第6章 网络监视与Sniffer

第6章网络监视snifferPro6.1snifferPro概述6.2snifferPro安装与使用6.3snifferPro应用什么是Sniffer?一个网络故障、性能优化、安全分析的整体系统，可以帮助您发现和解决网络通讯问题、分析和优化网络性能以及规划未来发展监视应用程序生成实时统计捕获功能可以对捕获缓存筛选的帧进行实时Expert分析基本信息功能可以装载复杂的过滤器，易于进行存储和激活设置事后捕获功能翔实的数据帧显示功能可以允许您使用多种视图来深度分析帧流量生成工具允许您生成帧、缓存或发送其它测试数据6.1snifferPro概述SinfferPro是美国NetworkAssociates公司生产的一款网络监视、分析软件，可用于网络故障与性能管理，在局域网领域应用非常广泛。

Sniffer的产品组成

广域网硬件(SnifferBook)两种Portable平台:Dolch

NotebookPOS硬件(SnifferBookUltra)GigabitSplitterATM硬件(ATMBook)分布式SnifferAgent(DSS/RMON)1.Snifferpro功能Snifferpro嗅探器可用于局域网管理的通信监视，其软件功能中体现了RMONMIB规范。功能

1.监控（monitor）

2.数据包捕捉（capture抓包）

3.实时监控网络活动（display）

4.专家分析系统（expert）Sniffer四大功能模块监控（monitor） 可以监控网络的流量、连接数量、处在网络连接中的目的和源客户端的地址（MAC、IP、IPX）、数据包大小的分布、协议分布等，可以通过历史采样功能对多达20个以上的网络参数进行采样，并可通过直方图或饼形图显示。(动态）数据包捕捉（capture抓包） 就是将所有的数据包截取并放在缓冲区中，便于分析。基本原理就是通过将网卡的工作模式设置为“混杂”模式，网卡或模块接受所有的数据，不管是不是给自己发送的，达到网络监控和网络管理的功能。

SnifferPro网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。可以解码至少450种协议。除了IP、IPX和其它一些“标准”协议外，SnifferPro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

提供在位和字节水平上过滤数据包的能力。数据包捕捉（capture抓包）Sniffer四大功能模块显示（display） 通过抓包后进行协议解码分析(decode)，在网络全部七层上可以对490多种协议进行解释。（静态）

专家分析系统（expert） 抓包同时建立网络对象数据库，并利用知识库检测网络异态。（实时）RMONMIBSnifferPro功能反映了RMON1针对Ethernet提供9组数据统计组(statistics)：基本统计信息，3个表历史组(history)：存储以固定间隔取样所获的子网数据告警组(alarm)：定义的一组网络性能阀值。主机组(host)：收集LAN上的特定主机的统计信息最高主机组(hostTopN)：据某些参数排序列在前N个主机统计信息矩阵组(matrix)：记录子网内各对主机间的流量信息过滤组(filter)：管理站指示的有选择地观测特定数据包捕获组(capture)：建立一组缓冲，用于存储filter的包事件组(event)：用于管理事件。控制事件的产生和通知2.Sniffer的工作原理Sniffer是依据以太网的广播通信机制，利用计算机的网络接口截获目的地为其他计算机的数据报文，实现监视整个局域网通信的.Sniffer的两个类别:共享环境下的Sniffer共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报,而不需要进行任何欺骗行为.交换环境下的Sniffer交换环境下的Sniffer往往是通过对交换机进行ARP欺骗,变成一个中间人进行截获数据.集线器工作原理：当集线器收到一个以太网帧时，会把它转发到除接收端口之外的所有其他端口。交换机的工作原理：根据mac地址表，在源、目的主机之间一对一的进行数据转发。3.部署Snifferpro4.7.5共享式网络将Sniffer安置在需要监视的网段中任意位置即可。若为计算机，则将其网卡设置为混杂模式。它能嗅探到的数据包，又决定它所能分析的网络环境。交换环境下的部署Sniffer只能嗅探到所在链路上“流经”的数据包，如果Sniffer被安装在交换网络中普通PC位置上不做任何设置，那么它仅仅能捕获本机数据。交换环境下部署Sniffer大多使用SPAN（SwitchPortAnalysis）技术，把交换机上我们想要监控的端口的数据镜像到被称为Mirror端口上，Mirror端口连接安装有Sniffer程序或者专用嗅探硬件设备。下图为在网络中简单的使用SPAN技术部署Sniffer图例。4.配置交换机端口镜像端口镜像概念：

