网络器Sniffer的安装与使用

1、Sniffer Pro的安装安装网络分析器Sniffer Pro，具体步骤如下。（1）Sniffer Pro的安装过程比较简单，运行Sniffer Pro的安装文件进入向导，单击【Next】按钮，如图1-1所示。图1-1 Sniffer Pro的安装向导（2）同意许可证使用协议，单击【Yes】按钮，如图1-2所示。图1-2 许可证协议（3）输入用户信息，单击【Next】按钮，如图1-3所示。图1-3 用户信息（4）指定安装路径，单击【Next】按钮，如图1-4所图1-4 安装路径（5）填写用户注册信息，输入序列号后单击【下一步】按钮，如图1-5和图1-6所示。图1-5 注册信息1图1-6 注册

2、信息2（6）指定连接到Internet的方式，如图1-7所示。图1-7 指定连接到Internet的方式（7）注册完毕，单击【下一步】按钮，如图1-8所示。图1-8 注册完毕（8）安装结束，单击【完成】按钮，如图1-9所示。图1-9 安装结束（9）重新启动计算机，如图1-10所示。图1-10 重新启动计算机（10）安装结束后，在网卡的属性中可以看到绑定了的Sniffer协议驱动，如图1-11所示。图1-11 网卡属性（11）单击【开始】【程序】命令，运行Sniffer，即可打开Sniffer界面。如图1-12所示。图1-12 Sniffer运行界面2 捕获数据包 2.1明确被捕获对象选择一个网

3、络接口进行捕获。如果计算机上安装许多网卡，首先要明确在哪块网卡上进行捕获数据。选择要捕获数据的网卡上进行数据捕获。选择要捕获数据的网卡步骤如下。（1）在菜单中选择【Files】【Select Settings】菜单项，打开“Settings”窗口。其中包含了一个名为“Local”的本地代理设置，下面显示了所有网卡的列表，只要选择相应的网卡就指定了要见识和捕获数据的网卡，如图2-1所示。图2-1 “Settings”窗口（2）新建一个本地代理设置，在“Settings”窗口中单击【New】按钮，输入该代理配置的描述，在网卡的下拉列表中选择相应的网卡。Netpod可以选择Sniffer内置的选项，

4、Sniffer会自动根据网卡的IP地址加1来构造Netpod IP。另外也可以从已有的代理配置中拷贝过来，如图2-2所示。图2-2 “New Settings”窗口（3）有多个本地代理配置后，需要切换代理配置，指定监控不同的目标时，在“Settings”窗口中选择相应的代理配置和网卡，如图2-3所示。图2-3 选择要监控的网卡同时捕获监控多块网卡上的数据流时，可以运行多个Sniffer实例。每个实例指定不同的本地代理设置和不同的网卡。2.2 捕获特定条件的数据包 2.2.1使用“热连接”进行捕获在矩阵流量图上选择“热连接”，可以很快捷地选择要捕获的地址对，这时Sniffer会创建临时的过滤器来

5、捕获数据。具体操作步骤如下。（1）在菜单中单击【Monitor】【Matrix】命令，或者在工具栏中单击【Matrix】图标，打开“Matrix”窗口，如图2-4所示。图2-4 “Matrix”窗口(2)选择下方的【IP】选项卡来显示出IP地址，如图2-5所示。图2-5 【IP】选项卡 （3）单击鼠标选择“热连接”的地址，如果同时要选择多个地址可以使用【Ctrl】键，然后在右键菜单中单击【Capture】命令就开始用“热连接”进行捕获。这时Sniffer只捕获被选中的IP地址之间的网络通信。2.2.2 捕获穿过路由器的数据包广播数据是不能跨越路由器的，点对点的数据包是可以通过路由器的。只需要指

6、定发送和接受数据的网络地址对就可以捕获穿过路由器的数据。具体操作步骤如下。（1）在菜单中单击【Capture】【Define Filter】命令，可以定义过滤器，如图2-6所示。图2-6 定义过滤器（2）单击【Profiles】按钮，打开“Capture Profiles”窗口，单击【New】按钮。在“New Profile Name”下的文本框中输入“My IP Filter”，单击【OK】按钮。在“Capture Profiles”窗口中单击【Done】按钮，如图2-7所示。图2-7 创建新的过滤配置（3）在“Address”下拉列表中选择“IP”,在“Station1”和“Station

