网络管理与维护实验指导书

1、网络管理与维护实验指导书实验一：IP地址和MAC地址实验目的：掌握IP地址和MAC地址管理过程。熟练操作IP地址的子网划分。实验内容：1、 IP信息查看工具-ipconfig第1步：开始运行输入CMD进入命令行模式。第2步：查看本地TCP/IP基本配置信息。现实本地计算机的IP地址、子网掩码、默认网关信息。 命令行模式下，输入“ipconfig”结果如图1。图1 ipconfig第3步：查看本地TCP/IP详细配置信息。现实的信息有计算机名称、网卡型号、网卡的物理地址、IP地址、子网掩码、默认网关、DNS服务器地址等。命令行模式下输入ipconfig /all图2 ipconfig /all第

2、4步：显示 DNS 客户解析缓存的内容，包括从 local Hosts 文件预装载的记录，以及最近获得的针对由计算机解析的名称查询的资源记录。DNS 客户服务在查询配置的 DNS 服务器之前使用这些信息快速解析被频繁查询的名称。 命令：ipconfig /displaydns图3 ipconfig /displaydns第5步：刷新并重设 DNS 客户解析缓存的内容。在 DNS 故障排除期间，可以使用本过程从缓存中丢弃否定缓存项和任何其他动态添加项。命令：ipconfig /flushdns 然后用/displaydns检查结果。图5 ipconfig /flushdns第6步：如果计算机使用

3、的是DHCPIpconfig /renew更新所有适配器（如果未指定适配器），或特定适配器（如果包含了 Adapter 参数）的 DHCP 配置。该参数仅在具有配置为自动获取 IP 地址的适配器的计算机上可用。ipconfig /release 发送 DHCPRELEASE 消息到 DHCP 服务器，以释放所有适配器（如果未指定适配器）或特定适配器（如果包含了 Adapter 参数）的当前 DHCP 配置并丢弃 IP 地址配置。该参数可以禁用配置为自动获取 IP 地址的适配器的 TCP/IP。请记录并分析以上步骤的结果。2、 子网计算工具的使用网络管理员不单要为网络分配IP地址，而且还应该清楚

4、所使用的网络地址段IP分配是否合理、IP地址的使用情况等。工具的介绍：子网计算工具该工具根据子网内某一个IP地址和子网掩码，可以计算出该子网内可用IP地址，计算出IP地址的二进制数值。使用该工具还可以测试网络内所使用的IP地址的正确性。步骤1：直接运行子网计算工具。步骤2：计算子网内的可用IP地址。在请输入主机IP里输入网络内已知的IP地址。输入要选择掩码位数。对于不同的子网掩码，该IP地址所属的子网也会不同。可以计算出所属子网中可用IP地址。例如，我们输入： 掩码选择27位。计算结果如图所示。步骤3：在局域网中，可能经常会遇到划分子网的情况。该工具可以方便计算出各个子

5、网的可用地址范围。例如，给定网络地址：。期望将其进行子网划分，分给6个单位使用。向主机位借3位生成各个子网的可用IP地址。选择标签“网络IP-各子网IP”。输入网络地址：。子网数量选择86。结果如下图所示：在8个子网中选择6段IP地址分配到6个单位。子网掩码为：24。每个网段可容纳主机数为32。3、MAC地址工具步骤1：ARP(地址转换协议)是TCP/IP协议簇中的一个重要协议，通常用来确定对应IP地址和网卡的物理地址即（MAC地址）、查看本地计算机或另一台计算机的ARP高速缓存中的当前内容，并可以用来将IP地址和MAC

6、地址进行绑定。l 查看IP-MAC对应表在CMD命令窗口中输入：ARP a命令，可以获得已绑定的IP与MAC地址等信息，如图所示。在所显示的对应信息中，static表示该数据是静态的，dynamic表示为动态数据，动态数据在下次启动时会消失。l 绑定IP与MAC地址在局域网中，我们经常会遇到IP地址冲突的问题，造成网络故障。例如，IP地址盗用。为了防止这些问题的发生，可以用ARP命令将IP和MAC地址进行绑定。命令：arp s 06 00-1d-7d-18-0d-97如下图所示。l 删除ARP缓冲表如果想取消IP与MAC地址的绑定，可使用ARP d IP地址命令来删除该

7、静态项目。也可以直接用ARP d删除所有项目。删除后用ARP a显示结果。4、网卡地址及协议列表工具-getmacGetmac命令用于查看计算机中所有网卡的MAC地址，以及每个地址的网络协议列表。它既可以应用于本地计算机，也可以通过网络获取远程主机或与用户计算机的MAC地址等相关信息。步骤1：获取本机的网卡地址及协议名称在CMD命令窗口中输入：getmac。显示结果如图所示。步骤2：在本地计算机上以table格式输出MAC地址的详细信息。命令：getmac /fo table /nh /v 显示结果如图所示。步骤3：在域控制器上，查看局域网内IP地址为8计算机的网卡MAC

