1、嗅探器 百科名片嗅探器保護(hù)網(wǎng)絡(luò)嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行的軟件設(shè)備，協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息。網(wǎng)絡(luò)運(yùn)作和維護(hù)都可以采用協(xié)議分析器：如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則、鑒定分析網(wǎng)絡(luò)數(shù)據(jù)以及診斷并修復(fù)網(wǎng)絡(luò)問(wèn)題等等。非法嗅探器嚴(yán)重威脅網(wǎng)絡(luò)安全性，這是因?yàn)樗鼘?shí)質(zhì)上不能進(jìn)行探測(cè)行為且容易隨處插入，所以網(wǎng)絡(luò)黑客常將它作為攻擊武器。目錄簡(jiǎn)介 網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介 網(wǎng)絡(luò)監(jiān)聽(tīng)原理 Snifffer的分類 網(wǎng)絡(luò)監(jiān)聽(tīng)的目的編輯本段簡(jiǎn)介嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network As

2、sociates 決定另開(kāi)辟一個(gè)嗅探器產(chǎn)品單元，該單元組成一家私有企業(yè)并重新命名為 Network General，如今嗅探器已成為 Network General 公司的一種特征產(chǎn)品商標(biāo)，由于專業(yè)人士的普遍使用，嗅探器廣泛應(yīng)用于所有能夠捕獲和分析網(wǎng)絡(luò)流量的產(chǎn)品。 編輯本段網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介在講述Sniffer的概念之前，首先需要講述局域網(wǎng)設(shè)備的一些基本概念。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（Frame）的單位傳輸?shù)模瑤蓭撞糠纸M成，不同的部分執(zhí)行不同的功能。幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上，通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)

3、器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，存在安全方面的問(wèn)題。 1 / 17每一個(gè)在局域網(wǎng)（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)與Internet地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)包就會(huì)發(fā)送到LAN上所有可用的機(jī)器。 在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量，但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)（換句話說(shuō)，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單地忽略這些數(shù)據(jù)）。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式（關(guān)于混雜模式的概念會(huì)在后面解釋），那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和

4、幀。 編輯本段網(wǎng)絡(luò)監(jiān)聽(tīng)原理Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。 普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持 BPF，Linux下需要支持SOCKET-PACKET。但一般情況下，網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無(wú)關(guān)的數(shù)據(jù)包，所以，為了繞過(guò)標(biāo)準(zhǔn)的TCPIP堆棧，網(wǎng)卡就必須設(shè)置為混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽

5、設(shè)備BPFilter，而且需要root權(quán)限來(lái)運(yùn)行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼，因?yàn)椴荒苓\(yùn)行Sniffer。 基于Sniffer這樣的模式，可以分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器，由于它接收任何一個(gè)在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒(méi)有加密的信息的可能性。這成為黑客們常用的擴(kuò)大戰(zhàn)果的方法，用來(lái)奪取其他主機(jī)的控制權(quán)。 編輯本段Snifffer的分類Sniffer分為軟件和硬件兩種，軟件的Sniffer有NetXray、Packetboy、Net Monitor、

6、Sniffer Pro、WireShark、WinNetCap等，其優(yōu)點(diǎn)是物美價(jià)廉，易于學(xué)習(xí)使用，同時(shí)也易于交流；缺點(diǎn)是無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無(wú)法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況。硬件的Sniffer通常稱為協(xié)議分析儀，一般都是商業(yè)性的，價(jià)格也比較貴。 實(shí)際上本章所講的Sniffer指的是軟件。它把包抓取下來(lái)，然后打開(kāi)并查看其中的內(nèi)容，可以得到密碼等。Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，就是說(shuō)，你和監(jiān)聽(tīng)的目標(biāo)中間不能有路由或其他屏蔽廣播包的設(shè)備，這一點(diǎn)很重要。所以，對(duì)一般撥號(hào)上網(wǎng)的用戶來(lái)說(shuō)，是不可能利用Sniffer來(lái)竊聽(tīng)到其他人的通信內(nèi)容的。 編輯本段網(wǎng)絡(luò)監(jiān)聽(tīng)的目的當(dāng)一個(gè)

