网络管理实验报告五

1、网络管理课程实验报告五实验题目网络诊断分析一、实验时间2016年 5月 19日周4下午89节前奏：网络每天都可能发生各种各样的问题，例如网络性能降低、数据传输不稳定等问题。甚至出现网络故障，严重影响网络的正常使用。因此，网络管理员应该掌握各种网络诊断分析工具。二、实验目的：1.掌握网络诊断的基本方法。2.熟练操作1到2种网络诊断分析工具。三、实验内容超级网络嗅探器Sniffer Pro软件介绍：Sniffer主要用来分析网络流量，在众多流量中分析所关心的内容。例如通过使用Sniffer可以判断网络中某台主机使用网络的情况，包括所使用的网络协议、数据流量大小、与哪台计算机相连接等信息。另外，当网

2、络发生故障时，可以用Sniffer对问题做出精确的判断，从而提高管理员的工作效率。Sniffer的主要功能：l 捕获网络流量进行详细分析l 利用专家分析系统诊断问题l 实时监控网络活动情况l 监控单个工作站、会话或网络中任何一部分的详细的网络利用情况和错误统计l 支持主要的LAN、WAN和网络技术（包括高速与超高速以太网、令牌网、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM）l 提供在位和字节水平过滤数据包的能力。四、实验原理Sniffer软件是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种

3、模式，它就能接收传输在网络上的每一个信息包。使用这种便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。对于在现场迚行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情况下，网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包，所

4、以，为了绕过标准的TCP/IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能嗅探到root的密码，因此不能运行Sniffer。 五、实验步骤、过程和结果步骤1：Sniffer的安装Sniffer通常安装在内部网络和外部网络之间（如代理服务器），也可安装在局域网内任何一台计算机上，但此时只能对局域网内部通信进行分析。如果使用交换机或路由器方式接入Internet，可以在网络设备上配置端口镜像，并将网络设备的出

5、口设置为目的端口，然后将安装Sniffer的计算机连接到该端口，即可对整个网络的监控。 步骤2：sniffer界面与配置网络适配器启动Sniffer，选择要监控的网卡。为了使Sniffer能够监控多个不同的网络，可以设置多个代理。选择New。主界面仪表板 主机列表 协议列表 流量列表 网络连接 配置步骤3：Sniffer的监控功能可以查看当前网络中的数据传输情况。l Dashboard（仪表）：主窗口中，“Monitor”“Dashboard”。显示有三个盘：（1）Utilization%（利用百分比）：使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。利用率达到40%就已经相当

6、高了。（2）Packets/s（每秒传输的数据包）：显示网络中当前数据包的传输速率。如果网络利用率高，但速率低，说明网络上的帧比较大。（3）Error/s（每秒错误率）：显示当前网络中的出错率。-每个仪表盘下方都会显示两个数值，前一个数值表示当前值，后一个数值表示最大值。-如果想查看详细的传输数据，可单击仪表盘下方“Detail”（详细）按钮。如图所示。l Host Table（主机列表）：列表形式显示当前网络上计算机的流量信息。选择“Monitor”“Host Table”选项，如图。（1） Hw Addr（硬件地址）：以MAC地址形式显示计算机。（2） In Pkts（传入数据包）：网络上

7、发送到此主机的数据包。（3） Out Pkts（传出数据包）：本地主机发送到网络上的数据包（4） In Bytes（传入字节数）：网络上发送到此主机的字节数（5） Out Bytes（传出字节数）：本地主机发送到网络上的字节数-提示：通过主机列表功能，可以查看某台计算机所传输的数据量。如果发现某台计算机在某个时间段内发送或接收了大量的数据，例如某个用户一天内就传输了数GB的数据，则说明该用户很可能在使用BT、PPLive等P2P软件。l Matrix（矩阵）Sniffer最常用功能之一，选择“Monitor”“Matrix”。显示了当前所捕获的网络中各计算机的连接情况。单击窗口下方的”IP”标

