校园网络总结报告

常州信息职业技术学院校园网络故障应急方案2012-2013学年第一学期系别：计算机（软件）学院专业：计算机网络与安全管理 班级：安全111学生姓名：刘壬—学生学号：L设计（论文）题目：校园网络故障应急方案实训日期：第三周-第四周常州信息职业技术学院目录TOC\o"1-5"\h\z*、校园网络现状 ——31、校园网络拓扑图 32、结构才苗述 3二、常见的校园问题管理员的思路及想 4.故障排除一般思路.各类常见问题：宽带故障、无线宽带排除、光纤故障排除

TOC\o"1-5"\h\z三、校园网络问题解决方案 5校园一般问题 —9\o"CurrentDocument"网络嗅探工具——sniffer的安装 15sniffer监控arp欺骗 19arp欺骗的简介 192、利用sniffer监控arp欺骗 19使用Sniffer-Pro对蠕虫病毒进行流量分析 221、蠕虫简介 222、使用 Sniffer-Pro对蠕虫病毒进行流量分析过程 22（五）：sniffer的使用 27snifferpro的简介 27\o"CurrentDocument"sniffer使用 27（六）：sniffer监控“广播风暴” 321、“广播风暴”的简介 322、利用sniffer监控“广播风暴”过程 32四、总结 34一、校园网络1、校园网络拓扑图2、校园网络结构描述校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计PC目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代PC网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种机工作站、终端设备和局域网连接起来，并与有关广域网相连；在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。二、常见的校园问题管理员的思路及想法故障排除一般思路收集信息信息收集途径：向受影响的用户、网络人员或其他关键人员提出问题最初的收集到的关于某种故障的大多数信息都是来自用户。如果仅凭用户对故障现象的描述，有时并不能得出结论。这时就需要网管员亲自操作运行一下导致故障的程序，并注意相关的出错信息。用户提出他的电脑不能上网，假如故障界定到与用户使用的工作站有关，但还是有许多具体信息需要收集。界定故障现象解决网络故障的一般步骤：连通性问题：比如硬件、媒介、电源故障；配置错误；设备兼容性问题。性能问题：网络拥塞；到目的地不是最佳路由；供电不足；路由环路；网络不稳定。排查方法诊断问题的常用三个方法：试错法、参照法、替换法实施方案前面4个步骤的顺利进行，在方案的实施阶段就会相对容易。比如在局域网中与互联网相连的路由器发生了故障，在实施安装路由器的同时，在关键点处同样要进行测试，步骤如下：配置路由器。使用 Ping 工具测试每个接口，以确定这是唯一的操作。将路由器与网络的其它部分相连接。使用 Ping 工具测试，确保网络中所有部件的连接方法正确。使用 Trace程序来确定网络路径。确定在工作站上通过 Ping工具可以访问路由器接口。确定从工作站可以访问互联网络。测试解决效果可以运用一些软件来解决此类问题详细做好解决问题经验总结，为下次解决问题作出充分经验。总结故障排除过程文档化故障现象描述及收集的相关信息；网络拓扑图绘制；网络中使用的设备清单和介质清单；网络中使用的协议清单和应用清单；二：各类常见问题宽带故障排除宽带故障现象A:ADSL故障:1、不能上网，不能打电话。2、能打电话，不能上网。3、能上网，但上网速度慢。4、上网不稳定，经常断线。5、其他。除上述四种故障外的其他故障现象，如可上网，但不能打电话；能上网，但电话有杂音等ADSL连接成功后应用受影响， ADSL连接成功后应用受影响：上网常断线、 网速慢、连接成功但所有网页打不开、部分网站无法浏览或网页打不开、部分应用不能使用 (QQ聊天、股票证券公司网站、播放器、电影卡、业务应用)LAN连接成功后应用受影响上网常断线网速慢连接成功但所有网页打不开部分网页无法浏览或打不开视频点播、语音聊天等部分业务不能使用ADSL故障处理流程影响故障的因素分类1)接入设备上层故障(DSLA般备以上)线路故障3)硬件故障(主要是ADSLModemK网卡)软件故障其它因素