7、黑客成功地攻陷了一臺(tái)主機(jī)，并拿到了root權(quán)限，而且還想利用這臺(tái)主機(jī)去攻擊同一網(wǎng)段上的其他主機(jī)時(shí)，他就會(huì)在這臺(tái)主機(jī)上安裝Sniffer軟件，對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè)LOG文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包，這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺(tái)主機(jī)的密碼，他就會(huì)立刻進(jìn)入這臺(tái)主機(jī)。 如果Sniffer運(yùn)行在路由器上或有路由功能的主機(jī)上，就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控，因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過(guò)路由器。 Sniffer屬于第M層次的攻擊。就是說(shuō)，只有在攻擊

8、者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。 Sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個(gè)重要的信息、在網(wǎng)上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網(wǎng)上傳送的數(shù)據(jù)包。 Sniffer是一種比較復(fù)雜的攻擊手段，一般只有黑客老手才有能力使用它，而對(duì)于一個(gè)網(wǎng)絡(luò)新手來(lái)說(shuō)，即使在一臺(tái)主機(jī)上成功地編譯并運(yùn)行了 Sniffer，一般也不會(huì)得到什么有用的信息，因?yàn)橥ǔ＞W(wǎng)絡(luò)上的信息流量是相當(dāng)大的，如果不加選擇地接收所有的包，然后從中找到所需要的信息非常困難；而且，如果長(zhǎng)時(shí)間進(jìn)行監(jiān)聽(tīng)，還有可能把放置Sniffer的機(jī)器的硬盤撐爆下

9、文將詳細(xì)介紹Sniffer的原理和應(yīng)用。 Sniffer 原理 網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介在講述Sniffer的概念之前，首先需要講述局域網(wǎng)設(shè)備的一些基本概念。 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（Frame）的單位傳輸?shù)模瑤蓭撞糠纸M成，不同的部分執(zhí)行不同的功能。幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上，通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)帶來(lái)安全方面的問(wèn)題。 每一個(gè)在局域網(wǎng)（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器

10、（這一點(diǎn)與Internet地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)包就會(huì)發(fā)送到LAN上所有可用的機(jī)器。 如果使用Hub/即基于共享網(wǎng)絡(luò)的情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量，但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)（換句話說(shuō)，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單地忽略這些數(shù)據(jù)）。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式（關(guān)于混雜模式的概念會(huì)在后面解釋），那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。 但是現(xiàn)代網(wǎng)絡(luò)常常采用交換機(jī)作為網(wǎng)絡(luò)連接設(shè)備樞紐，在通常情況下，交換機(jī)不會(huì)讓網(wǎng)絡(luò)中每一臺(tái)主機(jī)偵聽(tīng)到其他主機(jī)的通訊，因此Sniffer技術(shù)在這時(shí)必須結(jié)合網(wǎng)絡(luò)端口鏡像技術(shù)進(jìn)行配合。而衍生的

11、安全技術(shù)則通過(guò)ARP欺騙來(lái)變相達(dá)到交換網(wǎng)絡(luò)中的偵聽(tīng)。 網(wǎng)絡(luò)監(jiān)聽(tīng)原理Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。 普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情況下，網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無(wú)關(guān)的數(shù)據(jù)包，所以，為了繞過(guò)標(biāo)準(zhǔn)的TCPIP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開(kāi)始講的混雜

12、模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備Bpfilter，而且需要root權(quán)限來(lái)運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼，因此不能運(yùn)行Sniffer。 也有基于無(wú)線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN, FR)甚至光網(wǎng)絡(luò)(POS、Fiber Channel)的監(jiān)聽(tīng)技術(shù)，這時(shí)候略微不同于以太網(wǎng)絡(luò)上的捕獲概念，其中通常會(huì)引入TAP (測(cè)試介入點(diǎn))這類的硬件設(shè)備來(lái)進(jìn)行數(shù)據(jù)采集。 編輯本段分類Sniffer分為軟件和硬件兩種，軟件的Sniffer有 Sniffer Pro、Network Monitor、PacketBo