8、地址。命令：getmac /s 8步骤4：（选做）查看地址为的远程计算机上的用户（Administrator）的网卡的详细信息。命令：getmac /s /u administrator /p hs!#$12345、MAC扫描器MAC扫描器是一款专门用来获取网卡物理地址的网络管理软件。不仅可以获得本地步骤1：点击新建，输入网段。例如，0步骤2：单击开始按钮，进行扫描。观察扫描结果。步骤3：单击比较按钮，显示每台计算机的上线时间、下线时间及状态信息。步骤4：单击保存按钮，今后可以查

9、看，不需要再次扫描。实验二、IP链路测试实验目的：掌握一些常用的测试软件来判断网络逻辑链路是否畅通。实验内容：1、IP网络连通性测试：PingPing命令式网络中使用频率相当高的命令，在网络不通或传输不稳定时，管理员都会使用ping命令测试网络连通性。Ping命令内置于windows系统的TCP/IP协议中，使用ICMP协议来简单发送一个数据包并请求应答，接收请求的目的主机再次使用ICMP发回同所接收的数据一样的数据。Ping命令可以清楚了解每个数据包的发送和接收的往返时间，并报告无响应数据包的百分比，对网络是否正确连接、网络连接状况（包丢失率）是十分有用的。步骤1：通过IP地址测试与其他计算

10、机的连通性命令：ping 8步骤2：通过计算机名测试与其他计算机的连通性命令：ping ying步骤3：测试与Internet的连通性命令：ping 注意观察time的值。通过此方法可以获取该网站的IP地址。步骤4：查看局域网中一台计算机的计算机名命令：ping a 8显示IP地址为8计算机的名称为：ying步骤5：测试服务器或网络设备的性能命令：ping t 观察：不间断ping该IP地址，说明，与该路由器连接不稳定。Ctrl+C组合键可以手动停止。步骤6：ping命令在网络管理与维护中的应用造成网络性能

11、故障的原因很多，要解决网络连接故障，需逐步排除各个环节。例如，本地网卡、网络协议、本地网络电缆，以及到远程计算机的连接等，这些问题的检测均可使用ping命令来完成。（1）测试是否正确TCP/IP协议命令：ping 测试成功，说明TCP/IP协议正确安装。说明：是本地网卡的默认回环地址，无论网卡中是否分配了IP地址，该地址都会存在，且仅在本地计算机中有效，在网络中无效。（2）测试网卡命令：ping 本地IP地址。测试成功，说明网卡没有问题，如果不成功，说明网卡驱动程序或网卡本身有问题。（3）测试局域网连接命令：ping 网关IP地址。或ping局域网其他主机I

12、P地址。测试成功，说明局域网连接正常。否则，检查TCP/IP配置是否正确、交换机是否正常工作、连接线路是否连通等过程进行排查。（4）测试与远程主机的连接命令：ping 远程主机域名或IP地址。测试成功，说明能够访问Internet。否则，检查DNS设置是否正确，例如，ping DNS的IP地址。步骤7：ping命令其他参数。命令：ping n 5 功能：定义用来测试所发出测试包的个数，默认值为4。命令：ping l 200功能：指定发送的回响请求消息中“数据”字段的长度（字节为单位）。默认32。最大为65527。命令：ping /？功能：列出pi

13、ng命令所有的参数说明。步骤8：常见的出错信息Unknown host：不知名主机，表示该远程主机的名字不能被命名服务器转换成IP地址。故障可能是命名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。Network unreachable：网络不可达，这是本地系统没有到达远程系统的路由，可用netstat rm检查路由表来确定路由配置情况。No answer：无响应，表示远程系统没有响应。说明本地系统有一条到达远程主机的路由，但却收不到发回的任何分组报文。故障原因可能是远程主机没有工作、本地或远程主机网络配置不正确、本地或远程路由器没有工作、通信线路有故障或远

14、程主机存在路由选择问题。Time out：超时，表示与远程主机的链路超时，数据包丢失。故障原因可能是到路由器的连接问题、路由器不能通过，也可能是远程主机已经宕机。2路径信息提示工具pathpingPathping工具提供有关在源和目标之间的中间跃点处，网络滞后和网络丢失的信息。Pathping在一段时间内将多个回响请求消息发送到源和目标之间的各个路由器，然后根据各个路由器返回的数据包计算结果。因为pathping可以表示在任何步骤1：显示连接到远程网关的路径信息。命令：pathping 8步骤2：显示本地计算机和服务器之间的路径信息。命令：pathping n 功能：显