7、2”中分别指定要捕获的地址对，在“Include”单选按钮，然后单击【确定】按钮，如图2-8所示。图2-8 定义过滤地址（4）在主窗口中，选择过滤器为“My IP Filter”，然后单击【Caputre】【start】命令开始进行捕获，如图2-9所示。图2-9 开始捕获 2.2.3 捕获单一协议的数据包 如果只想捕获单一协议的数据包，例如FTP，需要设置对协议进行过滤。 具体操作步骤如下。（1）在菜单中单击【Capture】【Define Filter】命令。（2）单击【Profiles】命令，打开“Capture Profiles”窗口。单击【New】按钮。在“New Profiles N

8、ame”下边的文本框中输入“FTP filter”，单击【OK】按钮。在“Capture Profiles”窗口中单击【Done】按钮，如图2-10所示。图2-10 创建新的过滤配置（3）在“Define Filter”窗口的【Advanced】选项卡中指定要捕获的协议为“FTP”，单击【确定】按钮，如图2-11所示。图2-11 指定要捕获的协议（4）在主窗口中，选择过滤器为“FTP filter”，然后单击【Capture】【Start】命令开始进行捕获，如图2-12所示。图2-12 开始捕获2.3 定义捕获触发器Sniffer的触发器功能提供了一种可以根据触发事件来启动和停止捕获行为的方法

9、。触发事件可以是：日期和时间、流量载荷或出错阈值的报警、事件过滤器。通俗地说，就是可以在满足特定的条件时用特定的过滤器开始或者停止捕获。使用起来可以按照自己的意愿设置。定义启动和停止捕获的触发器：定义触发器自动在上午9:00开始捕获，使用FTP filter过滤器捕获5分钟的数据后自动停止捕获。具体操作步骤如下。（1）在菜单中单击【Capture】【Trigger Setup】命令。（2）在“Start Trigger”栏内选择“Enable”复选框，单击【Define】按钮，定义名为“Morning Trigger” 的触发器，指定日期为9:00，单击【OK】按钮，如图2-13所示。图2-1

10、3 定义Start Trigger（3）在“Stop Trigger”栏内选择“Enable”复选框，单击【Define】按钮，定义名为“Stop Trigger”的触发器，指定日期为9:05，单击【OK】按钮，如图2-14所示。图2-14 定义Stop Trigger（4）如果需要取消触发器，在菜单中单击【Capture】【Cancel Trigger】命令。2.4 保存捕获到的数据Sniffer捕获下来的数据可以存为文本格式。实时的统计信息可以存为.csv数据库格式。2.4.1实时导出捕获的包到文件中具体操作步骤如下。（1）在菜单中单击【Capture】【Define Filter】命令，

11、在“Capture Buffer”栏中，编辑Default的设置，选中“Save to file”复选框，指定文件路径、文件名和文件的数量，如图2-15所示。图2-15 配置保存捕获结果到文件（2）在主窗口中，选择过滤器为“Default”，然后单击【Capture】【Start】命令进行捕获。（3）捕获的时候查看导出到文件的进度。在菜单中单击【Capture】【Capture panel】命令，在【Detail】选项卡中有导出到文件的进度显示，如图2-16所示。图2-16 查看实时导出的进度（4）停止捕获。在主菜单中单击【File】【Open】命令打开捕获文件，在定义好的捕获文件存放的文件夹

12、中可以看到生成的捕获文件，从中可以查看文件的数据包信息。如图2-17所示。图2-17 打开捕获的数据包文件2.4.2 配置数据库选项实时监控的统计信息可以被保存到格式为.csv的数据库文件中。默认情况下，Sniffer每隔60分钟就会更新这些数据库文件。具体操作步骤如下。（1）在菜单中单击【Database】【Option】命令，选中“Log Expert Data”复选框后，Sniffer会自动导出统计数据到“.csv”文件中，可选的数据类型有Staticstics、Host Table、Matrix、Protocol Distribution和Application Response Ti