13、ne等，其優(yōu)點(diǎn)是易于安裝部署，易于學(xué)習(xí)使用，同時(shí)也易于交流；缺點(diǎn)是無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無(wú)法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況。硬件的Sniffer通常稱為協(xié)議分析儀，一般都是商業(yè)性的，價(jià)格也比較昂貴，但會(huì)具備支持各類擴(kuò)展的鏈路捕獲能力以及高性能的數(shù)據(jù)實(shí)時(shí)捕獲分析的功能。 基于以太網(wǎng)絡(luò)嗅探的Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包，就是說(shuō)，你和監(jiān)聽(tīng)的目標(biāo)中間不能有路由或其他屏蔽廣播包的設(shè)備，這一點(diǎn)很重要。所以，對(duì)一般撥號(hào)上網(wǎng)的用戶來(lái)說(shuō)，是不可能利用Sniffer來(lái)竊聽(tīng)到其他人的通信內(nèi)容的。 編輯本段網(wǎng)絡(luò)監(jiān)聽(tīng)的目的當(dāng)一個(gè)黑客成功地攻陷了一臺(tái)主機(jī)，并拿到了root權(quán)限，而且還想利用這臺(tái)

14、主機(jī)去攻擊同一（物理）網(wǎng)段上的其他主機(jī)時(shí)，他就會(huì)在這臺(tái)主機(jī)上安裝Sniffer軟件，對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè)LOg文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包，這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺(tái)主機(jī)的密碼，他就會(huì)立刻進(jìn)入這臺(tái)主機(jī)。 如果Sniffer運(yùn)行在路由器上或有路由功能的主機(jī)上，就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控，因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過(guò)路由器。 Sniffer屬于第M層次的攻擊。就是說(shuō)，只有在攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)的情況下，才能使用Sniffer這種

15、攻擊手段，以便得到更多的信息。 Sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個(gè)重要的信息、在網(wǎng)上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網(wǎng)上傳送的數(shù)據(jù)包。 編輯本段產(chǎn)品介紹網(wǎng)絡(luò)的安全性和高可用性是建立在有效的網(wǎng)絡(luò)管理基礎(chǔ)之上的,網(wǎng)絡(luò)管理包括配置管理、故障管理、性能管理、安全管理和計(jì)費(fèi)管理五大部分。對(duì)于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)，網(wǎng)絡(luò)故障管理主要側(cè)重于實(shí)時(shí)的監(jiān)控，而網(wǎng)絡(luò)性能管理更看中歷史分析。 Sniffer網(wǎng)絡(luò)分析儀是一個(gè)網(wǎng)絡(luò)故障、性能和安全管理的有力工具，它能夠自動(dòng)地幫助網(wǎng)絡(luò)專業(yè)人員維護(hù)網(wǎng)絡(luò)，查找故障，極大地簡(jiǎn)化了發(fā)現(xiàn)和解決網(wǎng)絡(luò)問(wèn)題的過(guò)程，廣泛適用于Ether

16、net、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等網(wǎng)絡(luò)。網(wǎng)絡(luò)安全· 網(wǎng)絡(luò)安全的保障與維護(hù) 1. 對(duì)異常的網(wǎng)絡(luò)攻擊的實(shí)時(shí)發(fā)現(xiàn)與告警； 2. 對(duì)高速網(wǎng)絡(luò)的捕獲與偵聽(tīng)； 3. 全面分析與解碼網(wǎng)絡(luò)傳輸?shù)膬?nèi)容； · 面向網(wǎng)絡(luò)鏈路運(yùn)行情況的監(jiān)測(cè) 1. 各種網(wǎng)絡(luò)鏈路的運(yùn)行情況； 2. 各種網(wǎng)絡(luò)鏈路的流量及阻塞情況； 3. 網(wǎng)上各種協(xié)議的使用情況； 4. 網(wǎng)絡(luò)協(xié)議自動(dòng)發(fā)現(xiàn)； 5. 網(wǎng)絡(luò)故障監(jiān)測(cè)； · 面向網(wǎng)絡(luò)上應(yīng)用情況的監(jiān)測(cè) 1. 任意網(wǎng)段應(yīng)用流量、流向；