15、示路径信息，然后将显示消息繁忙情况，显示时间随着跃点数的变化而变化。在此期间，会从列出的所有路由器及其链接之间收集相关的信息。3测试路由信息：tracertTracert命令通过跟踪目标主机的方式，确定到达目标主机所需的路径。当网络出现故障时，使用tracert命令可以确定出现故障的具体位置。可以缩小排查范围。命令：tracert 说明：在使用tracert命令检测网络的过程中，很可能会遇到“request time out”的提示信息，出现这种情况，可能是由于当时网络稳定性差，也可能是由于所到达的路由器设置问题。如果连续4次都出现该提示信息，说明遇到的是拒绝tracert命令访问的路由器。4

16、.综合IP链路查询工具IP-ToolsIP-Tools是一款功能非常强大的网络管理软件，该软件可以随时随地向网络管理员报告网络的运行情况。自身集成多种TCP/IP实用工具，如本地信息、连接信息、端口扫描、PING、TRACE、WHOIS、FINGER、NSLOOKUP、Telnet客户端、NETBIOS信息、IP监视器等。步骤1：查看Local Info信息。包括：OS,CPU，Memery：默认显示该列表信息，包括操作系统版本、CPU和内存信息。Winsock：包括本地主机名、IP地址、Winsock版本号和系统状况等。Statistic：包括IP、TCP、UDP和ICMP的统计信息。Net

17、work Interfaces：本地网络连接的详细信息，包括所支持的速度bps和MAC地址等。Modems：如果本地安装了调制解调器，就显示其信息。All information：显示上述所有信息。步骤2：查看本地计算机的TCP/IP连接选择IP-tools窗口下方的”Connections”选项卡，如图所示。查看系统正在使用的端口，端口使用的协议、所连接远程IP地址和远程端口，以及该端口所运行的进行和ID等。在窗口中单击鼠标右键，选择options，切换到connection Monitor选项卡。调整自动刷新速度。若选中Display host name，可现实每个IP地址的主机名，选中D

18、isplay port mames可以显示每个端口名。在Filter区域中可设置是否要显示一些端口，如TCP、UDP等。步骤3：查看NetBIOS信息选中窗口下方NetBIOS选项卡，在From Addr文本框中输入要扫描的IP地址，如果要查看本地计算机则只需输入*。单击start就可以了。随后列出所获得的支持NetBIOS的远程或本地计算机的信息，包括MAC地址、使用的最大会话数和最大会话包的大小等。如图所示。步骤4：搜索网络共享资源在“NB Scanner”标签中可以了解网络内的共享资源的情况，在From Address和To Address中输入起止地址，进行搜索。步骤5：扫描网络中的简

19、单网络管理协议SNMPSNMP是用于管理IP网络管理网络结点（服务器、工作站、路由器和交换机等）的一种标准协议，是一种应用呢层的协议。SNMP能够使网络管理员远程管理网络，发现并及时解决网络问题。通过SNMP接收随即信息（及事件报告）网络管理系统获知网络出现问题。选择“SNMP Scanner”选项卡，输入起止地址。并扫描。步骤6：扫描网络中的计算机名选择“Name Scanner”选项卡，输入起止地址，进行扫描。步骤7：端口扫描安全问题是网络的头等大事，通常情况下，端口是入侵者最容易攻击点。因此，应该时刻监视网络内所开放端口，发现漏洞并及时修复。选择“Port Scanner”，输入起止地址

20、进行扫描。在Option中的Port Scanner中可以选择要扫描的端口范围。步骤8：用户数据报协议UDP扫描UDP协议，主要用来支持需要在计算机之间传输数据的网络应用。本功能可以扫描出开放的UDP端口。选择“UDP Scanner”卡，输入起止地址进行扫描。步骤9：ping选择“Ping Scanner”，输入起止地址进行ping。步骤10：追踪路由在IP-Tools中集成了tracert功能。在属性Option中取消“Stop tracing when a non-responding device is encountered”。单击OK步骤11：查询域账户Finger命令的功能是查询

21、用户的信息，通常会显示系统中某个用户的用户名、主目录、停滞时间、登陆时间等信息。选择“Finger”选项卡，在“【User】Host”输入需要查询的用户名，其格式是“用户名主机域名”，开始查询。步骤12：DNS查询选择“NS Lookup”选项卡，输入域名或IP地址进行查询。步骤13：同步Internet时间选择“Get time”选项卡，输入时间服务器：，开始同步。步骤14：Telnet测试选择“Telnet”选项卡，输入远程主机IP地址和端口号，开始连接。步骤15：HTTP测试选择“HTTP”选项卡，在URL中输入要测试的网址，开始测试。如果连接成功，将会将该网页

22、主页的HTML代码显示在当前窗口。步骤16：监控网络协议IP-Tools可以实时监视本地计算机的TCP、UDP和ICMP协议的接收、发送和错误数据报的数目，选择“IP Monitor”选项卡。即可以图形方式实时显示相关的数据。步骤17：选择“Host Monitor”选项卡。单击“ADD”按钮，显示Properties对话框，添加主机信息。Host：想要监控主机的域名、主机名和IP地址。Comment：该主机的描述。Ping test parameters：设置Interval（时间间隔）、Timeout（超时）、Retries（重试）。Alert reactions：设置警报信息。选中“Ex

