《2022年网络嗅探教程:使用SnifferPro监控网络流量 .pdf》由会员分享,可在线阅读,更多相关《2022年网络嗅探教程:使用SnifferPro监控网络流量 .pdf(11页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络嗅探教程:使用Sniffer Pro 监控网络流量(1) 【51CTO.com 独家特稿】随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。毕竟,靠网络管理员的经验和一些简单传统的排查方法:无论从时间上面还是准确性上面都存在很大的误差,同
2、时也影响了工作效率和正常业务的运行。Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上,我们选择了较为常用的NAI 公司的 sniffer pro,事实上,很多网吧管理员都有过相关监控网络经验:在网络出现问题、 或者探查网络情况时,使用 P2P终结者、 网络执法官等网络监控软件。这样的软件有一个很大优点:不要配置端口镜像就可以进行流量查询(其实sniffer pro 也可以变通的工作在这样的环境下)。这种看起来很快捷的方法,仍然存在很多弊端:由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝
3、的问题,如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说,是不可思议的。在这里, 我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻。硬件环境(网吧):100M网络环境下,92 台终端数量,主交换采用D-LINK(友讯) DES-3226S二层交换机 ( 支持端口镜像功能) ,级联普通傻瓜型交换机。光纤10M接入,华为2620 做为接入网关。软件环境:操作系统Windows2003 Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows200
4、3)、 NAI 协议分析软件-Sniffer Portable 4.75(本文选用网络上较容易下载到的版本做为测试)环境要求:1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。(监控所有流经此网卡的数据)2、Snffier pro 475仅支持 10M 、 100M 、10/100M 网卡,对于千M网卡,请安装SP5补丁,或 4.8 及更高的版本网络拓扑:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
5、 - - - - - - 第 1 页,共 11 页 - - - - - - - - - 图监控目的: 通过 Sniffer Pro 实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。 Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时,我们将数据包捕获后,通过Sniffer Pro 的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。步骤一:配置交换机
6、端口镜像(Mirroring Configurations)以 DES-3226S二层交换机为例,我们来通过WEB 方式配置端口镜像(也可用CLI 命令行模式配置)。如果您的设备不支持 WEB 方式配置,请参考相关用户手册。1.DES-3226S 默认登陆IP 为: 10.90.90.90 因此,需要您配置本机IP 为相同网段才可通过浏览器访问WEB 界面。如图( 1)所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 11 页 - - - - - - - - - 图
7、1 2. 使用鼠标点击上方红色字体:“Login ”, 如果您是第一次配置,输入默认用户名称、密码:admin 自动登陆管理主界面。3. 如图( 2)所示,主界面上方以图形方式模拟交换机界面,其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。图 2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 11 页 - - - - - - - - - 4. 如图( 3):鼠标点击左下方菜单中的advanced setup-Mirroring Configurati
8、ons (高级配置镜像配置)图 3 5. 将 Mirror Status 选择为 Enable (默认为关闭状态,开启),本例中将Port-1端口设置为监听端口:Target Port=Port-1,其余端口选择为Both ,既:监听双向数据(Rx接收 Tx 发送),选择完毕后,点击Apply 应用设置。此时所有的端口数据都将复制一份到Port-1 。(如图4)图 4 接下来,我们就可以在Port-1端口,接入计算机并安装配置Sniffer Pro。步骤二: Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别,在安装过程中需要注意的是:Sn
9、iffer Pro 安装大约占用70M左右的硬盘空间。安装完毕Sniffer Pro后,会自动在网卡上加载Sniffer Pro 特殊的驱动程序(如图5)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 11 页 - - - - - - - - - 安装的最后将提示填入相关信息及序列号,正确填写完毕,安装程序需要重新启动计算机。对于英文不好的管理员可以下载网上的汉化补丁。图 5 我们来启动Sniffer Pro。第一次启动Sniffer Pro时 , 需要选择程序从那一个
10、网络适配器接收数据,我们指定位于端口镜像所在位置的网卡。具体位于: File-Select Settings-New 名称自定义、选择所在网卡下拉菜单,点击确定即可。( 如图 6) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 11 页 - - - - - - - - - 图 6 这样我们就进入了Sniffer Pro的主界面。步骤三:新手上路,查询网关流量下面以图文的方式介绍,如何查询网关(路由、代理:219.*.238.65)流量,这也是最为常用、重要的查询之一。1