PortMirror(端口镜像）是用于进行网络性能监测。可以这样理解：在端口A和端口B之间建立镜像关系，这样，通过端口A传输的数据将同时复制到端口B，以便于在端口B上连接的分析仪或者分析软件进行性能分析或故障判断。H3C3026等交换机镜像配置配置网络环境示例：

1.PC1接在交换机E0/1端口，IP地址/24 2.PC2接在交换机E0/2端口，IP地址/24 3.E0/24为交换机上行端口

4.Server接在交换机E0/8端口，该端口作为镜像端口方法一

1.配置镜像（观测）端口

[SwitchA]monitor-porte0/8 2.配置被镜像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二 可以一次性定义镜像和被镜像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8端口流量限速displayqos-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量

端口速率限制

line-rateinbound/outboundtarget-rate

inbound:对端口接收报文进行速率限制

outbound:对端口发送报文进行速率限制

target-rate对报文限制速率,单位kbps千兆口inbound范围1-1000000outbound范围20-1000000

undoline-rate取消限速.

[h3c]interfaceGigabitEthernet1/0/1

[h3c-GigabitEthernet1/0/1]line-rateoutbound128限制出去速率为128kbps

5.Sniffer的工作AdapterToolsPacketgenBERTPingTraceRouteDNSLookupFinger

NameDiscoveryMonitorFiltersMonitorApplicationsDashboardARTHostTableMatrixHistorySamplesProtocolDistributionGlobalStatisticsCaptureFiltersDisplayFiltersDisplays

DecodeMatrixHostTableProtocolDistExpertProbeDir Profiles

Configs

Addr

Bk DatabaseTraces ExportedDataTriggerAlarms

6.2SnifferPro安装安装前须知（不配置端口镜像的共享环境）计算机环境要求Windows系统（xp/2003/vista），计算机硬件性能好。重启保存设置。网卡模式重启后为混合模式（正常为单纯模式）安装时，首先要填写使用者信息给产品公司。试用版可按要求填写，但不必联网提交。在首次运行SnifferPro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。设置监控网卡1。安装Snifferpro4.7.5进入Snifferpro4.7.5安装目录，找到Snifferpro4.7.5的安装文件SnifferPro_4_70_530.exe，双击该文件执行安装操作，弹出安装向导对话框。在该话框中，单击“next”（下一步），安装程序解压缩安装文件，弹出欢迎对话框.填写你的信息，选择通信使用的网卡（208室为排在第一的网卡实践操作

第三步

输入Snifferpro用户注册信息，包括名字，姓，公司名称，邮件地址等，请根据实际情况填写，不要用中文，使用英文字母填写，以防程序提示非法字符，不能进入下一步安装，如图所示。实践操作

单击“下一步”，软件会提示输入产品序列号，请正确填写（实验中可随意输入几个数字），如图第四步返回第五步

完成安装，如图选择完成，软件会提示需要IE5.0以上的浏览器及虚拟机。最后重新启动计算机，就完成了Snifferpro的安装。实践操作

返回下页上页安装完成后，在网卡属性中会自动添加一个项目“SnifferProtocolDriver”，如图所示：重启后选择捕获网卡

实践操作

重新启动后，从开始--程序中启动sniffer，出现主窗口后，首先进行捕获网卡选择，确定从计算机的哪个网络适配器上接收数据，选择正确的网络适配器后才能正常工作，如图所示。操作位置：菜单“文件”｜“选定设置”。返回下页上页第六步

SnifferPro

主窗口6.3SnifferPro操作主菜单：监视、捕获、工具、数据库设置等快捷图标任务栏主菜单与工具栏打开文件保存地址簿取消打印Dashboard主机通讯应用响应时间Matrix历史协议分布全局统计警报捕获面板打印Dashboard

（仪表板）:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。

HostTable：可以查看通信量最大的前10位主机。Matrix:通过连线，可以形象的看到不同主机之间的通信（图形）。ApplicationResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。

HistorySamples:可以看到历史数据抽样出来的统计值。

Protocoldistribution:可以实时观察到数据流中不同协议的分布情况Switch:可以获取（cisco）交换机的状态信息1.监视(Monitor)

1）

Dashboard(仪表盘)启动后Sniffer主窗口中显示Dashboard(仪表盘)，显示“Utilization%”“Packets/s”“Errors/s”，即显示网络利用率、传输的数据和错误统计。Utilization%(利用率百分比)

