谈用Sniffer监控网络流量

1、网络嗅探：用Snnifffer监监控网络络流量出处：硅谷谷动力 作作者：bbankker 时间：20007-009-228 110:228 随着互互联网多多层次性性、多样样性的发发展，网网吧已由由过去即即时通信信、浏览览网页、电电子邮件件等简单单的应用用，扩展展成为运运行大量量在线游游戏、在在线视频频音频、互互动教学学、P22P等技技术应用用。应用用特点也也呈现出出多样性性和复杂杂性，因因此，这这些应用用对我们们的网络络服务质质量要求求更为严严格和苛苛刻。 目目前，大大多数网网吧的网网络设备备不具备备高端网网络设备备的智能能性、交交互性等等扩展性性能，当当网吧出出现掉线线、网络络卡、遭遭受内部

2、部病毒攻攻击、流流量超限限等情况况时，很很多网络络管理员员显的心心有于而而力不足足。毕竟竟，靠网网络管理理员的经经验和一一些简单单传统的的排查方方法：无无论从时时间上面面还是准准确性上上面都存存在很大大的误差差，同时时也影响响了工作作效率和和正常业业务的运运行。 Snnifffer Proo 著名名网络协协议分析析软件。本本文利用用其强大大的流量量图文系系统Hoost Tabble来来实时监监控网络络流量。在在监控软软件上，我我们选择择了较为为常用的的NAII公司的的sniiffeer ppro，事事实上，很很多网吧吧管理员员都有过过相关监监控网络络经验：在网络络出现问问题、或或者探查查网络情

3、情况时，使用用P2PP终结者者、网络络执法官官等网络络监控软软件。这这样的软软件有一一个很大大优点：不要配配置端口口镜像就就可以进进行流量量查询（其其实snnifffer proo也可以以变通的的工作在在这样的的环境下下）。这这种看起起来很快快捷的方方法，仍仍然存在在很多弊弊端：由由于其工工作原理理利用AARP地地址表，对对地址表表进行欺欺骗，因因此可能能会衍生生出很多多节外生生枝的问问题，如如掉线、网网络变慢慢、ARRP广播播巨增等等。这对对于要求求正常的的网络来来说，是是不可思思议的。 在在这里，我我们将通通过软件件解决方方案来完完成以往往只有通通过更换换高级设设备才能能解决的的网络解解决

4、方案案，这对对于很多多管理员员来说，将将是个梦梦寐以求求的时刻刻。 硬硬件环境境（网吧吧）： 1100MM网络环环境下，992台终终端数量量，主交交换采用用D-LLINKK（友讯讯）DEES-332266S二层层交换机机(支持持端口镜镜像功能能)，级级联普通通傻瓜型型交换机机。光纤纤10MM接入，华华为26620做做为接入入网关。 软软件环境境： 操作作系统WWinddowss20003 SServver企企业标准准版（SSniffferr Prro4.6及以以上版本本均支持持Winndowws20000 Winndowws-xxp WWinddowss20003）、NNAI协协议分析析软件-

5、Sniiffeer PPorttablle 44.755（本文文选用网网络上较较容易下下载到的的版本做为为测试） 环环境要求求： 1、如如果需要要监控全全网流量量，安装装有Snnifffer Porrtabble 4.77.5(以下简简称Snnifffer Proo)的终终端计算算机，网网卡接入入端需要要位于主主交换镜镜像端口口位置。（监监控所有有流经此此网卡的的数据） 22、Snnffiier proo 4775仅支支持100M、1100MM、100/1000M网网卡，对对于千MM网卡，请请安装SSP5补补丁，或或4.88及更高高的版本本 网络拓拓扑： 图 监控控目的：通过SSnifffer

6、r Prro实时时监控，及及时发现现网络环环境中的的故障（例例如病毒毒、攻击击、流量量超限等等非正常常行为）。对对于很多多企业、网网吧网络络环境中中，网关关（路由由、代理理等）自自身不具具备流量量监控、查查询功能能，本文文将是一一个很好好的解决决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。 步骤一：配置交换机端口镜像（Mirroring Configurations） 以D

