谈用Sniffer监控网络流量

1、网络嗅探探：用SSniffferr监控网网络流量量出处：硅硅谷动力力 作者：bannkerr 时间间：20007-09-28 10:28 随着着互联网网多层次次性、多多样性的的发展，网吧已已由过去去即时通通信、浏浏览网页页、电子子邮件等等简单的的应用，扩展成成为运行行大量在在线游戏戏、在线线视频音音频、互互动教学学、P22P等技技术应用用。应用用特点也也呈现出出多样性性和复杂杂性，因因此，这这些应用用对我们们的网络络服务质质量要求求更为严严格和苛苛刻。 目目前，大大多数网网吧的网网络设备备不具备备高端网网络设备备的智能能性、交交互性等等扩展性性能，当当网吧出出现掉线线、网络络卡、遭遭受内部部病

2、毒攻攻击、流流量超限限等情况况时，很很多网络络管理员员显的心心有于而而力不足足。毕竟竟，靠网网络管理理员的经经验和一一些简单单传统的的排查方方法：无无论从时时间上面面还是准准确性上上面都存存在很大大的误差差，同时时也影响响了工作作效率和和正常业业务的运运行。 Snnifffer Proo 著名名网络协协议分析析软件。本文利利用其强强大的流流量图文文系统HHostt Taablee来实时时监控网网络流量量。在监监控软件件上，我我们选择择了较为为常用的的NAII公司的的sniiffeer ppro，事实上上，很多多网吧管管理员都都有过相相关监控控网络经经验：在在网络出出现问题题、或者者探查网网络情

3、况况时，使用用P2PP终结者者、网络络执法官官等网络络监控软软件。这这样的软软件有一一个很大大优点：不要配配置端口口镜像就就可以进进行流量量查询（其实ssniffferr prro也可可以变通通的工作作在这样样的环境境下）。这种看看起来很很快捷的的方法，仍然存存在很多多弊端：由于其其工作原原理利用用ARPP地址表表，对地地址表进进行欺骗骗，因此此可能会会衍生出出很多节节外生枝枝的问题题，如掉掉线、网网络变慢慢、ARRP广播播巨增等等。这对对于要求求正常的的网络来来说，是是不可思思议的。 在这里里，我们们将通过过软件解解决方案案来完成成以往只只有通过过更换高高级设备备才能解解决的网网络解决决方案

4、，这对于于很多管管理员来来说，将将是个梦梦寐以求求的时刻刻。 硬硬件环境境（网吧吧）： 1100MM网络环环境下，92台台终端数数量，主主交换采采用D-LINNK（友友讯）DDES-32226S二二层交换换机(支支持端口口镜像功功能)，级联普普通傻瓜瓜型交换换机。光光纤100M接入入，华为为26220做为为接入网网关。 软软件环境境： 操作作系统WWinddowss20003 SServver企企业标准准版（SSniffferr Prro4.6及以以上版本本均支持持Winndowws20000 Winndowws-xxp WWinddowss20003）、NAII协议分分析软件件-Snniff

5、fer Porrtabble 4.775（本本文选用用网络上上较容易易下载到到的版本本做为测测试） 环环境要求求： 1、如果需需要监控控全网流流量，安安装有SSniffferr Poortaablee 4.7.55(以下下简称SSniffferr Prro)的的终端计计算机，网卡接接入端需需要位于于主交换换镜像端端口位置置。（监监控所有有流经此此网卡的的数据） 2、SSnfffierr prro 4475仅仅支持110M、1000M、110/1100MM网卡，对于千千M网卡卡，请安安装SPP5补丁丁，或44.8及及更高的的版本 网网络拓扑扑： 图 监监控目的的：通过过Sniiffeer PPr

6、o实实时监控控，及时时发现网网络环境境中的故故障（例例如病毒毒、攻击击、流量量超限等等非正常常行为）。对于于很多企企业、网网吧网络络环境中中，网关关（路由由、代理理等）自自身不具具备流量量监控、查询功功能，本本文将是是一个很很好的解解决方案案。Snnifffer Proo强大的的实用功功能还包包括：网网内任意意终端流流量实时时查询、网内终终端与终终端之间间流量实时时查询、终端流流量TOOP排行行、异常常告警等等。同时时，我们们将数据据包捕获获后，通通过Snnifffer PPro的的专家分分析系统统帮助我我们更进进一步分分析数据据包，以以助更好好的分析析、解决决网络异异常问题题。 步骤骤一：配