23、ecute external program when host changes status from alivetodead”（当主机从活动变为关机时执行下列外部应用程序）。同样操作，可以添加多个主机。显示成红色，表示该主机为关机状态或已断开网络连接。提高：1、网络信息工具：WS_Ping ProPack，给用户提供基本的网络信息，如用户、计算机名和子网掩码（在Internet或局域网）等。2、网络故障诊断工具：Netdiag：是windows2003 support tools中的软件，是一个基于命令行的网络故障原因诊断工具，可以用来测试、验证网络连接。Netdiag通过执行一系列测试来

24、判定网络客户端的状态和功能性，可以显示系统的TCP/IP配置信息、网络适配器类型、绑定的网络协议和网络DNS服务器，甚至可以检测系统中已经安装的SP、HOTFIX信息。另外，管理员还可以通过Netdiag提供的测试结果和网络状态信息。因系统并没有自带Netdiag工具，所以首先需要安装windows server 2003安装盘的SupportToolsSuptools.msi文件。实验三、网络查看和搜索通常情况下，网络中存在很多计算机和共享资源，以及大量的IP地址和开放的端口信息。为了能充分了解并管理这些信息，管理员需要借助相关的网络查看和搜索工具来实现这一目标。1、网络搜索工具：LanSe

25、e步骤1：搜索计算机点击“搜索计算机”可以搜索局域网中所有正常连接网络的客户端，如果网络中的客户端比较多，并且在部署网络时分配了多个工作组，还可以根据工作组来显示。步骤2：点击上方的“工具选项”按钮，点击左边搜索计算机选项，可以进行扫描网段（可以使不同网段）的设置，例如IP地址范围等。步骤3：搜索共享资源、复制共享资源在步骤1中，选择搜索到得计算机，下面将列出该计算机中的共享文件夹，右侧会显示设定类型的共享的文件（工具选项中的搜索共享文件中设置类型）。文件可以直接使用或右键点击选择复制，管理工具栏中点击“复制文件”可以监视正在复制的文件状态。右键点击搜索到得计算机可以打开计算机上共享的资源。步

26、骤3：在搜索工具中还有主机询测，可以按照一定时间间隔对网络中主机进行检测。如果有新的主机接入到网络中，将弹出通知的消息框。列出IP地址、MAC地址和扫描时间等。也可以直接在该软件中进行共享资源的设置。选择要共享的本地文件夹，设置共享的时间，就可以开始共享了，如图所示。步骤4：端口扫描，在网络信息栏中点击“活动端口”。右侧列出本地计算机活动端口的信息，例如，协议、进程、本地地址、远程地址、远程端口等信息。下侧显示一些统计信息。步骤5：测试计算机，网络信息栏中点击“实用工具箱”，在文本框中输入计算机名或IP地址，可对计算机进行计算机名和IP地址相互转换，单击ping、路由跟踪按钮开始执行测试命令。

27、结果会显示在上面的空白处。步骤6：发送消息使用前必须启动Messenger服务，在消息内容文本框中输入要发送的消息内容，选择要发送的对象，点击发送。步骤7：远程管理LanSee提供的远程管理功能包括远程重启核远程关闭两种。在管理工具中点击“远程关机”。导入网络中计算机列表，选择要操作的计算机，点击重启或关机。点击上面的使用说明按钮。其他功能也能使用帮助功能。步骤8：数据包捕获点击嗅探工具栏中“嗅探服务”按钮，选择连接交换机的网卡，自动列出本地主机详细信息。提高：1、局域网超级工具NetSuper：是一款功能强大的网络共享资源扫描工具，可以在局域网中快速扫描计算机上的共享资源。功能如下：l 搜索

28、局域网内的所有活动的计算机，并将显示这些计算机的IP地址、所属的域或工作组，以及计算机的MAC地址。l 搜索指定计算机的某个计算机的共享资源。l 搜索所有计算机的所有共享资源。l 打开某个指定的计算机。l 打开某个指定的共享目录。l 将某个指定的共享目录映射到本地磁盘。l 将搜索到得计算机列表导出到文本文件。l 将搜索到得共享资源列表导出到文本文件。l 搜索SQL Server服务器，将局域网中的所有的活动的SQL Server服务器搜索出来。2、局域网搜索工具LAN Explorer：采用类似资源管理器的界面，操作简单方面。 局域网搜索工具功能如下：l 方便快捷搜索、浏览局域网资源。多线程搜