故障处理的基本流程步骤一：首先查看客户端是否安装、打电话是否正常,步骤二：检查MODEM信号灯是否正常,步骤三：重启电脑和MODEM看故障是否依然存在，步骤四：根据错误提示进入相应处理流程，DHC书口PPPOEU证方式分别有不同的错误提示 ，下面我们首先看DHCPU证方式的错误提示：检查网卡是否错误、网线是否插好、登录名密码是否错误等。ADSL客户上网常断线处理流程无线宽带排除移动无线宽带:1.故障处理一般流程:1.故障处理一般流程:彳出处“与施程处坤开始）2.1)2)丁的网障用领收Gf；寇.故障判断广小"r'；rrr;：i＞：j1故酥2.1)2)丁的网障用领收Gf；寇.故障判断广小"r'；rrr;：i＞：j1故酥H除故障处理的一般思路:检查物理连接检查用户终端网卡属性设置3）检查数据配置4）根据具体业务和故障进行针对性的处理3.几种常见故障的处理方法现象：有信号。但是总出现受限制或无连接1检查在管理平台的业务VLAN配置是否正确VLAN的端口看是否可以弹出认证页面2如果有条件可以把接入交换机单独做出一个业务关于APVLAN的端口看是否可以弹出认证页面1）查看网线问题。2）通过ACpingAP看是否有明显的延迟和丢包。3）观察AP在管理平台是否有关联分组。4）查看DHC地址池是否问题。查看供电是否有问题。查看传输设备是否有问题。查看中间数据配置是否有问题。是否有环路。AP无法加电或不能正常运行。一般来讲PO或换机给AP供电尽量不要超过70米，另外AP所连接的天线端要注意不可以带电，如果带电表示有短路，或者合路器接错。AP连接用户和吞吐量不够。尽量减少同频干扰。优化好信道。尽量只使用 11G射频模式。另外网速比较慢也许是业务 VLAN的问题。建议同一业务 VLAN用户控制在 100左右。电信无线宽带：无线宽带业务三种无线上网方式无线宽带（WLAN接入无线宽带（3G）网络接入无线宽带（1X）网络接入客户端管理无线宽带故障处理流程无线宽带故障处理流程（ WLAN）10000号预处理：接入方式鉴别 1X、3G、WLAN、C+W用户终端鉴别是否支持并开通 EVDCM1X,信号强弱度用户帐号是否正确设置驱动是否正确安装是否欠费或者已销户分公司网维预处理：故障原因及现象分类手机问题：1.驱动未正确安装或者硬件已损坏卡损坏或被锁，需要更换或解锁3.使用终端不正确，只支持行货终端安装了防火墙等网络防护安全软件某些网页不能打开，路由或防火墙设置问题批量用户报障，某个网元异常预付费用户在OCSF台余额被结冻预付费用户因配额和门限值配置问题经常断线平台异常，用户不能使用手机上网PC问题PC不带无线局域网上网卡无线局域网上网卡已配置静态地址，需要设置为动态获取防火墙冲突，无法浏览网页某些型号的AP与无线上网卡适配出现问题，导致终端无法获取地址或者打开网页慢某些BAS配置不正确光纤故障排除故障检测流程图光纤布线的故障排除判断故障类型：断路，衰减过大常用的检测工具三、校园网络问题解决方案一、校园一般问题：一、宿舍端口或网卡问题1、连接时显示初始化网卡信息失败解决方法：有可能是网卡被禁用了，打开在控制面板－网络连接－本地连接，把网卡启用，如果不是被网卡禁用，一般是重装网卡驱动就可以了，如果是独立网卡，可以把网卡拔出来重新插进去或者换一个 PCI插槽一般都可以的了，还不行的话，重新安装认证软件，再不行就尝试系统重装3、本地连接打X,有可能是网卡设置了全双工，但由于不支持全双工，导致打X解决方法：改为半双工即可4、无法上网，客户端软件提示“找不到可用的网卡”解决方法：（1）如果是用旧的认证软件尽量不要选择客户端软件随系统自动启动；（2）查看设备管理器中是否有你的以太网网卡，其安装是否正确，是否启用；（3）尝试更新网卡驱动程序。如果是比较旧的电脑，可以采用把网卡拔出来后用橡皮擦檫干净其根脚重新插入或插入另外一个PCI插槽看看。5、直接把电脑网卡用网线接到宿舍端口，显示没有接上故障原因：端口还没有开通解决方法：网上报修，联系网管开通6、宿舍端口坏了或者有问题了，上不了网，要换的。解决方法：网上报修，请联系网管来更换二、认证失败（一）、认证失败，用户如果掌握这些知识可以自己解决的、重装系统后上不了网IP其他都正确 ,但不知道为什么就是验证通不过 ,上不了网，老是认证失败故障原因：一般可能是认证模式选错了。解决方法：一旦遇到认证失败，首先应该看看自己认证模式有没有选择正确，步骤是：双击认证软件一一设置一一认证模式设置一一选择：使用Ruijie 私有组播地址发送认证请求2、认证显示用户名或密码出错，上不了网解决方法：自己填写错误故要查看自己有没有填错，若自己改了认证密码后忘记密码，可以叫网管帮自己再改成自己容易记的认证软件，有时是学校服务器数据更新中（概率很少）3、无法上网，客户端软件一直停留在“正在验证用户名和密码”，怎么办？说明认证服务器忙，请耐心多试几次，若长时间不成功可能是认证服务器的问题，此时请报网络中心。4、网线接触不良解决方法：拔出又插入网线，可以试试把网线插到另外一个其他的宿舍集线器或交换机端口5、用宿舍其他可以上网的同学的网线插到自己电脑上就可以上网，用自己的就不可以上网故障原因：网线有问题解决方法：不用更换网线的，只要更换水晶头就可以了，到图书馆一楼或北区饭堂有网线卖的店铺那里可以换，约元两个水晶头，她们会安装好那水晶头的。