13、me，如图2-18所示。图2-18 配置数据库选项（2）删除某天的统计数据，在菜单中单击【Database】【Maintenances】命令，指定日历中的日期，如图2-19所示。图2-19 删除某天的统计数据3 实时监控工具Sniffer的实时监控工具能把网络流量的统计度量值记录下来，提供了对网络活动实时状况的精确描述。根据实时监控的值，还可以在检测到网络错误的时候生成报警来通知网络管理员。网络的实时状态也能被保存起来作为历史记录。便于日后对网络行为进行网络出错的分析是使用。3.1 包的大小及分布情况用Sniffer可以实时统计包的大小和分布情况，从而可以从统计的角度了解网络通信的情况。查看数

14、据包的尺寸和分布情况，具体操作步骤如下。（1）在菜单中单击【Monitor】【Global Statistics】命令，打开“Global Statistics”窗口，可以查看数据包的尺寸和分布状况，如图3-1所示。图3-1 “Global Statistics”窗口（2）单击窗口左侧的饼形图标，可以查看包尺寸分布的饼形图，如图3-2所示。图3-2 包尺寸分布的饼形图（3）选择窗口下方的【Utilization Dist】选项卡，可以查看网络利用率的分布情况。3.2 Top Talkers根据通信量对主机的地址进行实时的监控和统计，可以掌握网络主机通信的情况。从统计的角度进行通信量分析也是了解

15、通信情况的重要手段。统计通信量最多的主机，具体操作步骤如下。（1）在菜单中单击【Monitor】【Host Tables】命令，打开“Host Table”窗口，可以查看主机地址及通信量的大小。地址可以是MAC地址、IP地址或者IPX地址，可在窗口下方的选项卡中选择，根据不同的地址查看通信量统计，如图3-3所示。图3-3 通信量统计（2）在窗口左侧的图标中单击【Detail】图标，可以根据协议类型分组，并列出每个地址的通信量，如图3-4所示。图3-4 通信量详细信息（3）在窗口左侧的图标中单击【Bar】图标，可以根据通信量的大小描绘出前10个通信量最多的主机的柱状图，如图3-5所示。图3-5

16、通信量柱状图 （4）在窗口左侧的图标中单击【Pie】图标，可以通过通信量大小绘制出通信量最多的主机的饼形图，如图3-6所示。图3-6 通信量饼形图3.3 网络采样分析 采样分析是一种网络状况统计分析的方法，通过每隔一定时间间隔记录一次网络流量的参数，可以在一个比较长的时间范围内得出网络运行状况的宏观情况。 对网络数据采样分析，具体操作步骤如下。 （1）在菜单中单击【Monitor】【History Samples】命令，打开“History Samples”窗口，每一个采样，都是针对一种不同的网络运行情况的参数，如图3-7所示。图3-7 历史采样窗口（2）“Packets/s”表示每秒通过的数

17、据包的数目，在“Packets/s”上单击鼠标右键，在弹出的菜单中单击【属性】命令可以配置采样的参数，默认的采样时间间隔是15秒，现在设为1秒。还可以配置采样的最低和最高的阈值、采样结果的显示图形和颜色等，单击【确定】按钮，如图3-8所示。图3-8 配置采样参数（3）在“Packets/s”上单击鼠标右键，在弹出的菜单中单击【start sample】命令开始进行采样，采样结果显示了每隔1秒钟网络通信的数据包的数量，如图3-9所示。图3-9 采样结果（4）关闭采样结果窗口，弹出保存历史采样记录的对话框，单击【是】按钮，如图3-10所示。图3-10 保存历史采样（5）在“保存在”下拉菜单中指定保

18、存采样结果的文件名的路径，如图3-11所示。图3-11 保存采样文件4 分析和诊断问题对捕获到的数据包进行分析和研究，有助于发现网络故障。Sniffer提供了图形化的分析工具，可帮助分析捕获到的数据包。4.1 配置如何显示捕获到的数据包可以配置Sniffer的显示选项，指定在界面中显示的选项卡和已经可以选择的协议等，用户可根据不同的场景和要求定制不同的Sniffer用户界面，使显示的结果更直观有用。配置Sniffer Pro的显示选项，具体操作步骤如下。（1）在菜单中单击【Display】【Display Setup】命令，打开“Display Setup”窗口，在“Display Setup”窗口的【General】选项卡中选中“Expert tab”和“Post analysis tabs”复选框。在【Summary Display】选项卡中，把需要的显示选项选中，例如“Show network address”等，如图4-1所示。图4-1【Summary Display】选项卡（4）在【Protocol Expand】选项卡中选择可以进行分析的协议，如图4-2所示。图4-2 【Protoco