超级嗅探狗新手指引

1、作者：笨驴技术主页：目录,超级嗅探狗的下载解压, 安装注意事项o硬盘空间估算o 数据库版本的安装,初次运行超级嗅探狗,配置超级嗅探狗o监听设备配置o如何指定监控电脑,如何部署超级嗅探狗oo 典型网络结构环境o 镜像交换机端 口 镜像的配置o 集线器连接方式1超级嗅探狗的下载解压下载超级嗅探狗用WinRAFm压后有两个文件，如下图:iOilter.安装需知"置七图1.1双击WFilter.exe 进行安装。如果您下载的是超级嗅探狗数据库版本，解压后的安装程序为：WFilter_DB.exe 。2安装注意事项2.1硬盘空间估算在选择安装路径时，应确保所选盘符有足够大的存储空间存放监控数据

2、。超级嗅探狗自身的安装只需要20MW余磁盘空间，不过监控的数据存放所需硬盘容景和监控的电脑台数、监控的天 数成正比，每台电脑每天大约占用 2MB®盘空间。监控数据所需硬盘容景=监控的电脑台数(N) * 2MB * 监控天 数。2.2数据库版本的安装如果您安装的是超级嗅探狗数据库版本，安装之前需要先安 装好相应的数据库。超级嗅探狗数据库版本支持SQL Server和MYSQ函种数据库。详情请参考超级嗅探狗数据库版本安装指 南。3初次运行超级嗅探狗运行桌面上“超级嗅探狗”快捷方式，或者点击“开始”->“所有程序”-> “笨驴技术”-> “运行超级嗅探狗”。如果没有创建快

3、捷方式，可以直接在浏览器地址栏中输入“http:/localhost:9090 ”。打开超级嗅探狗页面后，在用户名栏中输入"admin",在密码栏中输入初始密码"123456",即可完成登陆。如图3.1所示。2QCT叶云阵0招1 ME 心图3.11 .II国QQ2 .21陌Q4基3争己最1 1.% IN*曲职向：冲m 1-1 mg鼻 13)后4廉冬Tiii藏*标丽;/工如果不能成功登陆，一般是防火墙配置有问题。成功登陆后，在"所有在线"页面中应该能显示当前监控到的 电脑，如图3.2所示。，电:焚:嗅株料为 £I Id IC

4、£H<T 1 ExpiDr S1超级嗅探狗3及札尸： 4 jnftan19J21E3 1 106192 169 1 115图3.2超级嗅探狗安装所处的网络位置不正确或者配置不正确会造 成不能正常监控。如果您没有监控到任何电脑，说明您的监听网卡配置可能有问题，请参考监听设备配置。如果您只能监控到自己，请参考 如何部署超级嗅探狗。4配置超级嗅探狗4.1监听设备配置登陆超级嗅探狗后，如果所有在线中没有任何数据，则有两种可能性。1）安装超级嗅探狗后，没有任何的网络访问。您不妨访问一些网站，或者用聊天工具聊几句话，然后点击刷新。2） 监听设备配置不正确。在超级嗅探狗左边的菜单中点击&qu

5、ot;监听配置"，确定当前的监听设备是否是您正在使用的网卡。如图4.1所示。如果您的局域网是通过代理服务器上网的，请把代理服务器的IP地址加到“本地服务器配置”中。3 fEJfiKSFlJ. Z ENimof t Intdiii： I Explore i超级嗅探狗监定配置里&我习通沼隅卡,刖I虹,捷枷式，3鬲笙整就辱整明役曲配置K»?w!UfiEi«2 ifrs.i ice-A«atMPa9ij«rwraaEt v h 921 M.5 N.I »WkM» Vtnuai £ttl«»C A

6、C3pH>W '： - L：" 一 T二门i、 .I 匚！， q 一，1杼-.%“*关muj刊卜牌仲口"模签四.:松工星爽CWl»l图4.14.2如何指定监控电脑在超级嗅探狗左边的菜单栏中，点击"员工电脑名址表"，把 需要监控电脑的"是否监控"选项打勾，如图4.2所示。注意：如果您 启用监控的电脑台数（M）超过您的授权点数 （用，系统只监控最先发现的 N台电脑。超级唳探狗1 U! X席Jt总电mH nWMUMU k 蚓 |兵UG1W配舞«* rveU S3水留户. afdnnin全 _探一逐-真gew

7、 |wtKipjn*cr«ma 11C【车寻'耳兵椅样I址1吊工姓右1钢5ti3E内扒顼小t年1团g幅：心*1*寸Z回1轻166上1151-意*JS& 心 1 100L寸4192168 1.100,W-TN <FHfM *岑£兼I时！匚玮叶'在空12事在中ShUaElKX虹部谖疝服腼刊畏图4.25如何部署超级嗅探狗5.1概述对于1000台以下的网络环境，只要在一台电脑上安装超级嗅 探狗就可以进行全网监控。监控主机上建议不要运行其他占资源 的程序，以免引起丢包。超级嗅探狗采用旁路监控的模式，对被监控电脑的网络通讯 数据进行分析。一般情况下，和交换

8、机或者路由器相连的电脑只 能接收到自己的数据包，所以要实现对其他电脑的监控，物理上 必须可以接收到其他电脑的数据包。HUB（集线器）是通过广播的方式来通讯的，这样就使得 HUB （集线器）上的每个端口都可以接收到其他端口的数据包。为了监控的需要，有些交换机或者路由器提供了端口镜像的功能（又称Port Mirror,Port Span ）,端口镜像可以通过设置 指定一个口为监控口来接收其他端口的通讯数据包。所以，为了确保成功监控，必须满足以下条件：1） 监控主机必须和镜像交换机的监控口或者HUB（集线器） 相连接。2） 其他电脑的上网数据都经过此交换机或者HUB不同的网络结构中超级嗅探狗的部署方

9、案也不同，下面以一个典型的小型网络环境为例作一些初步介绍。更多网络环境及详细介绍请参见 超级嗅探狗安装指南。5.2典型网络结构环境如图5.1所示，局域网内的电脑通过交换机和有线路由器连 接到 Internet 。在这种情况下，需要在网络入口处增加一个 HUB集线器）或 者镜像交换机。再将监控机（安装超级嗅探狗的 电脑）连在HUB（集线器）或镜像交换机上，就可以实现监控。具体选择镜像交换机还是HUB（集线器），需要根据网络的出口带宽来判断。我们建议在出口带宽 小于4MB的情况下可以选择HUB（集线器）， 否则需要用镜像交换机。见级幌探内图5.1在我们的部署用例中列出了一些常见网络的部署案例，为更

10、好的理解如何部署超级嗅探狗， 请参考超级嗅探狗部署用例 5.3镜像交换机端口镜像的配置端口镜像(Port Mirroring )可以让用户将所有的流景复制 到一个镜像端口。监控主机通过和镜像端口连接来获取通讯数据 从而实现监控。镜像交换机的配置如图5.2所示:图5.2如果您只需要监控所有电脑和互联网之间的通讯数据，则把 端口 J设置为目标镜像端口，将端口 A设置为源端口。这样把所 有通过端口 A的数据都镜像到端口 J,超级嗅探狗就可以获取所 有与互联网通讯的数据包，从而达到监控的目的。如果您还需要监控一些本地的服务器，比如本地的邮件服务 器、代理服务器、文件服务器等，假设该服务器连接在端口H,那么您也需要把端口H的数据都镜像到端口 J5.4集线器连接方式HUB（集线器）是最简单的网络连接设备，由于 HUB（集