7、配置交换换机端口口镜像（Mirrrorringg Coonfiigurratiionss） 以以DESS-32226SS二层交交换机为为例，我我们来通通过WEEB方式式配置端端口镜像像（也可可用CLLI命令令行模式式配置）。如果果您的设设备不支支持WEEB方式式配置，请参考考相关用用户手册册。 1.DESS-32226SS默认登登陆IPP为：110.990.990.990 因因此，需需要您配配置本机机IP为为相同网网段才可可通过浏浏览器访访问WEEB界面面。 如图图（1）所示： 图11 2.使使用鼠标标点击上上方红色色字体：“Looginn”,如如果您是是第一次次配置，输入默默认用户户名称、密

8、码:admmin 自动登登陆管理理主界面面。 3.如图（2）所所示，主主界面上上方以图图形方式式模拟交交换机界界面，其其中绿色色灯亮起起表示此此端口正正在使用用。下方方文字列列出交换换机的一一些基本本信息。 图22 4.如如图（33）：鼠鼠标点击击左下方方菜单中中的addvanncedd seetupp-MMirrroriing Connfigguraatioons （高级级配置镜像配配置） 图33 5.将将Mirrrorr Sttatuus 选选择为EEnabble（默认为为关闭状状态，开开启），本例中中将Poort-1端口口设置为为监听端端口:TTargget Porrt=PPortt-1

9、，其余端端口选择择为Booth，既：监监听双向向数据（Rx接接收 TTx发送送），选选择完毕毕后，点点击Appplyy应用设设置。 此此时所有有的端口口数据都都将复制制一份到到Porrt-11。（如如图4） 图44 接下来来，我们们就可以以在Poort-1端口口，接入入计算机机并安装装配置SSniffferr Prro。 步骤骤二：SSniffferr Prro 安安装、启启动、配配置Snnifffer Proo 安装装过程与与其它应应用软件件没有什什么太大大的区别别，在安安装过程程中需要要注意的的是： Sniiffeer PPro 安装大大约占用用70MM左右的的硬盘空空间。 安装完完毕Sn

10、iffferr Prro后，会自动动在网卡卡上加载载Sniiffeer PPro 特殊的的驱动程程序（如如图5）。 安安装的最最后将提提示填入入相关信信息及序序列号，正确填填写完毕毕，安装装程序需需要重新新启动计计算机。 对于于英文不不好的管管理员可可以下载载网上的的汉化补补丁。 图55 我们来来启动SSniffferr Prro。第第一次启启动Snnifffer Proo时,需需要选择择程序从从那一个个网络适适配器接接收数据据，我们们指定位位于端口口镜像所所在位置置的网卡卡。 具体体位于：Fille-Sellectt Seettiingss-NNew 名名称自定定义、选选择所在在网卡下下拉菜

11、单单，点击击确定即即可。(如图66) 图66 这样我我们就进进入了SSniffferr Prro的主主界面。 步骤三三：新手手上路，查询网网关流量量 下下面以图图文的方方式介绍绍，如何何查询网网关（路路由、代代理：2219.*.2238.65）流量，这这也是最最为常用用、重要要的查询询之一。 1 扫描IIP-MMAC对对应关系系。这样样做是为为了在查查询流量量时，方方便判断断具体流流量终端端的位置置，MAAC地址址不如IIP地址址方便。 选择菜菜单栏中中Toools-Adddreess Boook 点点击左边边的放大大镜（aautoodisscovveryy 扫描描）在弹弹出的窗窗口中输输入您

12、所所要扫描描的IPP地址段段，本例例输入：2199.*.2388.644-2119.*.2338.1159点点击OKK，系统统会自动动扫描IIP-MMAC对对应关系系。扫描描完毕后后，点击击DattaBaase-Saave Adddresss BBookk 系统统会自动动保存对对应关系系，以备备以后使使用。(如图77) 图77 2.查查看网关关流量。点点击Moonittor-Hoost Tabble，选择HHostt taablee界面左左下角的的MACC-IPP-IPPX中的的MACC。（为为什么选选择MAAC？在在网络中中，所有有终端的的对外数数据，例例如使用用QQ、浏览网网站、上上传、下

