RCCP0301-利用Sniffer让网络性能永驻巅峰

RCCP培训－

利用Sniffer让网络性能永驻巅峰议程Sniffer使用简介案例分析Sniffer〔嗅探器〕是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。正面因素：使用SNIFFER可以改变被动的网络管理为主动，提高网络的使用效率反面因素：利用SNIFFER可以发起网络攻击，窃取他人数据。这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等

Sniffer使用简介GradeofServiceGoodDegradedSeverelyDegradedOutageProblemAnalysis-ManualUserCallsStartSNMPTrapGradeofService被动的网络管理Sniffer使用简介GradeofServiceGoodDegradedOutageAutomatedProblemAnalysis(7x24)ExceptionNotedResolution主动的网络管理方式Sniffer使用简介AdapterToolsPacketgenBERTPingTraceRouteDNSLookupFinger

MonitorApplicationsDashboardARTHostTableMatrixHistorySamplesProtocolDistributionGlobalStatisticsDisplays

DecodeMatrixHostTableProtocolDistExpertTriggerNameDiscoveryAlarmsMonitorFiltersCaptureFiltersDisplayFiltersProbeDir Profiles Configs AddrBk DatabaseTracesExportedDataSniffer工作原理议程Sniffer使用简介案例分析Sniffer案例分析案例目的：了解Sniffer强大的多层次的分析网络故障功能传达网络故障排除的根本思想主要手段：利用Monitor加上网络根本知识进行故障分析案例分析效劳对象：一家大型建筑设计公司网络建设时间：80年代网络效劳器与工作站共800台左右，其中UNIX效劳器数十台，Macintosh效劳器和工作站150左右，其余为PC工作站协议类型：TCP/IP和APPLETALK网络结构800台计算机分布在三十层大楼之中骨干网技术千兆网、ATM接入网络设备交换机、HUB背景网络速度变慢PC机网络时常中断MAC机无法接入网络网络连接设备没有任何故障应用程序没有发现问题长达半年之久客户网络发生问题Sniffer接在一个镜像端口，经过一段时间获得了上面的数据：Summary:开始捕获时间：1998年8月26日上午11：25〔重要〕捕获时间长度：近8分钟平均网络利用率：0捕获数据文件概览MAC计算机无法连网，那么我们定义一个过滤器，仅仅查看Appletalk协议定义APPLETALK过滤器Appletalk本身没有问题所以我们必须回到全局的观点通常进行网络分析人员的常犯错误是仅仅将目光局限在出问题的点上。过滤后的数据使用PacketGenerator回放捕获的数据，模拟当时的网络状况回放网络流量63Packets/S53Broadcast/S说明播送太多概况利用Hosttable工具可以很容易发现Broadcast和Intel775435的活动量很大Hosttable进一步利用Matrix发现流量的大局部是Intel775435发的播送包Matrix利用ProtocolDistribution工具发现网络上的协议分布情况。在MAC层以上存在的协议有：IP、IP-ARP、IPX、NETBEUI、ATALK、DECNET、OSI…….IP-ARP竟然占用59.71％!如果在刚刚上班时间如早上8点左右，该协议会占有较大比率可以理解回忆数据包捕获时间——上午11：25。所以，可以初步认为该处有问题。Protocol分布情况前文可知一个Intel775435的流量比较大，对其进行隔离分析，查看播送内容。定义过滤器隔离问题使用定义好的过滤器进行抓包，然后进行解码分析。发现Intel正在连续不断地在一端连续的IP地址上进行ARP播送。连续的ARP时间间隔极短。产生CPU中断Intel让网络上的计算机中断、连续中断。

ARP一般没有管理员将MAC地址登记，而是根据IP地址。通过解码得到NTEL775435的IP为。通过登记表找到该计算机。

寻找目标网络参谋将该计算机的网线拔掉MAC机能够上网了！结论是：城门失火，殃及池鱼现在模拟没有INTEL775435的情况。定义过滤器，排除该工作站。抓包，并将新的结果存成一个新文件，重放。

如果没有Intel775435……看起来目前网络正常多了，IP-ARP减少到了20%左右新的网络状况Hosttable和Matrix显示正常。我们注意到Broadcast仍然占有相当比率。新的网络状况我们发现很多台工作站在发送ARP播送，为什么？通过分析数据包解码和该公司人员的配合，我们发现该公司使用了一种业务程序，该程序在每一台计算机都安装了一个客户端，该客户端利用ARP完成完成该程序任务的局部功能。该程序是设计为10台以内的工作组共同运行的，不适合该公司这样的大规模使用。还是ARP我们可以模拟一下该网络没有ARP〔当然是近似情况〕时的情况。利用DATAPATTERN定义一个过滤器，排除ARP协议。抓包，产生结果，保存并回放。排除ARPBaselinethenetworkfirst!