29、索局域网上所有的工作组、主机、打印机、共享文件。l 可以按照网上邻居、工作组或IP地址段自动搜索所有共享的MP3、电影、或自定义搜索的文件。l 内置Nbtstat，能快速查找某IP网段内的所有主机。并根据IP地址得到对方主机的主机名、工作组名、用户名、MAC地址等信息。并能将扫描结果保存成文本文件或EXCEL文件。l 能对某一地址范围的主机进行ping操作，端口扫描操作，找出所有的WEB服务器，FTP服务器等。l 向网络中的某一主机发送消息。l 局域网及其间拷贝文件时，提供文件和目录的断点续传的功能。3、超级网管SuperLANadmin：是一款极富个性的网络工具，简单易用但功能强大，界面友好

30、、操作方式简单直观、功能强大等特点。 功能如下：l 网络扫描：扫描网络、发送消息、搜索共享、打开共享和远程管理。l 网络管理：上网权限、MAC绑定、IP登记、IP盗用、IP冲突、权限分组和远程控制。l 系统功能：网络流量监测、活动端口查看、端口进程查看、数据包捕获、端口扫描、域名解析和多IP查看。l 系统设置：扫描IP段设置、扫描速度设置和开机设置。4、超级网管大师SuperNetMaster：是一款专业的网络管理、网络监控软件，只需要在局域网内的一台普通计算机上运行即可，不需要安装客户端。该软件采用多线程设计，扫描速度快、操作简单、功能强大，是广大网络管理员的得力工具，适用于企业、学校、工厂

31、、社区和网吧等。需要注意的是，安装前必须先安装WinPcap3.0。实验四 网络诊断分析实验要求：掌握网络诊断的基本方法。熟练操作1到2种网络诊断分析工具。前奏：网络每天都可能发生各种各样的问题，例如网络性能降低、数据传输不稳定等问题。甚至出现网络故障，严重影响网络的正常使用。因此，网络管理员应该掌握各种网络诊断分析工具。实验内容：1、超级网络嗅探器Sniffer Pro软件介绍：Sniffer主要用来分析网络流量，在众多流量中分析所关心的内容。例如通过使用Sniffer可以判断网络中某台主机使用网络的情况，包括所使用的网络协议、数据流量大小、与哪台计算机相连接等信息。另外，当网络发生故障时，

32、可以用Sniffer对问题做出精确的判断，从而提高管理员的工作效率。Sniffer的主要功能：l 捕获网络流量进行详细分析l 利用专家分析系统诊断问题l 实时监控网络活动情况l 监控单个工作站、会话或网络中任何一部分的详细的网络利用情况和错误统计l 支持主要的LAN、WAN和网络技术（包括高速与超高速以太网、令牌网、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM）l 提供在位和字节水平过滤数据包的能力。步骤1：Sniffer的安装Sniffer安装位置的选择，是使用Sniffer的关键。通常情况下，Sniffer应该安装在内部网络和外部网络之间，例如代理服务器。也可以安装

33、在局域网内任何一台计算机上，但此时只能对局域网内部通信进行分析。如果使用交换机或路由器方式接入Internet，可以在网络设备上配置端口镜像，并将网络设备的出口设置为目的端口，然后将安装Sniffer的计算机连接到该端口，即可对整个网络的监控。小知识：端口镜像，在网络中经常用到。是指把交换机的一个端口（或VLAN）的数据镜像到一个或多个端口的方法，简单地说，是把交换机一个（多个）端口（源端口）的流量完全复制一份，从另外一个端口（目的端口）发出去。网络管理人员在目的端口通过软件分析源端口的流量，从而找出网络存在问题的原因。安装方法和通常软件相同。步骤2：配置网络适配器启动Sniffer，选择要监

34、控的网卡。为了使Sniffer能够监控多个不同的网络，可以设置多个代理。选择New。步骤3：Sniffer的监控功能可以查看当前网络中的数据传输情况。Sniffer有七大监控功能：l Dashboard（仪表）主窗口中，“Monitor”“Dashboard”。显示有三个盘：（1）Utilization%（利用百分比） 使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。利用率达到40%就已经相当高了。（2）Packets/s（每秒传输的数据包） 显示网络中当前数据包的传输速率。如果网络利用率高，但速率低，说明网络上的帧比较大。（3）Error/s（每秒错误率） 显示当前网络中的出

35、错率。每个仪表盘下方都会显示两个数值，前一个数值表示当前值，后一个数值表示最大值。如果想查看详细的传输数据，可单击仪表盘下方“Detail”（详细）按钮。如图所示。l Host Table（主机列表）以列表的形式显示当前网络上计算机的流量信息。选择“Monitor”“Host Table”选项，如图所示。（1） Hw Addr（硬件地址）：以MAC地址形式显示计算机。（2） In Pkts（传入数据包）：网络上发送到此主机的数据包。（3） Out Pkts（传出数据包）：本地主机发送到网络上的数据包（4） In Bytes（传入字节数）：网络上发送到此主机的字节数（5） Out Bytes（传