用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表示警戒值，表盘下方有两个数字，第一个数字代表当前利用率百分比，第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。选择表盘区左下角的Detail，显效果如图选择图表区左下角的SizeDistrbution，显效果如图2）Hosttable（主机列表）

点击显示所有在线的本网主机地址及连到外网的外网服务器地址实训校208机房的通信主机列表主机表视图和图标大纲表细节表柱状图饼图使用这个地址捕获数据帧定义新捕获过滤器暂停屏幕更新刷新主机表数据重新设置主机表将数据输出到文件编辑主机表特性单一工作站视图

3）Matrix（矩阵）

点击点击箭头所指的图标，出现全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大（zoom）此图。Matrix将鼠标停留在线上以获取通讯量协议标签控制(Ctrl)点击选择多个地址，然后按下定义过滤器图标来开始地址过滤捕获将鼠标停留在地址上放大地址

点击右键设置缩放度4）4）历史取样开始历史取样大图标小图标列表细节添加多历史编辑取样特性（Sniffer性能管理）5）应用响应时间MeasuresapplicationprotocolresponsetimebetweenServer/ClientinmillisecondsTableViewServer/ClientResponseTime6）协议分配(ProtocolDistribution)柱状图饼图表格数据帧比例字节比例暂停刷新重新设置输出数据协议标签可以提示激活的应用点击柱状图可以查看比例7）全局统计GlobalStatistics柱状图或饼图尺寸或网络利用统计2.捕获选择“Capture”菜单中的“Start”选项，显示如图所示“Expert”对话框，此时，Sniffer便开始捕获局域网与外部网络所传输的所有数据。当缓冲器中积累了一定流量后，可以单击“Stopanddisplay”停止并查看所捕获的数据。Expert层应用 OSI应用层信息

会话

OSI会话层信息连接OSI传输层信息工作站

OSI网络层信息DLC 拓扑相关信息全球 网段性能统计路由

RIP路由信息子网

子网成对显示Expert摘要视图层图标–点击获取层细节概要（视图）或对象视图

诊断、症状或对象Expert、解码、Matrix、主机表、协议分配或统计视图打印激活、生成与捕获帧以及警报图标不可见层：

全球路由子网(工作站层故障)过滤器定义确定从计算机的哪个网络适配器上接收数据。位置：File->selectsettings定义过滤器：capture->definefilter

定义希望捕获的相关协议的数据包

想捕获FTP、NETBIOS、DNS、HTTP的数据包，首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。如果不选任何协议，则捕获所有协议的数据包。

选择捕获的相关协议窗口定义捕获数据包的缓冲区

需将定义的过滤规则应用于捕获中

捕获数据包时观察到的信息

Capture

Start,启动捕获引擎sniffer可以实时监控主机、协议、应用程序、不同包类型等的分布情况

捕获数据包后的分析

Expert:这是sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出非常有价值的诊断信息。Decode:对每个数据包进行解码，可以看到整个包的结构及从链路层到应用层的信息，事实上，sniffer的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实践经验上提出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结症所在。sniffer同样提供解码后的数据包过滤显示。要对包进行显示过滤需切换到Decode模式。Display

definefilter，定义过滤规则。

Display

selectfilter,应用过滤规则。3.Sniffer工具sniffer提供的工具应用包发生器PingTracerouteDNSlookupFingerwhois等工具。

PacketGenerator(数据包发生器)使用数据包发生器,可以自己定义数据包进行发送.点击包发生器提供三种生成数据包的方式

点选新构一个数据包，包头、包内容及包长由用户直接填写。下图，定义一个广播包，使其连续发送，包的发送延迟位1ms点选发送在Decode中所定位的数据包，同时可以在此包的基础上对数据包进行如前述的修改。点选发送buffer中所有的数据包，实现数据流的重放。

7.3SnifferPro应用监视网络流量问题，如网络广播风暴捕获协议数据检查网络中使用QQ的用户解决IP地址盗用问题

1.抓取单台主机的所有流量本例要抓08这台机器的所有数据包，如图中①选择这台机器。点击②所指图标.抓取单台主机的所有流量(续)

等到图中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标抓取单台主机的所有流量(续)选择箭头所指的Decode选项即可看到捕捉到的所有包2.抓取telnet的流量抓取telnet的流量续(显示密码)3.抓取ftp的流量使用Sniffer防御蠕虫病毒的案例分析环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下4.找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。通过HostTable，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过HostTable来发现，如排在发包数量前列的IP地址为

的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。IP地址发包数量收包数量5530005024330522210191890214700