17、2. 任意服務(wù)器應(yīng)用流量、流向； 3. 任意工作站應(yīng)用流量、流向； 4. 典型應(yīng)用程序響應(yīng)時(shí)間； 5. 不同網(wǎng)絡(luò)協(xié)議所占帶寬比例； 6. 不同應(yīng)用流量、流向的分布情況及拓?fù)浣Y(jié)構(gòu)； · 強(qiáng)大的協(xié)議解碼能力，用于對(duì)網(wǎng)絡(luò)流量的深入解析 1. 對(duì)各種現(xiàn)有網(wǎng)絡(luò)協(xié)議進(jìn)行解碼； 2. 對(duì)各種應(yīng)用層協(xié)議進(jìn)行解碼； 3. Sniffer協(xié)議開(kāi)發(fā)包（PDK）可以讓用戶簡(jiǎn)單方便地增加用戶自定義的協(xié)議； · 網(wǎng)絡(luò)管理、故障報(bào)警及恢復(fù) 運(yùn)用強(qiáng)大的專家分析系統(tǒng)幫助維護(hù)人員在最短時(shí)間內(nèi)排除網(wǎng)絡(luò)故障； 根據(jù)用戶習(xí)慣，Sniffer可提供實(shí)時(shí)數(shù)據(jù)或圖表方式顯示統(tǒng)計(jì)結(jié)果，統(tǒng)計(jì)內(nèi)容包括： l 網(wǎng)絡(luò)統(tǒng)計(jì)：如當(dāng)前和

18、平均網(wǎng)絡(luò)利用率、總的和當(dāng)前的幀數(shù)及字節(jié)數(shù)、總站數(shù)和激活的站數(shù)、協(xié)議類型、當(dāng)前和總的平均幀長(zhǎng)等。 協(xié)議統(tǒng)計(jì)：如協(xié)議的網(wǎng)絡(luò)利用率、協(xié)議的數(shù)、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類型的幀的統(tǒng)計(jì)等。l 差錯(cuò)統(tǒng)計(jì)：如錯(cuò)誤的CRC校驗(yàn)數(shù)、發(fā)生的碰撞數(shù)、錯(cuò)誤幀數(shù)等。l 站統(tǒng)計(jì)：如接收和發(fā)送的幀數(shù)、開(kāi)始時(shí)間、停止時(shí)間、消耗時(shí)間、站狀態(tài)等。最多可統(tǒng)計(jì)1024個(gè)站。l 幀長(zhǎng)統(tǒng)計(jì)：如某一幀長(zhǎng)的幀所占百分比，某一幀長(zhǎng)的幀數(shù)等。l 當(dāng)某些指標(biāo)超過(guò)規(guī)定的閾值時(shí)，Sniffer可以自動(dòng)顯示或采用有聲形式的告警。 Sniffer可根據(jù)網(wǎng)絡(luò)管理者的要求，自動(dòng)將統(tǒng)計(jì)結(jié)果生成多種統(tǒng)計(jì)報(bào)告格式，并可存盤或打印輸出。 1.3 Sniff

19、er實(shí)時(shí)專家分析系統(tǒng) 高度復(fù)雜的網(wǎng)絡(luò)協(xié)議分析工具能夠監(jiān)視并捕獲所有網(wǎng)絡(luò)上的信息數(shù)據(jù)包，并同時(shí)建立一個(gè)特有網(wǎng)絡(luò)環(huán)境下的目標(biāo)知識(shí)庫(kù)。智能的專家技術(shù)掃描這些信息以檢測(cè)網(wǎng)絡(luò)異常現(xiàn)象，并自動(dòng)對(duì)每種異常現(xiàn)象進(jìn)行歸類。所有異常現(xiàn)象被歸為兩類：一類是symptom（故障征兆提示，非關(guān)鍵事件例如單一文件的再傳送），另一類是diagnosis（已發(fā)現(xiàn)故障的診斷，重復(fù)出現(xiàn)的事件或要求立刻采取行動(dòng)的致命錯(cuò)誤）。經(jīng)過(guò)問(wèn)題分離、分析且歸類后，Sniffer將實(shí)時(shí)地，自動(dòng)發(fā)出一份警告、對(duì)問(wèn)題進(jìn)行解釋并提出相應(yīng)的建議解決方案。 Sniffer與其他網(wǎng)絡(luò)協(xié)議分析儀最大的差別在于它的人工智能專家系統(tǒng)(Expert System)