6、交换机使用过久发烫得很厉害，整个宿舍上不了网故障原因：交换机负载过重或使用过久，使其性能暂时下降解决方法：把交换机重启就可以了7、认证软件无法运行解决方法：先把认证软件卸载后重新安装认证软件8、客户端无法认证成功，提示“用户处于开户状态，请先激活”的故障？故障原因：帐号处于开户状态，无法使用。解决方法：请耐心等待网管人员激活账号，一般来说3个工作日内开通。9、认证软件常和系统环境冲突解决方法：可能是中毒了注意杀毒，其实很多安装瑞星杀毒的用户会偶尔遇到这种情况，把瑞星卸载换上更新的版本就可以，或者最好是换上其他的杀毒软件如金山毒霸、江民、卡巴斯基等10、客户端提示“目前系统工作环境与软件运行环境相冲突 ，软件不能正常运行 CODE2”故障原因：安装了多块网卡，和服务器要求的不符合解决办法：卸载或者禁用多余网卡，只保留一张网卡运行（如果是 win98系统，禁用拨号适配器）。11、客户端提示“目前系统工作环境与软件运行环境相冲突 ，软件不能正常运行 CODE4”故障原因：安装了代理服务器，和服务器要求的不符合解决办法：关闭或卸载代理服务器以及一切可能成为代理服务器的软件（比如自己建立的SMTP邮件服务器， FTP文件下载服务器，如果不删除可以认证成功，自己不想删除可以不删除等）。、上网时显示 IP 冲突解决方法：乱改 IP造成的，检查自己的 iP是否填错，如果时其他用户填错，请在网上报修时说明，以便网管调查和解决。、全宿舍上不了网解决方法：集线器或交换机没有接好，检查并接好就可以了、IP地址绑定错误解决方法：这类问题一般都是自己填写IP时由于不注意填错的，检查并改正就可以了、可以认证，但收不到包解决方法：有一种原因是因为把网关填错了，但是可以认证却上不了网，故把网关地址改正就可以了、无法上网，客户端软件一直停留在“正在寻找认证服务器”，怎么办？说明本机到认证服务器之间网络不通，可能的原因包括设置问题、网卡故障、线路故障、端口故障以及本网段内故障等，用交叉替换的办法判断问题所在并制定解决方法。其中，网卡与网线故障自行解决；客户端设置请严格按照客户端配置方式来配置；确为端口物理故障的报给网络中心用户室；需要着重说明的是本网段内存在特定病毒或者有人私开 DHCP服务时也会产生上述现象，若本网段内（通常为相邻的寝室）所有机器都有此现象，可判断为本网段接入交换机故障或存在病毒，可报网络中心；若本机在未进行认证时可自动获取到以开头的 IP（查看方法是命令行方式下输入ipconfig）则可判断为本网段内有人私开 DHCP服务，此种情况请记下网关MACM址报网络中心运行值班室，方法是命令行方式下输入 arp—a。、用户无法通过认证，提示信息“设备端强制用户下线”。故障原因：设备断电或者故障。解决方法：先退出客户端再重新认证，如果还出现相同提示，可以到隔壁宿舍确认他们是否出现同样问题，如果相邻宿舍多个人都无法认证，请及时通知网络中心检查设备问题。、网卡的网络连接显示处显示黄色感叹号，认证客户端不能登录，显示信息：“网络受限或无连接”。故障原因：网络配置不正确，网络连接使用的是原来的Adsl连接或者无法获取到正确地址。解决办法：删掉原来的 adsl网络连接，打开浏览器一internet 选项一连接一拨号和虚拟专用网络设置，选中宽带连接－然后选删除－确定，重新建立新的本地连接、客户端提示“找不到合适的网卡”故障原因：系统没有正确获得网卡信息，或者网卡有问题解决办法：退出并重新打开客户端，如果问题依旧存在，请将网卡驱动程序卸载重装，如果是独立网卡的电脑，可以把网卡拔出后重新插入其他 PCI插槽，如果还是不能解决问题，购买一张网卡。20、认证失败，没有任何错误提示故障原因：WINXPffi户启用了系统自带的认证解决办法：（1）双击网络连接图标，把属性里面的身份验证标签下“启用身份认证”前的勾去掉。（ 2）卸载任何第三方网卡加速软件如 nvidianetmangermant（用nvidia网卡芯片的同学常出现此问题）。21、认证失败，提示“已达到最大连接数”有两种情况会导致上述情况发生：.学生的帐号、IP、MAC被盗用。当此帐号在线时，其他人用此帐号认证。因为系统同时只允许一个帐号认证（现在少见，因为现在学生帐号、IP、MAC端口已经绑定）。．用户非正常下线后，认证计费系统的在线表中还有该用户的信息，例如用户帐号、IP、MAC交换机IP、交换机端口等。如果此用户再次认证，发现在线用户表中有该用户的信息，认证计费系统将验证用户上传上来的信息和在线用户表进行匹配，如果不完全相同（例如用户更换交换机端口等），认证计费系统将认为此用户是非法用户，提示达到用户数量上线。解决办法：在认证计费系统的在线用户表中将该用户强制下线。请用户速与网络中心联系。22、无法认证，提示“网卡未连接上”故障原因：网线连接不正确，网线质量差，自己安装的小交换机质量差，交换机柜停电解决办法：检查网线是否正常，自己安装的小交换机是否正常，确认本楼交换机柜是否停电。