11、 扫描 IP-MAC 对应关系。 这样做是为了在查询流量时,方便判断具体流量终端的位置,MAC 地址不如IP 地址方便。选择菜单栏中Tools-Address Book 点击左边的放大镜(autodiscovery 扫描)在弹出的窗口中输入您所要扫描的 IP 地址段,本例输入:219.*.238.64-219.*.238.159点击 OK ,系统会自动扫描IP-MAC对应关系。扫描完毕后,点击 DataBase-Save Address Book 系统会自动保存对应关系,以备以后使用。( 如图 7) 图 7 2. 查看网关流量。点击 Monitor-Host Table,选择 Host tab
12、le界面左下角的MAC-IP-IPX 中的 MAC 。(为什么选择 MAC ?在网络中,所有终端的对外数据,例如使用QQ 、浏览网站、上传、下载等行为,都是各终端与网关在数据链路层中进行的)(如图 8) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 11 页 - - - - - - - - - 图 8 3. 找到网关的IP 地址 - 选择 single station-bar (本例中网关IP 为 219.*.238.65) 图 9 如图 (9) 所示:219.*.23
13、8.65(网关)流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP(Address Book)的工作,右边将会以网卡物理地址-MAC地址的方式显示,现在转换为IP 地址形式(或计算机名),现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示,其中最左边绿色柱形图与网关流量最大,其它依次减小。本图中名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 11 页 - - - - - - - - - 219.*.238.93与网关流量最大,且与其它终端流量差距悬
14、殊,如果这个时候网络出现问题,可以重点检查此IP 是否有大流量相关的操作。如果要查看219.*.238.65(网关)与内部所有流量通信图,我们可以点击左边菜单中,排列第一位的-MAP按钮如图 (10) 所示 , 网关与内网间的所有流量都在这里动态的显示。图 10 需要注意的是:绿色线条状态为:正在通讯中暗蓝色线条状态为:通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处, 程序显示出流量双方位置、通讯流量的大小(包括接收、发送)、并自动计算流量占当前网络的百分比。其它主要功能:PIE:饼图的方式显示TOP 10的流量占用百分比。Detail:将 Protocol(协议类型 ) 、Fro
15、m Host (原主机)、 in/out packets/bytes(接收、发送字节数、包数) 等字段信息以二维表格的方式显示。第四步:基于IP 层流量1. 为了进一步分析219.*.238.93的异常情况,我们切换至基于IP 层的流量统计图中看看。点击菜单栏中的Monitor-Host Table,选择 Host Table界面左下角的MAC-IP-IPX 中的 IP。2. 找到 IP:219.*.238.93地址(可以用鼠标点击IP Addr排序,以方便查找)- 选择 single station-bar (如图 11 所示)名师资料总结 - - -精品资料欢迎下载 - - - - - -
16、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 11 页 - - - - - - - - - 图 11 3. 我们切换至Traffic Map来看看它与所有IP 的通信流量图。(图12)图 12 我们可以从219.*.238.93的通信图中看到,与它建立IP 连接的情况。图中IP 连接数目非常大,这对于普通应用终端来讲,显然不是一种正常的业务连接。我们猜测,该终端可能正在进行有关P2P类的操作,比如正在使用P2P类软件进行BT下载、或者正在观看P2P类在线视频等。为了进一步的证明我们的猜测,我们去看看219.*.228.93的流量协议
17、分布情况。4. 如图( 13)所示: Protocol类型绝大部分为Othen. 我们知道在Sniffer Pro中 Othen 表示未能识别出来协议,如果提前定义了协议类型,这里将会直接显现出来。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 11 页 - - - - - - - - - 图 13 如图( 14)通过菜单栏下的Tools-Options-Protocols,在第 19 栏中定义14405(bitcomet的默认监听端口),取名为 bitcom 。图 14
18、 现在我们再次查看219.*.238.93协议分布情况 . (如图 15)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 11 页 - - - - - - - - - 图 15 现在,协议类型大部分都转换为bitcom ,这样我们就可以断定,此终端正在用bitcomet做大量上传、下载行为。注意: 很多 P2P类软件并没有固定的使用端口,且端口也可以自定义,因此使用本方法虽然不失为一种检测P2P流量的好方法,但并不能完全保证其准确性。好了,使用Sniffer Pro 监
19、控网关流量,就到这里结束了。实际上我们可以用同样的方法监控网络内的任何一台终端。后续,我们将继续连载使用Sniffer Pro 监控网络的其它新手教程,例如:利用Sniffer pro 做网络的预警机制、利用 Sniffer pro 分析病毒、通过包分析结合专家系统发现网络内存在的“未知问题”,以后我们将陆续做更深一步的探讨和分析。概念解释:1. 什么是端口镜像? 把交换机一个或多个端口(VLAN )的数据镜像到一个或多个端口的方法。2. 为什么需要端口镜像 ? 交换机的工作原理与HUB有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部CAM 表
20、(通常也称IP-MAC表) 进行数据转发, 因此需要通过配置交换机来把一个或多个端口( VLAN )的数据转发到某一个端口来实现对网络的监听。3. 端口镜像通常有以下几种别名:Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。Monitoring Port 监控端口panning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。PAN Port 在 Cisco 产品中, SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 11 页 - - - - - - - - -
黑公网安备:91230400333293403D