20、。簡(jiǎn)單地說(shuō)，Sniffer能自動(dòng)實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)，捕捉數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)配置，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)故障并進(jìn)行告警，它能指出： 網(wǎng)絡(luò)故障發(fā)生的位置，以及出現(xiàn)在OSI第幾層。l 網(wǎng)絡(luò)故障的性質(zhì)，產(chǎn)生故障的可能的原因以及為解決故障建議采取的行動(dòng)。l Sniffer 還提供了專家配制功能，用戶可以自已設(shè)定專家系統(tǒng)判斷故障發(fā)生的觸發(fā)條件。l l 有了專家系統(tǒng)，您無(wú)需知道那些數(shù)據(jù)包構(gòu)成網(wǎng)絡(luò)問(wèn)題，也不必熟悉網(wǎng)絡(luò)協(xié)議，更不用去了解這些數(shù)據(jù)包的內(nèi)容，便能輕松解決問(wèn)題。 編輯本段OSI全協(xié)議七層解碼Sniffer的軟件非常豐富，可以對(duì)在各種網(wǎng)絡(luò)上運(yùn)行的400多種協(xié)議進(jìn)行解碼，如TCP/IP、Novell Netware、DECn

21、et、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網(wǎng)絡(luò)互聯(lián)橋/路由器的幀格式。 Sniffer可以在全部七層OSI協(xié)議上進(jìn)行解碼，目前沒(méi)有任何一個(gè)系統(tǒng)可以做到對(duì)協(xié)議有如此透徹的分析；它采用分層方式，從最低層開(kāi)始，一直到第七層，甚至對(duì)Oracle數(shù)據(jù)庫(kù)、SYBASE數(shù)據(jù)庫(kù)都可以進(jìn)行協(xié)議分析；每一層用不同的顏色加以區(qū)別。 Sniffer對(duì)每一層都提供了Summary(解碼主要

22、規(guī)程要素)、Detail(解碼全部規(guī)程要素)、Hex(十六進(jìn)制碼)等幾種解碼窗口。在同一時(shí)間，最多可以打開(kāi)六個(gè)觀察窗口。 Sniffer還可以進(jìn)行強(qiáng)制解碼功能(Protocl Forcing)，如果網(wǎng)絡(luò)上運(yùn)行的是非標(biāo)準(zhǔn)協(xié)議，可以使用一個(gè)現(xiàn)有標(biāo)準(zhǔn)協(xié)議樣板去嘗試解釋捕獲的數(shù)據(jù)。 Sniffer提供了在線實(shí)時(shí)解碼分析和在線捕捉，將捕捉的數(shù)據(jù)存盤后進(jìn)行解碼分析二種功能。 編輯本段Sniffer的商業(yè)應(yīng)用Sniffer被 Network General公司注冊(cè)為商標(biāo)，這家公司以出品Sniffer Pro系列產(chǎn)品而知名。目前最新版本為Sniffer Portable 4.9，這類產(chǎn)品通過(guò)網(wǎng)絡(luò)嗅探這一技術(shù)方

23、式，對(duì)數(shù)據(jù)協(xié)議進(jìn)行捕獲和解析，能夠大大幫助故障診斷和網(wǎng)絡(luò)應(yīng)用性能的分析鑒別。 Network General 已經(jīng)被NetScout公司收購(gòu)。 編輯本段Sniffer的擴(kuò)展應(yīng)用1、專用領(lǐng)域的Sniffer Sniffer被廣泛應(yīng)用到各種專業(yè)領(lǐng)域，例如FIX (金融信息交換協(xié)議)、MultiCast(組播協(xié)議)、3G (第三代移動(dòng)通訊技術(shù))的分析系統(tǒng)。其可以解析這些專用協(xié)議數(shù)據(jù)，獲得完整的解碼分析。 2、長(zhǎng)期存儲(chǔ)的Sniffer應(yīng)用 由于現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)量驚人，帶寬越來(lái)越大。采用傳統(tǒng)方式的Sniffer產(chǎn)品很難適應(yīng)這類環(huán)境，因此誕生了伴隨有大量硬盤存儲(chǔ)空間的長(zhǎng)期記錄設(shè)備。例如nGenius Infi