7、ES-3226S二层交换机为例，我们来通过WEB方式配置端口镜像（也可用CLI命令行模式配置）。如果您的设备不支持WEB方式配置，请参考相关用户手册。 1.DES-3226S默认登陆IP为：10.90.90.90 因此，需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。 如图（1）所示： 图1 22.使用用鼠标点点击上方方红色字字体：“LLogiin”,如果您您是第一一次配置置，输入入默认用用户名称称、密码码:addminn 自动动登陆管管理主界界面。 33.如图图（2）所所示，主主界面上上方以图图形方式式模拟交交换机界界面，其其中绿色色灯亮起起表示此此端口正正在使用用。下方方文字列列

8、出交换换机的一一些基本本信息。 图2 44.如图图（3）：鼠标点点击左下下方菜单单中的aadvaanceed ssetuup-Mirrrorringg Coonfiigurratiionss （高高级配置置镜像像配置） 图3 55.将MMirrror Staatuss 选择择为Ennablle（默默认为关关闭状态态，开启启），本本例中将将Porrt-11端口设设置为监监听端口口:Taargeet PPortt=Poort-1，其其余端口口选择为为Botth，既既：监听听双向数数据（RRx接收收 Txx发送），选选择完毕毕后，点点击Appplyy应用设设置。 此此时所有有的端口口数据都都将复制制

9、一份到到Porrt-11。（如如图4） 图4 接接下来，我我们就可可以在PPortt-1端端口，接接入计算算机并安安装配置置Sniiffeer PPro。 步骤骤二：SSniffferr Prro 安安装、启启动、配配置 Snnifffer Proo 安装装过程与与其它应应用软件件没有什什么太大大的区别别，在安安装过程程中需要要注意的的是： Sniiffeer PPro 安装大大约占用用70MM左右的的硬盘空空间。 安装完完毕Sniffferr Prro后，会会自动在在网卡上上加载SSniffferr Prro 特特殊的驱驱动程序序（如图图5）。 安装的的最后将将提示填填入相关关信息及及序列号

10、号，正确确填写完完毕，安安装程序序需要重重新启动动计算机机。 对对于英文文不好的的管理员员可以下下载网上上的汉化化补丁。 图5 我我们来启启动Snnifffer Proo。第一一次启动动Sniiffeer PPro时时,需要要选择程程序从那那一个网网络适配配器接收收数据，我我们指定定位于端端口镜像像所在位位置的网网卡。 具具体位于于：Fiile-Seelecct SSetttinggs-Neww 名称自自定义、选选择所在在网卡下下拉菜单单，点击击确定即即可。(如图66) 图6 这这样我们们就进入入了Sniffferr Prro的主主界面。 步骤骤三：新新手上路路，查询询网关流流量 下下面以图图

11、文的方方式介绍绍，如何何查询网网关（路路由、代代理：2219.*.2238.65）流量，这也是最为常用、重要的查询之一。 1 扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。 选择菜单栏中Tools-Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP-MAC对应关系。扫描完毕后，点击DataBase-Save Address Book 系统会自动保存对应关系，以备以后使用。(如

12、图7) 图7 22.查看看网关流量量。点击击Monnitoor-Hosst TTablle，选选择Hoost tabble界界面左下下角的MMAC-IP-IPXX中的MMAC。（为为什么选选择MAAC？在在网络中中，所有有终端的的对外数数据，例例如使用用QQ、浏浏览网站站、上传传、下载载等行为为，都是是各终端端与网关关在数据据链路层层中进行行的）(如图88) 图8 33.找到到网关的的IP地地址-选择ssinggle staatioon-barr (本本例中网网关IPP为2119.*.2338.665) 图9 如如图(99)所示示： 2119.*.2338.665（网网关）流流量TOOP-11

