网络嗅探教程 使用Sniffer Pro监控网络流量

1、网络嗅探教程 使用Sniffer Pro监控网络流量 随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有于而力不足。毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。Sn

2、iffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。这对于要

3、求正常的网络来说，是不可思议的。在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。光纤10M接入，华为2620做为接入网关。软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.7

4、5（本文选用网络上较容易下载到的版本做为测试）环境要求：图监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。步骤一：配置交换机端口镜像（Mirroring Config

5、urations）图12.使用鼠标点击上方红色字体：“Login”,如果您是第一次配置，输入默认用户名称、密码:admin 自动登陆管理主界面。3.如图（2）所示，主界面上方以图形方式模拟交换机界面，其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。图24.如图（3）：鼠标点击左下方菜单中的advanced setup->Mirroring Configurations （高级配置镜像配置）图35.将Mirror Status 选择为Enable（默认为关闭状态，开启），本例中将Port-1端口设置为监听端口:Target Port=Port-1，其余端口选择为Both

6、，既：监听双向数据（Rx接收 Tx发送），选择完毕后，点击Apply应用设置。此时所有的端口数据都将复制一份到Port-1。（如图4）图4接下来，我们就可以在Port-1端口，接入计算机并安装配置Sniffer Pro。步骤二：Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：Sniffer Pro 安装大约占用70M左右的硬盘空间。安装完毕Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动程序（如图5）。安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。

7、对于英文不好的管理员可以下载网上的汉化补丁。 图5我们来启动Sniffer Pro。第一次启动Sniffer Pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：File->Select Settings->New名称自定义、选择所在网卡下拉菜单，点击确定即可。(如图6)图6这样我们就进入了Sniffer Pro的主界面。步骤三：新手上路，查询网关流量1 扫描IP-MAC对应关系。图72.查看网关流量。点击Monitor->Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？

8、在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）(如图8)图83.找到网关的IP地址图9图10需要注意的是：绿色线条状态为：正在通讯中暗蓝色线条状态为：通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。其它主要功能：PIE：饼图的方式显示TOP 10的流量占用百分比。Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式

9、显示。第四步：基于IP层流量图113.我们切换至Traffic Map来看看它与所有IP的通信流量图。（图12）图124.如图（13）所示：Protocol类型绝大部分为Othen.我们知道在Sniffer Pro中Othen表示未能识别出来协议，如果提前定义了协议类型，这里将会直接显现出来。图13如图（14）通过菜单栏下的Tools->Options->Protocols,在第19栏中定义14405（bitcomet的默认监听端口），取名为bitcom。图14图15现在，协议类型大部分都转换为bitcom，这样我们就可以断定，此终端正在用bitcomet做大量上传、下载行为。注意

10、：很多P2P类软件并没有固定的使用端口，且端口也可以自定义，因此使用本方法虽然不失为一种检测P2P流量的好方法，但并不能完全保证其准确性。好了，使用Sniffer Pro监控网关流量，就到这里结束了。实际上我们可以用同样的方法监控网络内的任何一台终端。后续，我们将继续连载使用Sniffer Pro监控网络的其它新手教程，例如：利用Sniffer pro做网络的预警机制、利用Sniffer pro分析病毒、通过包分析结合专家系统发现网络内存在的“未知问题”，以后我们将陆续做更深一步的探讨和分析。概念解释：1.什么是端口镜像?把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。2.为什么需要端口镜像 ?交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部CAM表（通常也称IP-MAC表）进行数据转发，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。3.端口镜像通常有以下几种别名：Port Mirroring 通常指允许把一个端口的流量