23、无法认证，认证客户端停顿在：寻找认证服务器。。。 [连接认证服务器…正在认证 ]故障原因：网线质量差，或者网卡有问题，或者没有选择“使用私有组播地址认证”解决办法：检查网线是否正常，在认证客户端中设置“使用私有组播地址认证”，重装网卡驱动程序，如果问题依旧存在，更换一张网卡。22、无法认证，认证客户端停顿在：连接认证服务器。故障原因：提供服务的接入交换机到网管中心的服务器通信不正常，可能是自身网线问题，可以尝试用同宿舍可以上网同学的网线，可能是某台交换机或者网管中心阻塞或停电解决办法：若某台交换机或者网管中心阻塞或停电，将此现象通知网管中心，并耐心等待。23、客户端提示认证失败，提示“IP类型错误”的故障？故障原因：认证服务器没有获得IP地址信息。解决办法：在本地连接属性里面正确填写IP地址，如果还是不能解决，请将网卡驱动程序卸载重装一次24、客户端无法认证成功，提示“客户端版本过低”的故障？故障原因：您使用了低版本的客户端认证软件。解决方法：到校园网软件园地下载最新版认证软件25、客户端无法认证成功，提示“未使用锐捷客户端”的故障？故障原因：未使用锐捷公司提供的客户端认证程序。解决方法：请使用最新版本的锐捷客户端程序。26、客户端无法认证成功，提示“用户被暂停，请先恢复”的故障？故障原因：由于中病毒影响校园网其他用户的上网，或未被允许扫描网络，帐号被老师暂停。故障方法：如果是中arp病毒，应先重装系统后马上杀毒，然后就告诉网管，重新恢复帐号。27、客户端无法认证成功，客户端程序运行时报：文件丢失或出现类似“该应用程序调用内存xxxxxxxx,该内存不能为只读”，的故障？故障原因：系统文件丢失；内存调用错误，多为win98系统。解决方法：重装客户端程序；重装网卡驱动；必要时重装操作系统。29、客户端无法安装，报 XXX安装内核出错的故障？故障原因：操作系统问题，多为win98系统。解决方法：优化操作系统，尤其为反安装信息；中止不必要的进程；必要时重装系统。30、网络上有重名故障原因：计算机名和连接在网络上的计算机同名。解决方法：修改计算机名可以解决（我的电脑-属性-计算机名-更改）。（二）认证失败，这类可以请网管才能解决的32、MAO定错误解决方法：只需要网管解除绑定就可以了。进入广师网络服务系统里，查询到相应的用户，点击其用户查看详细资料一一然后选修改一一最后点左边的菜单“更新认证数据”33、接入服务器地址错误解决方法：解除绑定，即：进入广师网络服务系统里，查询到相应的用户，点击其用户查看详细资料一一然后选修改一一最后点左边的菜单“更新认证数据”34、解决方法：把自己换了新的电脑物理地址在网上报修时顺便写上，这样网管一看到就会马上帮你修改，修改后马上可以上网了35、自从昨晚的雷声之后，全宿舍的就上不了网了！解决方法：交换机端口被雷打了，网上报修或联系网管重启交换机连接时，弹出对话框“没有接上，是否继续”，但是看到本地连接显示已连接，看本地连接收发数据包处，接收数据包为零，在查看认证软件，双击认证后，点设置一一服务器参数，发现两个DNSTB为0,“IE代理过滤”显示为error （最近更新第一条）故障原因：这种情况很少出现，但是偶尔也会出现，一般出现在使用版本的认证软件用户上解决方法：把认证软件重新安装一次就可以，也可以到版。为什么安装视频后会跟认证软件有冲突？如果强制性安装的话认证软件会突然掉线，然后显示跟视频有冲突，要卸掉视频后才能上网，有几个同学的都是这样子，为什么？有谁可以解答一下？解决方法：你安装视频软件 ,再装校园网的，如果已经安装了校园网软件，就把校园网软件先卸载了然后装视频的驱程 ,再装校园网三、能认证成功，但上网还是有问题1、但是上不了网，甚至还可以上 Q,但是打开网页时，上不了故障原因：一般是网关或 DNS服务器地址填错了，或者学校的 NDS服务器出问题了解决方法：（1）“网上邻居一一右键属性一一本地连接一一右键属性一一 TCP/IP——属性”查看自己的IP地址里面网关地址有没有填错，如果有把它调整过来就可以了（如果忘记可以查看同宿舍其他同学的，一个宿舍的同学，一般都是 IP地址不一样，其他地址都一样的）（2）,首先看周围其他同学是否有同样问题，若都有相同的问题可断定为 DNS0艮务器故障，(3)如果其他同学都没有这个问题，请取消本机的代理服务器设置(IE-工具fInternet选项-连接f局域网设置)，检查防火墙设置、浏览器设置等。2、经常断网如：刚开始可以上,不到一分钟就断几次了故障原因：中arp毒解决方法：大家可以到校园网软件园地下载 arp防火墙，连网前双击 arp防火墙，最好把 arp防火墙设置成开机自动启动――即把 arp防火墙一直拖到“开始－程序－启动”，以后电脑一开机就会马上启动它了3、网速超慢如：宿舍几乎上不了网，网络几乎瘫痪。网速超慢！