13、下载等行行为，都都是各终终端与网网关在数数据链路路层中进进行的）(如图图8) 图88 3.找找到网关关的IPP地址-选择择sinnglee sttatiion-baar (本例中中网关IIP为2219.*.2238.65) 图99 如图(9)所所示： 2219.*.2238.65（网关）流量TOOP-110 此此图为实实时流量量图。在在此之前前如果我我们没有有做扫描描IP（Adddresss BBookk）的工工作，右右边将会会以网卡卡物理地地址-MMAC地地址的方方式显示示，现在在转换为为IP地地址形式式（或计计算机名名），现现在很容容易定位位终端所所在位置置。流量量以3DD柱形图图的方式式

14、动态显显示，其其中最左左边绿色色柱形图图与网关关流量最大大，其它它依次减减小。本本图中2219.*.2238.93与与网关流流量最大大，且与与其它终终端流量量差距悬悬殊，如如果这个个时候网网络出现现问题，可以重重点检查查此IPP是否有有大流量量相关的的操作。 如果要要查看2119.*.2338.665（网网关）与与内部所所有流量量通信图图，我们们可以点点击左边边菜单中中，排列列第一位位的-MAPP按钮 如如图(110)所所示,网网关与内内网间的的所有流流量都在在这里动动态的显显示。 图110 需要要注意的的是： 绿绿色线条条状态为为：正在在通讯中中 暗蓝色色线条状状态为：通信中中断 线条条的粗

15、细细与流量量的大小小成正比比 如果将将鼠标移移动至线线条处,程序显显示出流流量双方方位置、通讯流流量的大大小（包包括接收收、发送送）、并并自动计计算流量量占当前前网络的的百分比比。 其它它主要功功能： PPIE：饼图的的方式显显示TOOP 110的流流量占用用百分比比。 Deetaiil：将将Prootoccol(协议类类型)、Froom HHostt（原主主机）、in/outt paackeets/byttes(接收、发送字字节数、包数)等字段段信息以以二维表表格的方方式显示示。 第四四步：基基于IPP层流量量 11.为了了进一步步分析2219.*.2238.93的的异常情情况，我我们切换换

16、至基于于IP层层的流量量统计图图中看看看。 点击击菜单栏栏中的MMoniitorr-HHostt Taablee，选择择Hosst TTablle界面面左下角角的MAAC-IIP-IIPX中中的IPP。 2.找到IIP：2219.*.2238.93地地址（可可以用鼠鼠标点击击IP Adddr排序序，以方方便查找找）-选择ssinggle staatioon-barr （如如图111所示） 图111 3.我们切切换至TTraffficc Maap来看看看它与与所有IIP的通通信流量量图。（图122） 图112 我们们可以从从2199.*.2388.933的通信信图中看看到，与与它建立立IP连连接

17、的情情况。图图中IPP连接数数目非常常大，这这对于普普通应用用终端来来讲，显显然不是是一种正正常的业业务连接接。我们们猜测，该终端端可能正正在进行行有关PP2P类类的操作作，比如如正在使使用P22P类软软件进行行BT下下载、或或者正在在观看PP2P类类在线视视频等。 为了进进一步的的证明我我们的猜猜测，我我们去看看看2119.*.2228.993的流流量协议议分布情情况。 44.如图图（133）所示示：Prrotoocoll类型绝绝大部分分为Otthenn.我们们知道在在Sniiffeer PPro中中Othhen表表示未能能识别出出来协议议，如果果提前定定义了协协议类型型，这里里将会直直接显

18、现现出来。 图113 如图图（144）通过过菜单栏栏下的TToolls-Opttionns-Prootoccolss,在第第19栏栏中定义义144405（bittcommet的的默认监监听端口口），取取名为bbitccom。 图114 现在在我们再再次查看看2199.*.2388.933协议分分布情况况.（如如图155） 图115 现在在，协议议类型大大部分都都转换为为bittcomm，这样样我们就就可以断断定，此此终端正正在用bbitccomeet做大大量上传传、下载载行为。 注意：很多PP2P类类软件并并没有固固定的使使用端口口，且端端口也可可以自定定义，因因此使用用本方法法虽然不不失为一一种检测测P2PP流量的好好方法，但并不不能完全全保证其其准确性性。 好了了，使用用Sniiffeer PPro监监控网关关流量，就就到这里里结束了了。实际际上我们们可以用用同样的的方法监监控网络络内的任任何一台台终端。后续，我们将将继续连连载使用用Sniiffeer PPro监监控网络络的其它它新手教教程，例例如：利利用Snnifffer proo做网络络的预警警机