24、nistream等。 3、易于使用的Sniffer輔助系統(tǒng) 由于協(xié)議解碼這類的應(yīng)用曲高和寡，很少有人能夠很好的理解各類協(xié)議。但捕獲下來(lái)的數(shù)據(jù)卻非常有價(jià)值。因此在現(xiàn)代意義上非常流行如何把協(xié)議數(shù)據(jù)采用最好的方式進(jìn)行展示，包括產(chǎn)生了可以把Sniffer數(shù)據(jù)轉(zhuǎn)換成Excel的BoneLight類型的應(yīng)用和把Sniffer分析數(shù)據(jù)進(jìn)行圖形化的開(kāi)源系統(tǒng)PacketMap等。這類應(yīng)用使用戶能夠更簡(jiǎn)明地理解Sniffer數(shù)據(jù)。 4、無(wú)線網(wǎng)絡(luò)的Sniffer 傳統(tǒng)Sniffer是針對(duì)有線網(wǎng)絡(luò)中的局域網(wǎng)而言，所有的捕獲原理也是基于CSMA/CD的技術(shù)實(shí)現(xiàn)。隨著WLAN的廣泛使用，Sniffer進(jìn)一步擴(kuò)展到802.

25、11A/B/G/N的無(wú)線網(wǎng)絡(luò)分析能力。無(wú)線網(wǎng)絡(luò)相比傳統(tǒng)網(wǎng)絡(luò)無(wú)論從捕獲的原理和接入的方式都發(fā)生了較大改變。這也是Sniffer技術(shù)發(fā)展趨勢(shì)中非常重要的部分. 編輯本段用Sniffer監(jiān)控網(wǎng)絡(luò)流量隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展，網(wǎng)吧已由過(guò)去即時(shí)通信、瀏覽網(wǎng)頁(yè)、電子郵件等簡(jiǎn)單的應(yīng)用，擴(kuò)展成為運(yùn)行大量在線游戲、在線視頻音頻、互動(dòng)教學(xué)、P2P等技術(shù)應(yīng)用。應(yīng)用特點(diǎn)也呈現(xiàn)出多樣性和復(fù)雜性，因此，這些應(yīng)用對(duì)我們的網(wǎng)絡(luò)服務(wù)質(zhì)量要求更為嚴(yán)格和苛刻。 目前，大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，當(dāng)網(wǎng)吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時(shí)，很多網(wǎng)絡(luò)管理員顯的心有于而力不足

26、。畢竟，靠網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)和一些簡(jiǎn)單傳統(tǒng)的排查方法：無(wú)論從時(shí)間上面還是準(zhǔn)確性上面都存在很大的誤差，同時(shí)也影響了工作效率和正常業(yè)務(wù)的運(yùn)行。 Sniffer Pro 著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來(lái)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實(shí)上，很多網(wǎng)吧管理員都有過(guò)相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)出現(xiàn)問(wèn)題、或者探查網(wǎng)絡(luò)情況時(shí)，使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個(gè)很大優(yōu)點(diǎn)：不要配置端口鏡像就可以進(jìn)行流量查詢（其實(shí)sniffer pro也可以變通的工作在這樣的環(huán)境下）。這種看起來(lái)很快捷的方法，仍然存

27、在很多弊端：由于其工作原理利用ARP地址表，對(duì)地址表進(jìn)行欺騙，因此可能會(huì)衍生出很多節(jié)外生枝的問(wèn)題，如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對(duì)于要求正常的網(wǎng)絡(luò)來(lái)說(shuō)，是不可思議的。 在這里，我們將通過(guò)軟件解決方案來(lái)完成以往只有通過(guò)更換高級(jí)設(shè)備才能解決的網(wǎng)絡(luò)解決方案，這對(duì)于很多管理員來(lái)說(shuō)，將是個(gè)夢(mèng)寐以求的時(shí)刻。 硬件環(huán)境（網(wǎng)吧）： 100M網(wǎng)絡(luò)環(huán)境下，92臺(tái)終端數(shù)量，主交換采用D-LINK（友訊）DES-3226S二層交換機(jī)(支持端口鏡像功能)，級(jí)聯(lián)普通傻瓜型交換機(jī)。光纖10M接入，華為2620做為接入網(wǎng)關(guān)。 軟件環(huán)境： 操作系統(tǒng)Windows2003 Server企業(yè)標(biāo)準(zhǔn)版（Sniffer Pro4