13、0 此此图为实实时流量量图。在在此之前前如果我我们没有有做扫描描IP（AAddrresss Boook）的的工作，右右边将会会以网卡卡物理地地址-MMAC地地址的方方式显示示，现在在转换为为IP地地址形式式（或计计算机名名），现现在很容容易定位位终端所所在位置置。流量量以3DD柱形图图的方式式动态显显示，其其中最左左边绿色色柱形图图与网关关流量最大大，其它它依次减减小。本本图中2219.*.2238.93与与网关流流量最大大，且与与其它终终端流量量差距悬悬殊，如如果这个个时候网网络出现现问题，可可以重点点检查此此IP是是否有大大流量相关关的操作作。 如果果要查看看2199.*.2388.655

14、（网关关）与内内部所有有流量通信信图，我我们可以以点击左左边菜单单中，排排列第一一位的-MAAP按钮钮 如图(10)所示,网关与与内网间间的所有有流量都在在这里动动态的显显示。 图100 需要注注意的是是： 绿色色线条状状态为：正在通通讯中 暗暗蓝色线线条状态态为：通通信中断断 线条的的粗细与与流量的大大小成正正比 如果果将鼠标标移动至至线条处处,程序序显示出出流量双方方位置、通通讯流量量的大小小（包括括接收、发发送）、并并自动计计算流量量占当前前网络的的百分比比。 其它它主要功功能： PPIE：饼图的的方式显显示TOOP 110的流流量占用用百分比比。 Deetaiil：将将Prootocc

15、ol(协议类类型)、FFromm Hoost（原原主机）、iin/oout paccketts/bbytees(接接收、发发送字节节数、包包数)等等字段信信息以二二维表格格的方式式显示。 第四四步：基基于IPP层流量量 11.为了了进一步步分析2219.*.2238.93的的异常情情况，我我们切换换至基于于IP层层的流量量统计图图中看看看。 点击击菜单栏栏中的MMoniitorr-HHostt Taablee，选择择Hosst TTablle界面面左下角角的MAAC-IIP-IIPX中中的IPP。 2.找到IIP：2219.*.2238.93地地址（可可以用鼠鼠标点击击IP Adddr排序序，

16、以方方便查找找）-选择ssinggle staatioon-barr （如如图111所示） 图111 3.我我们切换换至Trrafffic Mapp来看看看它与所所有IPP的通信信流量图。（图图12） 图122 我们可可以从2219.*.2238.93的的通信图图中看到到，与它它建立IIP连接接的情况况。图中中IP连连接数目目非常大大，这对对于普通通应用终终端来讲讲，显然然不是一一种正常常的业务务连接。我我们猜测测，该终终端可能能正在进进行有关关P2PP类的操操作，比比如正在在使用PP2P类类软件进进行BTT下载、或或者正在在观看PP2P类类在线视视频等。 为为了进一一步的证证明我们们的猜测测

17、，我们们去看看看2199.*.2288.933的流量量协议分分布情况况。 4.如图（113）所所示：PProttocool类型型绝大部部分为OOtheen.我我们知道道在Snnifffer Proo中Otthenn表示未未能识别别出来协协议，如如果提前前定义了了协议类类型，这这里将会会直接显显现出来来。 图133 如图（114）通通过菜单单栏下的的Toools-Opptioons-Prrotoocolls,在在第199栏中定定义1444055（biitcoomett的默认认监听端端口），取取名为bbitccom。 图144 现在我我们再次次查看2119.*.2338.993协议议分布情情况.（

18、如如图155） 图155 现在，协协议类型型大部分分都转换换为biitcoom，这这样我们们就可以以断定，此此终端正正在用bbitccomeet做大大量上传传、下载载行为。 注注意：很很多P22P类软软件并没没有固定定的使用用端口，且且端口也也可以自自定义，因因此使用用本方法法虽然不不失为一一种检测测P2PP流量的好好方法，但但并不能能完全保保证其准准确性。 好好了，使使用Snnifffer Proo监控网网关流量量，就到到这里结结束了。实实际上我我们可以以用同样样的方法法监控网网络内的的任何一一台终端端。后续续，我们们将继续续连载使使用Snnifffer Proo监控网网络的其其它新手手教程，例例如：利利用Snnifffer proo做网络络的预警警机制、利利用Snnifffer p