36、出字节数）：本地主机发送到网络上的字节数提示：通过主机列表功能，可以查看某台计算机所传输的数据量。如果发现某台计算机在某个时间段内发送或接收了大量的数据，例如某个用户一天内就传输了数GB的数据，则说明该用户很可能在使用BT、PPLive等P2P软件。l Matrix（矩阵）Sniffer最常用功能之一，选择“Monitor”“Matrix”。显示了当前所捕获的网络中各计算机的连接情况。单击窗口下方的”IP”标签，可以以IP地址方式显示各主机。在窗口空白处单击鼠标右键，在快捷键中选择“Zoom”选项，可以放大显示比例。右键单击要查看的主机IP地址，快捷键中选择“Show Select Nodes

37、”，可以查看与那些地址连接，鼠标放在线上，可以查看流量。提示：通过Matrix功能，管理员可以发现网络中使用BT等P2P软件或中了蠕虫病毒的用户。如果某个用户的并发连接数特别多，并且不断地向其他计算机发送数据，这就说明该计算机可能中了蠕虫病毒。此时，网络管理员应及时封掉该计算机所连接的交换机端口，并对该计算机查杀病毒。l ART（Application Response Time，应用响应时间）Sniffer的ART主要用来显示网络中Web网站的连接情况，可以看到局域网中哪些计算机正在上网，浏览的是哪些网站。l Protocol Distribution（协议分类）选择“Monitor”“Pr

38、otocol Distribution”，以不同颜色的柱形显示网络中不同协议使用情况。l History Sample（历史采样）Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。选择“Monitor”“History Samples”，双击“Packets/s”。Sniffer开始记录每秒所发送的数据包数量，并且每隔15秒便记录一次，以柱形方式显示。也可以保存记录结果。l Global Statistics（球状统计）Sniffer的球状统计功能用来显示不同大小数据包的使用情况。选择“Monitor”“Global Statistics”。步骤4：创建过滤器默认情况下，S

39、niffer会监控网络中所有传输的数据包，但在分析网络协议、查找网络故障时，有许多数据包并不是管理员所关心的。Sniffer提供了过滤器，过滤规则包括第二层，第三层地址的定义和几百种协议的定义。（1）过滤IP地址创建一个过滤器，只捕获IP地址段位01到10范围内传输的数据。选择“Capture”“Define Filer”，在“Settings For”列表中显示过滤器名，该过滤器对所有经过网卡的数据全部捕获。单击“Profiles”，选择“New”，输入新过滤器名称。“Done”完成。在“Settings For”列表框中，选择新建的过滤器，分

40、别在station1和station2中输入起止IP地址。点击“确定”完成过滤器创建。（2）过滤端口Sniffer4.8/4.9中增加了端口过滤功能，可以让Sniffer只捕获特定端口内传输的数据，可以使固定的一个或几个端口，也可以使一个端口范围。（3）过滤网络协议创建一个过滤器，只捕获网络中使用FTP协议传输的数据，来查看有多少人在通过FTP下载文件。创建一个新过滤器，名FTP。选择FTP过滤器，切换到“Advanced”，依次展开“Available”“Protocols”“IP”“TCP”,选中“FTP”复选框。（4）设置缓冲器缓冲器用来临时保存Sniffer捕获的数据，它占用内存。当缓

41、冲器满了后，Sniffer就停止捕获，而缓冲器中的数据在重新捕获或关闭Sniffer时自动保存。4.7默认大小为8MB。4.9的为64MB可以调整缓冲器大小和保存路径。（5）过滤器的使用“Capture”“Select Filter”，选择我们要选择的过滤器。步骤5：Sniffer的使用（1）捕获数据 通过Sniffer进行网络和协议分析，首先捕获网络中的数据。l “capture”“start”，显示“Expert”窗口，开始捕获。l 如要查看当前捕获的各种数据，单击对话框左侧的“Service”、“Connection”等选项，在右侧即可以显示相应数据的概要信息。单击“Objects”，可

42、以显示当前监视对象的详细信息。l 当捕获到一定的数据，可以停止捕获进行分析。“capture”“stop”。（2）查看分析捕获的数据“capture”“display”，查看所有捕获的内容。选择下方的“Decode（解码）”，窗口分成三部分：总结、详细资料和Hex窗格的内容，可以查看所捕获的每个帧的详细信息。所捕获的数据的各部分的含义如下：l DLC：在DLC区域中显示了捕获的帧的来源信息，包括Source Addess（源地址）、Dest Address（目标地址）、帧大小（以字节记）及Ethertype（以太类型）。这里以太型值为0800，表示IPv4协议。上面的地址显示的是网卡的MAC地

