视图 拒绝的计数表明设置了捕获过滤器 Expert层 应用OSI应用层信息会话OSI会话层信息连接OSI传输层信息工作站OSI网络层信息DLC拓扑相关信息全球网段性能统计路由RIP路由信息子网子网成对显示 Expert摘要视图 层图标 点击获取层细节概要 视图 或对象视图诊断 症状或对象Expert 解码 Matrix 主机表 协议分配或统计视图打印激活 生成与捕获帧以及警报图标 不可见层 全球路由子网 工作站层故障 SnifferExpert常用视图 解码显示 熟悉的三窗口视图 详情见后 基于缓存的Matrix 选择MAC IP或IPX地址 缓存数据中的主机表 选择地址层和显示类型点击 号进行扩展 来浏览工作站运行的应用 格式选择输出数据 协议分配视图 选择层与其它视图 统计视图 使用本视图来获得有关数据的重要统计信息 设置显示过滤器首先包括希望测量的数据 其次包括计算 警报日志 点击右键调出该菜单了解高度显示的警报了解全部警报删除高度显示的警报删除所有输出 保存为CSV文件 点击警报图标或监视器 警报日志 流量生成器 捕获或加载以及显示捕获文件下拉工具菜单 选择流量生成器点击要发送的数据类型 生成缓存器配置 配置发送频率 流量生成器视图 在细节视图中浏览统计数据 右下角的计数器 GraphicViewRightclicktodockorhideeitherwindow SnifferPortableWirelessPDA SnifferProductLine Sniffer TNV NetworkAnalysisSuite SnifferPortableAnalysisSuiteBasicProLANProWANProHighSpeed SnifferDistributedAnalysisSuite SnifferPulse SnifferReporter SnifferWatch EBiz Integration SnifferGate SnifferWireless 802 11b WirelessSuite SnifferVoice EthernetSnifferDistributed WANSnifferDistributed ATM GESnifferDistributed SnifferResourceManager SnifferVoiceDistributed SnifferMobileOption SnifferPDAWirelessOption 802 11b GPRS CDMA2000 andW CDMA UMTS Sniffer的产品组成 广域网硬件 SnifferBook 两种Portable平台 DolchNotebook POS硬件 SnifferBookUltra GigabitSplitter ATM硬件 ATMBook 分布式SnifferAgent DSS RMON SnifferUniversitySCPPIndustryStandardCertification InterconnectionConcepts TroubleshootingMicrosoftWindowsNT Windows2000NetworkAnalysis TroubleshootingTCP IPApplications Concepts TroubleshootingTCP IPNetworkAnalysis TroubleshootingWirelessNetworkAnalysis TroubleshootingATMNetworkAnalysis Troub