解决方法：经调查发现，出现网速超慢的宿舍，一般都是使用集线器的，建议这些宿舍更换成交换机，交换机性能比集线器好很多快很多，并且价格也很便宜了，与集线器相差无几。也有可能学校核心交换机应付 CPU^用率很高了，导致联网慢。4、用不了IE打开网页，QQ上不了，学校网的电影也打不开来看，但用腾讯 TT就打得开网页，FTP也可以用。中解决方法：中毒，杀毒、用超级兔子修复 IE、其实不一定用IE上网的，腾讯TT其实不错的，还有遨游、TheWorld、火狐等浏览器都相当好用，校园网软件园地有下载，欢迎下载。四、IP问题、用户ip不匹配，但我已经看过了没有错！解决方法： IP自己记错,改了就行了、如时常会弹出消息"IP地址与网络上其它的有冲突"有时是在刚开机的时候..有时就在打开网页的时候 ...故障原因：其它宿舍乱改IP造成的，解决方法：叫网管查到，叫乱改IP的同学改正就可以了，不过现在为了防止这种情况，学校认证系统是将用户的 MAC、IP都和宿舍端口绑定的了，这种情况很少出现的了。、IP地址与网络上的其他系统有冲突，解决方法：有时是因为装了虚拟机 VWare软件等，解决办法是将其它的链接禁用掉！、.有时本地连接显示“正在获取网络地址”，导致上不了网解决方法：可以将“启用此网络的验证(E)”前面的勾去掉、IP已分配给另一适配器故障原因：网卡换了插槽或更换了新网卡。解决办法：重新安装TCP/IP协议即可解决6、我在Windows下装Vmware被锐捷检测到多网卡，怎么办？A：由于本客户端没有windows的版本，所以请参照4里面后半部的方法维护自己的权益。不过最好希望你能够安装 Linux/FreeBSD系统，然后选择一个可以让你上网又对你没有限制的软件。最近我们学校大量的学生因为锐捷的客户端导致不能安装 VMware,严重影响学校正常的教学计划。这是锐捷公司锐捷认证软件的问题，当你安装了 VWare,但又要认证上网时，可以先把VWare里面的网卡先禁用就可以了，到使用 VWare的网卡时才把它启用。五、看不了电影1、播放器安装问题，明明安装了确然播放器，却提示没有安装，进不了影视天地解决方法：注意安装路径中不能有中文，因为这播放器不支持中文路径，这些同学都是把确然播放器安装到自己创建的中文文件夹里面，导致进不了影视天地看电影2、正确安装了播放器，并且本来是还可以看电影的，突然开机就看不了电影了解决方法：可能 IE中病毒，可以用超级兔子软件修复 IE，反复修复几次就可以了3、看不了电影，显示“无法打开文件”之类的解决方法：很多时候是因为装了瑞星防火墙，把 TruePlayer(看电影的播放器 )那个播放器禁止掉了，把瑞星防火墙删掉，换天网防火墙。4、没有影币，看不了电影解决方法：到论坛发贴回帖，换取金币等，然后换成5、影币没拉，还是负数的解决方法：这种情况可叫网络中心老师给影币，呵呵六、其他网络应用问题1、打开学校主页，左边的菜单不见了，右边的滚动公告栏变成了直接全部罗列的一条栏，整个主页变成很长，十分不美观、使用起来很不方便。故障原因：IE中毒或有文件丢失解决方法：用超级兔子，对IE进行全面修复几次就可以了。解决网络问题的一般步骤1.先查看认证软件的认证模式是否填写选择了“Star”私有组播发送认证请求，查看 IP是否错误，查看电脑的TCP/IP协议地址是否安装好，如果否，则重新安装TCP/IP协议网关地址，看看其是否能 ping通如果不能，可以就是问题出现在其宿舍内部的问题，如果网线接触不好，网线有问题，交换机接触不良，arp攻击等等。如果能 ping通但上不了网，可能是学校DNS服务器出故障，或者arp病毒攻击。如果不能ping通，可能是学校DNS1务器出故障，那么可以用教育网其他的 DN弛址，也可以上网。如果能 ping通，还是上不了网，有可能是网线有问题。二、网络嗅探工具——sniffer的安装sniffer 软件的安装1、打开sniffer安装程序2、单击： Next进入下一步，安装程序自动进行3、单击Next；Name,Companyi便输入一些英文字母4、选择安装路径5、单击next继续安装6、带星号的随便输入一些英文字母（不能是汉字），有些有选择的随便选择一个， E-mail用正确的格式，继续单击下一步7、Phone和foxnumber用纯数字，其他的随便输入一些英文字母，有选择的随便选择一个，继续单击下一步；8、复制cd-key,粘贴到snifferserialnumber,其他的随便选择，单击下一步；9、这一步我们选择不要连接，继续单击下一步、单击完成，基本完成 sniffer安装过程；、默认单击 finish、不需要查看 sniffer文件，继续单击 finish、选择重新启动计算机，sniffer才能识别网卡，单击 finish,sniffer安装过程完成。