43、址。l IP：如果捕获HTTP，则IP区域中显示了IP文件头的详细信息。各项内容含义如下： -Version（版本）：版本号为4，代表IPv4 -Header length（服务类型值）：该值为00，会看到Tos下面一直到总长的部分都是0.这里可以提供服务质量（QoS）信息。每个二进制位的意义都不同，这取决于最初的设定，例如，正常延迟设定为0，低延迟则为1-Total length（总长度）：显示该数据包的总长度。-Identification：该数值是文件头的标识部分，当数据包被划分成几段传送时，发送数据的主机可以用这个数值来重新组装数据。-Flag（标记）：数据报的“标记”功能，0表示分段

44、，1表示未分段。-Fragment offset（分段差距）：分段差距为0个字节。可以设定0代表最后一段，或设定1代表更多区段属于数据包的哪个部分。-Time to live（保存时间）：TTL值的大小，说明一个数据包可以保存多久。-Protocol（协议）：显示协议值，在Sniffer中代表TCP协议。文件头的协议部分只说明要使用的下一个上层协议是什么，在这里是TCP。-Header checksum（校验和）：这里显示校验和的值，并且已经做了标记，表明这个数值是正确的。-Source address（源地址）：数据的来源地址。-Destination（目标地址）：数据访问的目的地址。-UD

45、P：IP文件头，下面是TCP或UDP文件头，这里为UDP文件头，包括： 。Source port（源端口）：显示了使用的UDP协议的源端口。 。Destinations（目的端口）：显示UDP协议的目的端口。 。Length（长度）：表示IP文件头的长度。 。Checksum：显示了UDP协议的校验和。 。Byeps of date：表示有多少个字节的数据。-ARP： 。Hardware type（硬件类型）：这是一个16个比特字段，用来定义运行ARP的网络的类型。以太网是类型1，ARP可使用在任何网络上。 。Protocol type：16比特字段，用来定义协议类型。对IPv4来说，值为08

46、00。ARP可用于任何高层协议。 。Length of Protocol address（协议长度）：8比特，定义以字节为单位的逻辑地址长度。IPv4协议的这个值是4。 。Opcode（操作）：16字节的字段，定义分组的类型。ARP请求第1步，ARP回答第2步。 。Senders Hardware address（发送站硬件地址）：可变长字段。以太网这个值为6字节长。 。Senders Protocol address（发送站协议地址）：可变长字段，定义发送站的逻辑（如，IP）地址的长度。对于IP协议来说是4字节。 。Target Hardware address：目标站的物理地址。 。Tar

47、get Protocol address：4字节。 -ICMP：Internet控制报文协议，允许报告20种以上不同的网络状况。首先要创建一个新的ICMP过滤器，即在“Advanced”中选中IP列表中的ICMP。 。Type=8（Echo）：ICMP Echo有两种类型，8为请求，0为响应。 。Coad：不常用，常设为0 。Checksum：ICMP是使用自己的校验和确保数据在传输过程中没有中断。 。Identifier与Sequence number：这些数字由发送方式生成，用来将响应与请求匹配在一起。 -Hex：“Decode”窗口最下方为“Hex窗格”，这里显示的内容最直观，但也难以理

48、解。16进制。在这个窗格中，看到的就是出于传输状态的原始ASCII格式的数据。 -Matrix：Sniffer矩阵功能直观地显示网络中各计算机之间的连接。但这里显示的是固定数据，即曾经捕获的数据，而在监视器中的Matrix是不断变化的。 -Host Table：显示出在捕获过程中各计算机所传输的数据，可根据所传输数据多少按顺序排列。例如，发现某段时间有计算机传输数据特别多，在Matrix中显示大量并发连接，结论：可能在P2P下载。为了避免该用户过多占用带宽，管理员可终止该进程。（3）保存数据 捕获后，为便于日后再次进行分析和比较，要保存下来。Filesave。步骤6：检查网络中使用QQ的用户（

49、1）创建过滤器，如QQ （2）切换到“Port”选项卡，在“Port2”中输入8000，Port1中为空，单击“Dir.”下拉列表中选择选项，即只捕获连接到8000端口的计算机。完成过滤器的创建。 （3）主窗口中，“Start”即可使用该过滤器捕获网络中的数据。打开“Matrix”查看当前活动链接，在左侧显示的就是本地局域网中的计算机地址，说明这些计算机在使用QQ。 （4）可能一台主机由多个连接，说明同时运行多个QQ，可以查看到本地端口默认为4000端口，当多个QQ时，则可以使用4001、4002。 提示：如果QQ使用了UDP协议登陆，则使用4000、4001等端口。可以使用初始端口范围来捕获