8、签，可以以IP地址方式显示各主机。在窗口空白处单击鼠标右键，在快捷键中选择“Zoom”选项，可以放大显示比例。右键单击要查看的主机IP地址，快捷键中选择“Show Select Nodes”，可以查看与那些地址连接，鼠标放在线上，可以查看流量。提示：通过Matrix功能，管理员可以发现网络中使用BT等P2P软件或中了蠕虫病毒的用户。如果某个用户的并发连接数特别多，并且不断地向其他计算机发送数据，这就说明该计算机可能中了蠕虫病毒。此时，网络管理员应及时封掉该计算机所连接的交换机端口，并对该计算机查杀病毒。l ART（Application Response Time，应用响应时间）Sniffer

9、的ART主要用来显示网络中Web网站的连接情况，可以看到局域网中哪些计算机正在上网，浏览的是哪些网站。l Protocol Distribution（协议分类）选择“Monitor”“Protocol Distribution”，以不同颜色的柱形显示网络中不同协议使用情况。l History Sample（历史采样）Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。选择“Monitor”“History Samples”，双击“Packets/s”。Sniffer开始记录每秒所发送的数据包数量，并且每隔15秒便记录一次，以柱形方式显示。也可以保存记录结果。l Global

10、Statistics（球状统计）Sniffer的球状统计功能用来显示不同大小数据包的使用情况。选择“Monitor”“Global Statistics”。步骤4：创建过滤器默认情况下，Sniffer会监控网络中所有传输的数据包，但在分析网络协议、查找网络故障时，有许多数据包并不是管理员所关心的。Sniffer提供了过滤器，过滤规则包括第二层，第三层地址的定义和几百种协议的定义。（1）过滤IP地址创建一个过滤器，只捕获IP地址段位01到10范围内传输的数据。选择“Capture”“Define Filer”，在“Settings For”列表中显

11、示过滤器名，该过滤器对所有经过网卡的数据全部捕获。单击“Profiles”，选择“New”，输入新过滤器名称。“Done”完成。在“Settings For”列表框中，选择新建的过滤器，分别在station1和station2中输入起止IP地址。点击“确定”完成过滤器创建。（2）过滤端口Sniffer4.8/4.9中增加了端口过滤功能，可以让Sniffer只捕获特定端口内传输的数据，可以使固定的一个或几个端口，也可以使一个端口范围。（3）过滤网络协议创建一个过滤器，只捕获网络中使用FTP协议传输的数据，来查看有多少人在通过FTP下载文件。创建一个新过滤器，名FTP。选择FTP过滤器，切换到“A

12、dvanced”，依次展开“Available”“Protocols”“IP”“TCP”,选中“FTP”复选框。 （4）设置缓冲器缓冲器用来临时保存Sniffer捕获的数据，它占用内存。当缓冲器满了后，Sniffer就停止捕获，而缓冲器中的数据在重新捕获或关闭Sniffer时自动保存。4.7默认大小为8MB。4.9的为64MB可以调整缓冲器大小和保存路径。（5）过滤器的使用“Capture”“Select Filter”，选择我们要选择的过滤器。步骤5：Sniffer的使用（1）捕获数据 通过Sniffer进行网络和协议分析，首先捕获网络中的数据。l “capture”“start”，显示“E

13、xpert”窗口，开始捕获。l 如要查看当前捕获的各种数据，单击对话框左侧的“Service”、“Connection”等选项，在右侧即可以显示相应数据的概要信息。单击“Objects”，可以显示当前监视对象的详细信息。l 当捕获到一定的数据，可以停止捕获进行分析。“capture”“stop”。 （2）查看分析捕获的数据“capture”“display”，查看所有捕获的内容。选择下方的“Decode（解码）”，窗口分成三部分：总结、详细资料和Hex窗格的内容，可以查看所捕获的每个帧的详细信息。所捕获的数据的各部分的含义如下：l DLC：在DLC区域中显示了捕获的帧的来源信息，包括Sourc

14、e Addess（源地址）、Dest Address（目标地址）、帧大小（以字节记）及Ethertype（以太类型）。这里以太型值为0800，表示IPv4协议。上面的地址显示的是网卡的MAC地址。l IP：如果捕获HTTP，则IP区域中显示了IP文件头的详细信息。各项内容含义如下： -Version（版本）：版本号为4，代表IPv4 -Header length（服务类型值）：该值为00，会看到Tos下面一直到总长的部分都是0.这里可以提供服务质量（QoS）信息。每个二进制位的意义都不同，这取决于最初的设定，例如，正常延迟设定为0，低延迟则为1-Total length（总长度）：显示该数据包