--f：■■iJJ J«■In--f：■■iJJ J«■InB^Fori*pm」&anubh-thwpr^gr^mynu*Tiwt Wndkiw-^nr51oi_41(mziItb口』b.NftI蜘曲iieitartw广匕门门酬即W&rR#mcvsbhfdink«hamth喇1cri^tc.aridl^isnM*Fift*hteocmpetecetupiFinifh三、ARP攻击的诊断与防范ARPB骗介绍与发生的现象简介：ARW即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把 IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将 IP地址转换为相应物理地址，这组协议就是 ARPB议。ARP欺骗：假设一个网络环境中，网内有三台主机，分别为主机AB、Co由于局域网的网络流通不是根据IP地址进行，而是按照 MA册址进行传输。所以，那个伪造出来的 MAC&址在A上被改变成一个不存在的 MACM址，这样就会造成网络不通，导致不能APingC通。当网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上， ping网关，time在波动比较大。这很有可能是有人用 ARP协议攻击网关。用sniffer软件监测AR取骗步骤一：在一台思科的交换机上做镜像端口，在思科交换机内配置如下：cisco>enablecisco#configureterminalcisco(config)#nomonitorsessionallcisco(config)#monitorsession2sourceinterfacefastEthernet0/2-24cisco(config)#monitorsession2destinationinterfacefastEthernet0/1cisco(config)#endcisco#showmonitorsession2cisco#showrunning-configcisco#copyrunning-configstartup-config步骤二：在做了端口镜像的机器上启动 sniffer程序。单击，工M按钮，定义过滤器，在弹出的defineFilter对话框Profiles

新建一个过滤器，这里取名为 liuping,,并单击“新建一个过滤器，这里取名为 liuping,,并单击“ok”如上图显示：在Default右边单击"三I",选择liuping,如下图所示:鼠标点击工具栏中HostTable按钮嚎旦，在弹出的子窗口中选择 Detail工具.9。现在，按照定义，监视器内Protocol（协议类型）仅包括IP_ARP.这对于我们查找问题①这里的Address（地址）以IP或者机器名的形式显示，如果显示 MAC请先使用Tools-Addressbook进行扫描，IP-MAC的显示转换。如下图所示：正常的情况broadcasts/s维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视 ^网内存在ARP欺骗情况时流量排行图.TOP1占据网内最大ARP流量。.中的流量急速增大且与 TOP3差距悬殊。.当.*111的回应（也就是单播数量）大于 ARP请求（广播的数量）将可能出现 ARP总流量大于Broadcast的情况，当节点出现ARP欺骗时，它会向网内ARPreply。节点.*111的trafficmap节点.*111的trafficmap口£；工曰0£一4♦工力皿：210.233. .111 /4*!"二上=：£6几乎与网内所有节点都有ARP通信。且对于网关通信数据量最大。等，,!J2<J迪电缰四、利用sniffer 对蠕虫病毒的分析蠕虫病毒简介蠕虫病毒是自包含的程序 （或是一套程序），它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中 （通常是经过网络连接 ）。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身 （因此在任意给定的时刻，只有一个蠕虫的拷贝运行 ），这种蠕虫有时也叫 “野兔”，蠕虫病毒一般是通过1434端口漏洞传播。蠕虫病毒流量分析原理：Sniffer软件可以监视网络的状态、数据流动情况以及网络上传输的信息并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析。找出最大流量的主机网络中的流量月大对网络中的影响越大。因此我们分析时要先对流量较大的主机进行分析。使用sniffer软件的hosttable功能对计算机数据包进行排序通过HostTable,可以分析每台计算机的流量情况，有些异常的网络流量可以直接在HostTable上直接能看出来，排在发包数量前列的IP地址，从网络收到的数据包数是0,但其向网络发出的数据包是很多个，这对HTTP协议来说显然是不正常的，HTTP＞议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用， UDP这种非连接的协议有可能。