50、，如果采用TCP登陆，会使用随机端口，无法捕获。QQ也可能使用SOCKS或HTTP代理登陆，端口较多不固定，无法再通过端口来捕获网络中的QQ。步骤7：彻底解决IP地址盗用问题 首先使用ARP命令查看相关主机IP对应的MAC地址并记录。例如：对应的MAC地址：00-0c-76-4b-08-03 （1）创建过滤器。来监听被盗用的IP地址上传的数据。 （2）开始捕获数据，一定数据后停止并显示。开始解码所捕获到得数据。此时，在DLC区域的Station字段中，即可看到盗用IP地址的计算机网卡的MAC地址。 （3）查看MAC地址登记表，找到盗用IP的计算机。提高：1、 流量统计分

51、析利器CommView：一款强大的工具，可以用来捕获Internet和局域网中传输的数据，收集网络传输中每个信息包，也可以显示信息包和网络连接列表、关键统计信息、协议分析图等重要信息，并可显示内部及外部IP地址、端口、主机名称、各种数据的数量等重要资料。管理员可以分析各种协议，分析网络性能。CommView的过滤器功能还可以只过滤需要的数据包。上可下载。2、 简易网络诊断分析工具网络窥视者（EtherPeek）：是一个在数据包捕获过程中可以实时进行专业诊断和结构解码的网络协议分析器，可以帮助网络管理员分析和诊断日益加速变化的网络数据群，可以对现今网络面临的众多故障提供精确和最新的分析。3、 网

52、络协议检测工具Ethereal：免费的网络协议检测程序，同时支持UNIX和Windows。使用该工具可以抓取运行的网站的相关资讯，包括每一封包流向及内容、资讯可依操作系统语系看出，方便查看、监控TCP session动态等。但仅仅提供协议分析，不具备Sniffer的一些功能，比如监控、高级分析等。实验五 流量监控与分析实验目的：实验内容：无论网络性能有多么强大，都有可能因为某些用户滥用网络资源，导致网络性能下降，甚至忘了瘫痪。因此，管理员应时刻关注网络中的流量情况，保证用户可以充分、合理地利用网络资源，杜绝用户对网络资源的恶意占用。目前，网络中存在大量的类似于BT、eMule等P2P软件，它们

53、主要用于下载、观看网络电视以及视频点播等。这些软件会造成大量的网络流量，为了保证网络的正常运行，需要清楚了解网络流量，并有针对性地封堵某些端口。实时监测工具：网络执法官网络执法官是一款局域网管理辅助软件，采用网络底层协议，可以穿透客户端防火墙对网络中的主机（指各种计算机、路由器等配有IP的网络设备）进行监控。该软件使用网卡地址MAC识别用户，可靠性高，并且软件占用网络资源少，对网络性能影响很小。主要功能:l 实时记录上线用户并存档备查l 自动侦测未登记主机接入并报警l 检测网内所有代理服务器及路由器l 限定各主机的IP、防止IP盗用l 限定各主机的连接时段l 保护制定IP，禁止普通用户使用步骤

54、1：安装并运行网络执法官，在“扫描范围”文本框中，输入想要扫描的IP地址范围。单击添加/修改。即可将扫描范围添加到监控列表中。如果网络中网段有所改变，要使网络执法官改变所监控的网段时，必须选中原来网段并单击“移除”按钮将其删除，然后添加新的网段。 单击“确定”，开始运行“网络执法官”，显示主窗口如图所示。添加要监控的网段主窗口步骤2：查看网络用户信息右键单击要查看的用户，在快捷菜单中选择“属性”，显示“用户属性”。 在“网卡属性”中，显示了该用户的网卡信息。若要查看该用户的上线记录，可单击“上线记录”按钮，显示“用户上线记录”。 单击“权限设定”按钮，显示“设定用户权限”对话框，可以设置用户的

55、权限，例如，可以指定用户在特定时间允许或禁止与某个IP地址段连接等。 说明：选择“自由用户”，表示不限制该用户与网络的连接。 选择“受限用户”，表示违反以下权限将被管理。 选择“禁止用户”，表示禁止该用户的所有网络连接。l 也可以再“用户属性”中删除用户。步骤3：锁定网络中的计算机如果想让网络中的某台计算机无法连接网络，可以利用网络执法官的锁定功能使该计算机无法上网。这是利用的ARP欺骗功能，使被锁定的计算机无法找到网关的MAC地址，造成网络不通，使该计算机无法连接网络。选择“用户列表”窗口中，右键点击要锁定的计算机，选“锁定/解锁”。 说明：“禁止与以下关键主机组的TCP/IP连接”可以设置该用户与这些关键主机断开连接，但不影响该用户与其他主机的连接。软件提供了8组设置，单击旁边的“设置”按钮进行设定并保存。步骤4：手工管理 在网络执法官中可以使用手工管理功能管理网络中的计算机，如使某用户产生IP冲突或断开连接等，一般用于测试本软件的管理功能。步骤5：绑定IP地址一般情况下，可以使用ARP命令将计算机网卡与IP地址进行绑定，但如果局域网内的计算机特别多，一台