15、的总长度。-Identification：该数值是文件头的标识部分，当数据包被划分成几段传送时，发送数据的主机可以用这个数值来重新组装数据。-Flag（标记）：数据报的“标记”功能，0表示分段，1表示未分段。-Fragment offset（分段差距）：分段差距为0个字节。可以设定0代表最后一段，或设定1代表更多区段属于数据包的哪个部分。-Time to live（保存时间）：TTL值的大小，说明一个数据包可以保存多久。-Protocol（协议）：显示协议值，在Sniffer中代表TCP协议。文件头的协议部分只说明要使用的下一个上层协议是什么，在这里是TCP。-Header checksum（

16、校验和）：这里显示校验和的值，并且已经做了标记，表明这个数值正确。-Source address（源地址）：数据的来源地址。-Destination（目标地址）：数据访问的目的地址。-UDP：IP文件头，下面是TCP或UDP文件头，这里为UDP文件头，包括： 。Source port（源端口）：显示了使用的UDP协议的源端口。 。Destinations（目的端口）：显示UDP协议的目的端口。 。Length（长度）：表示IP文件头的长度。 。Checksum：显示了UDP协议的校验和。 。Byeps of date：表示有多少个字节的数据。-ARP： 。Hardware type（硬件类型）

17、：这是一个16个比特字段，用来定义运行ARP的网络的类型。以太网是类型1，ARP可使用在任何网络上。 。Protocol type：16比特字段，用来定义协议类型。对IPv4来说，值为0800。ARP可用于任何高层协议。 。Length of Protocol address（协议长度）：8比特，定义以字节为单位的逻辑地址长度。IPv4协议的这个值是4。 。Opcode（操作）：16字节的字段，定义分组类型。ARP请求第1步，ARP回答第2步。 。Senders Hardware address（发送站硬件地址）：可变长字段。以太网这个值为6字节长。 。Senders Protocol add

18、ress（发送站协议地址）：可变长字段，定义发送站的逻辑（如，IP）地址的长度。对于IP协议来说是4字节。 。Target Hardware address：目标站的物理地址。 。Target Protocol address：4字节。 -ICMP：Internet控制报文协议，允许报告20种以上不同的网络状况。首先要创建一个新的ICMP过滤器，即在“Advanced”中选中IP列表中的ICMP。 。Type=8（Echo）：ICMP Echo有两种类型，8为请求，0为响应。 。Coad：不常用，常设为0 。Checksum：ICMP是使用自己的校验和确保数据在传输过程中没有中断。 。Iden

19、tifier与Sequence number：这些数字由发送方式生成，用来将响应与请求匹配在一起。 -Hex：“Decode”窗口最下方为“Hex窗格”，这里显示的内容最直观，但也难以理解。16进制。在这个窗格中，看到的就是出于传输状态的原始ASCII格式的数据。 -Matrix：Sniffer矩阵功能直观地显示网络中各计算机之间的连接。但这里显示的是固定数据，即曾经捕获的数据，而在监视器中的Matrix是不断变化的。 -Host Table：显示出在捕获过程中各计算机所传输的数据，可根据所传输数据多少按顺序排列。例如，发现某段时间有计算机传输数据特别多，在Matrix中显示大量并发连接，结论

20、：可能在P2P下载。为了避免该用户过多占用带宽，管理员可终止该进程。（3）保存数据 捕获后，为便于日后再次进行分析和比较，要保存下来。Filesave。步骤6：检查网络中使用QQ的用户（1）创建过滤器，如QQ （2）切换到“Port”选项卡，在“Port2”中输入8000，Port1中为空，单击“Dir.”下拉列表中选择选项，即只捕获连接到8000端口的计算机。完成过滤器的创建。 （3）主窗口中，“Start”即可使用该过滤器捕获网络中的数据。打开“Matrix”查看当前活动链接，在左侧显示的就是本地局域网中的计算机地址，说明这些计算机在使用QQ。 （4）可能一台主机由多个连接，说明同时运行多个QQ，可以查看到本地端口默认为4000端口，当多个QQ时，则可以使用4001、4002。 提示：如果QQ使用了UDP协议登陆，则使用4000、4001等端口。可以使用初始端口范围来捕获，如果采用TCP登陆，会使用随机端口，无法捕获。QQ也可能使用SOCKS