28、.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI協(xié)議分析軟件-Sniffer Portable 4.75（本文選用網(wǎng)絡(luò)上較容易下載到的版本做為測(cè)試） 環(huán)境要求： 1、如果需要監(jiān)控全網(wǎng)流量，安裝有Sniffer Portable 4.7.5(以下簡(jiǎn)稱Sniffer Pro)的終端計(jì)算機(jī)，網(wǎng)卡接入端需要位于主交換鏡像端口位置。（監(jiān)控所有流經(jīng)此網(wǎng)卡的數(shù)據(jù)） 2、Snffier pro 475僅支持10M、100M、10/100M網(wǎng)卡，對(duì)于千M網(wǎng)卡，請(qǐng)安裝SP5補(bǔ)丁，或4.8及更高的版本 監(jiān)控目的：通過(guò)Sniffer Pro實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中

29、的故障（例如病毒、攻擊、流量超限等非正常行為）。對(duì)于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中，網(wǎng)關(guān)（路由、代理等）自身不具備流量監(jiān)控、查詢功能，本文將是一個(gè)很好的解決方案。Sniffer Pro強(qiáng)大的實(shí)用功能還包括：網(wǎng)內(nèi)任意終端流量實(shí)時(shí)查詢、網(wǎng)內(nèi)終端與終端之間流量實(shí)時(shí)查詢、終端流量TOP排行、異常告警等。同時(shí)，我們將數(shù)據(jù)包捕獲后，通過(guò)Sniffer Pro的專家分析系統(tǒng)幫助我們更進(jìn)一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問(wèn)題。 步驟一：配置交換機(jī)端口鏡像（Mirroring Configurations） 以DES-3226S二層交換機(jī)為例，我們來(lái)通過(guò)WEB方式配置端口鏡像（也可用CLI命令行模式配置）。

30、如果您的設(shè)備不支持WEB方式配置，請(qǐng)參考相關(guān)用戶手冊(cè)。 1.DES-3226S默認(rèn)登陸IP為：0 因此，需要您配置本機(jī)IP為相同網(wǎng)段才可通過(guò)瀏覽器訪問(wèn)WEB界面。 2.使用鼠標(biāo)點(diǎn)擊上方紅色字體：“Login”,如果您是第一次配置，輸入默認(rèn)用戶名稱、密碼:admin 自動(dòng)登陸管理主界面。 3.如圖（2）所示，主界面上方以圖形方式模擬交換機(jī)界面，其中綠色燈亮起表示此端口正在使用。下方文字列出交換機(jī)的一些基本信息。    圖1   圖24.如圖（3）：鼠標(biāo)點(diǎn)擊左下方菜單中的advanced setup->Mirroring Confi

31、gurations （高級(jí)配置鏡像配置） 5.將Mirror Status 選擇為Enable（默認(rèn)為關(guān)閉狀態(tài)，開(kāi)啟），本例中將Port-1端口設(shè)置為監(jiān)聽(tīng)端口:Target Port=Port-1，其余端口選擇為Both，既：監(jiān)聽(tīng)雙向數(shù)據(jù)（Rx接收 Tx發(fā)送），選擇完畢后，點(diǎn)擊Apply應(yīng)用設(shè)置。 此時(shí)所有的端口數(shù)據(jù)都將復(fù)制一份到Port-1。（如圖4）    圖3   圖4接下來(lái)，我們就可以在Port-1端口，接入計(jì)算機(jī)并安裝配置Sniffer Pro。 步驟二：Sniffer Pro 安裝、啟動(dòng)、配置 Sniffer Pro 安裝過(guò)程與其它應(yīng)用軟件沒(méi)