AriMsn|lrtP<scfc-e<5!AriMsn|lrtP<scfc-e<5!!In!f^*C5j口MP-sckc*a|[llML■#|100Packe*s]TGXtFMe%5vnnanoteW!Thts-1；t4137«IT1342VM-WdKeFJMzSFDt34b.1E-4411a177151mi0oIFFCnncffiF7FTFFAaRmKEHLIXmib117CMafl■wHtMgXXEHC17[MQ01Ti皿ic33：Tirminmn3G?2900□o3??fianQIIM6EOCODFCa中Q2i<0分析这些主机的网络流量对分析这些主机的网络流量对tIP地址的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用的Matrix看到的其发包目标。Sniffer■-HlwiMil!4H10 I*SI作■fbM、|K4-HF^flrFrMT***■ 1ir'Jar'JaPijuriE^iiObejjibi口hpi叱iT«di[Ddi di-hv匚・p♦Ii|.nmi^A|l(DedaJt何以小身tai+l.J修ngJ ,I ■oI-1・同划*1♦Ii|.nmi^A|l(DedaJt何以小身tai+l.J修ngJ ,I ■oI-1・同划*1m]IhJH*IJK!?!之』念」T.:.:',-k2l,J";'E:J:可三二“■r-JJ93■■11?o_Ji.?_JIr-llH-Edd',i.t:4r・LLaJAf1二g*HI2□n:u211E—r.-・,,+」1:，；2为晶禽E黑聂翟之眼能』盟.1』IQ3K-31Idflc-Jh-1a—J-IJhi2、J."■11•■-•!-=-■,-----<2?rk1----I1I-3J---■--*3Hh-I5一产JIHll^"A口21"薮J!lzz.sJ-li1跷工⑪zznJri.史224立从图中我们发现许多主机都是光发送数据包但是却没有接受到数据包如： 22.一样。由于HTTP协议基于TCP/IP协议，所以此现象不正常同样，我们可以清楚的发现IP地址存在同样的问题:IP地址发包数量收包数量3000221018901470分析不正常主机的流量首先对IP为22.的主机井降网络流量的过滤，查看其目标。下图为sniffer软件的Matrix选项卡，可看其发包目标。通过以上可发现，数据包都是 SYN包，且主机试图与许多的计算机进行两节，但都没收到恢复，且目标主机非常多，发送间隔短。明显不是人为发出。因此断定该计算机数据流量为不正常的数据。很可能感染了病毒，因此可进一步对其进行分析。来确定所感染的病毒使用Decode选项卡进进行数据包的进一步分析。可较为直观的发现异常数据包的行为从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是 HTTP的SYN&（80端口可以看出来），SYNfe是主机要发起TCP连接时发出的数据包，也就是该主机试图同网络中非常多的主机建立HTTP1接，但没有得到任何回应，这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。通过以上的分析，能够非常肯定的断定，该IP地址的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用 HTT的议传播的病毒，不断在网络中寻找 HTTP服务器，从而进行传播。正是由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。五、Sniffer 软件使用Sniffer简介SnifferPro是一款一流的便携式网管和应用故障诊断分析软件， SnifferPortablePro具备最优秀的网络和应用性能故障诊断功能。不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。对于在现场逆行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。实训操作：捕获数据通过Sniffer进行网络和协议分析，需要先捕获网络中的数据。默认状态下，由于Sniffer没有进行过滤设置，会捕获网络中所有数据。（1）单击工具栏上的 ,1按钮，或依次选择"Capture"-"Stare”选项，显示“Expert”窗口，Sniffer开始捕获的各种数据，能显示捕获的数据的概要信息，如下图所示:

(2)如图要查看当前捕获的各种数据，单击对话框左侧的" service"、"connection”选项，在右侧即可显示相应的数据的概要信息。单击 “Objects”选项开卡、可显示当前所监视对象的详细信息，如下图可显示：(3)当前Sniffer捕获一定的数据，就可以停止捕获并进行分析。 单击工具上的快捷按钮，或依次选择“Caputure”-“Stop”选项。即可停止捕获。从而了解网络的使用状况。查看分析捕获的数据依次选择"Capture"-"Display”选项，即可查看所有捕获的内容了。选择该窗口下方的"Dcecode”选项卡，显示如下图所示窗口，该窗口共分为 3个部分，由上到下依次为：总结、详细材料和Hex窗口的内容，可以查看所捕获的每一个帧的详细。jqrtw斑 口Hi出■trm<B|里j昱殳也©事#典UZJ电基J/何梆1D-'^J.Mji!：nJ/何梆1D-'^J.Mji!：niJfIrice钝n匚泗CEE2n二5匚zX：lr-E6D601]L1X[1«IbB&01JE8”HK[FalTTfjJ Exxcxtiqli?£iskikxicy：-l?：I：<：J：<二Tln-]iv8.■urfrirwr-n.pnitJRdTpr^ litMisTm?.r-0:01:01,0000叩r-175onc：mXu0的:M期1叩「m3 215t「r*|Br|Bl)(ECElimt7pavOBIIQ, byt«.+TIt二・|."-b!2=-hJO3,[J.JIt-A।.：.1]LE2S-14J：D-./4工更)」际I：1%1。鼻二乌疗门皿二IHDOTO1iJ09nMnminooQBiosaDQDQBD3EIOOQOInddnrImj^LiUaDClflDGl)口80OiJUOEJBlJiOCuutjyuDGUOCJU1.E253J7<DOTO1iJ09nMnminooQBiosaDQDQBD3EIOOQOInddnrImj^LiUaDClflDGl)口80OiJUOEJBlJiOCuutjyuDGUOCJU1.E253J7<b成■:Mnted7酉j注■.3blItto4讣U4M-o131!■A16cOlM•24d匚I-:32JB^5fidQ&tl2d了』自口加。344七G7fa普*，w5Jb33Cdm♦mrrdRZC01MZd4S<1扣a3dCa2s空”451%?G?2-02dGI“S睦Fg&g=j仃joML*9;jJdUaId.gi>pv

j[ 77舁拮：「“ 1收"14-9U*JHCF1*ETTFI1alaHl/XZS.i5sl8为。1*13flSTUEst72sc±ieEJ5--jpcip-CLr15QdCVli.TIntorxjl*Gatef<3yL：eTi=*1:“pCTCZ-.MX3..MatrixSniffer的矩阵功能可以直观地显示网络中各种计算机之间的连接。单击窗口下方的“ Matrix”标签，如下图所示，以"Matrix”方式显示了网络中各种计算机之间的连接情况，默认以 MAC%址代表计算机。■Q&.幽p[£C,1』蔓—!1”!>d*JhfcihM.Ki^hrWj♦|ll|・|憧M.]|ljEirga5日剑£|.kg|o同|0|他也|ZJV1Mw国--庖芸总❹回囱里则 rrrillK.MapdsdkuWThisE⑼何泪 = VHU^0reF2dO32\E.;wih入JTw£*£■祸gitvsisiTk 3rI |~ ~（"Matrix”图表）（显示IP连接）HostTable主要列表是一个很有用的功能，如下图所示，显示出该捕获过程中各计算机所传输的数据，并且可以根据所传输数据的多少来排列。保存数据当捕获结束后，依次选择“File”-“Save”选项，即可当前已捕获的数据保存到硬盘上，当日后再想重新分析时，可“File”菜单中的“Open”选项，选择事先保存的文件即可。阻止外部主机恶意扫描主机使用Sniffer显示该IP地址是来自外网的。由于网络采用MicrosoftISA群集服务器，实现Internet 连接共享，因此没有更多的对抗恶意扫描的措施，这个问题只有在核心三层交换机修改核心交换机上创建的、应用于代理服务器 VLAN的IP访问列表，在该IP访问列表中的permitipanyanyN刖添加Access-list180denyipanyhostAccess-list180denyiphostanyP2P软件谋杀Internet连接共享使用SmiffrePro监控代理服务器VLAN时，也发现大量用户的并发连接数量很大在核心交换机上设置 IP访问列表，并将之应用于代理服务器群集所在的 VLAN,禁用一些蠕虫病毒端口和常见P2P软件的端口。 IP访问列表如下Access-list110denytcpanyanyeq135Access-list110denytcpanyanyeq139Access-list110denyudpanyanyrangenetbios-nsnetbios-dgmAccess-list110denytcpanyanyeq445Access-list110denytcpany