32、有什么太大的區(qū)別，在安裝過(guò)程中需要注意的是： Sniffer Pro 安裝大約占用70M左右的硬盤空間。 安裝完畢Sniffer Pro后，會(huì)自動(dòng)在網(wǎng)卡上加載Sniffer Pro 特殊的驅(qū)動(dòng)程序（如圖5）。 安裝的最后將提示填入相關(guān)信息及序列號(hào)，正確填寫完畢，安裝程序需要重新啟動(dòng)計(jì)算機(jī)。 對(duì)于英文不好的管理員可以下載網(wǎng)上的漢化補(bǔ)丁。 我們來(lái)啟動(dòng)Sniffer Pro。第一次啟動(dòng)Sniffer Pro時(shí),需要選擇程序從那一個(gè)網(wǎng)絡(luò)適配器接收數(shù)據(jù)，我們指定位于端口鏡像所在位置的網(wǎng)卡。 具體位于：File->Select Settings->New 名稱自定義、選擇所在網(wǎng)卡下拉菜單，點(diǎn)擊

33、確定即可。(如圖6)    圖5   圖6這樣我們就進(jìn)入了Sniffer Pro的主界面。 步驟三：新手上路，查詢網(wǎng)關(guān)流量 下面以圖文的方式介紹，如何查詢網(wǎng)關(guān)（路由、代理：219.*.238.65）流量，這也是最為常用、重要的查詢之一。 1 掃描IP-MAC對(duì)應(yīng)關(guān)系。這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。 選擇菜單欄中Tools->Address Book 點(diǎn)擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.

34、159點(diǎn)擊OK，系統(tǒng)會(huì)自動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系。掃描完畢后，點(diǎn)擊DataBase->Save Address Book 系統(tǒng)會(huì)自動(dòng)保存對(duì)應(yīng)關(guān)系，以備以后使用。(如圖7) 2.查看網(wǎng)關(guān)流量。點(diǎn)擊Monitor->Host Table，選擇Host table界面左下角的MAC-IP-IPX中的MAC。（為什么選擇MAC？在網(wǎng)絡(luò)中，所有終端的對(duì)外數(shù)據(jù)，例如使用QQ、瀏覽網(wǎng)站、上傳、下載等行為，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的）(如圖8)    圖7   圖83.找到網(wǎng)關(guān)的IP地址->選擇single station->bar

35、(本例中網(wǎng)關(guān)IP為219.*.238.65) 如圖(9)所示： 219.*.238.65（網(wǎng)關(guān)）流量TOP-10 此圖為實(shí)時(shí)流量圖。在此之前如果我們沒(méi)有做掃描IP（Address Book）的工作，右邊將會(huì)以網(wǎng)卡物理地址-MAC地址的方式顯示，現(xiàn)在轉(zhuǎn)換為IP地址形式（或計(jì)算機(jī)名），現(xiàn)在很容易定位終端所在位置。流量以3D柱形圖的方式動(dòng)態(tài)顯示，其中最左邊綠色柱形圖與網(wǎng)關(guān)流量最大，其它依次減小。本圖中219.*.238.93與網(wǎng)關(guān)流量最大，且與其它終端流量差距懸殊，如果這個(gè)時(shí)候網(wǎng)絡(luò)出現(xiàn)問(wèn)題，可以重點(diǎn)檢查此IP是否有大流量相關(guān)的操作。 如果要查看219.*.238.65（網(wǎng)關(guān)）與內(nèi)部所有流量通信圖，我

36、們可以點(diǎn)擊左邊菜單中，排列第一位的->MAP按鈕 如圖(10)所示,網(wǎng)關(guān)與內(nèi)網(wǎng)間的所有流量都在這里動(dòng)態(tài)的顯示。    圖9   圖10需要注意的是： 綠色線條狀態(tài)為：正在通訊中 暗藍(lán)色線條狀態(tài)為：通信中斷 線條的粗細(xì)與流量的大小成正比 如果將鼠標(biāo)移動(dòng)至線條處,程序顯示出流量雙方位置、通訊流量的大小（包括接收、發(fā)送）、并自動(dòng)計(jì)算流量占當(dāng)前網(wǎng)絡(luò)的百分比。 其它主要功能： PIE：餅圖的方式顯示TOP 10的流量占用百分比。 Detail：將Protocol(協(xié)議類型)、From Host（原主機(jī)）、in/out packets/bytes(接收、發(fā)送字節(jié)數(shù)、包數(shù))等字段信息以二維表格的方式顯示。 第四步：基于IP層流量 1.為了進(jìn)一步分析219.*.238.93的異常情況，我們切換至基于IP層的流量統(tǒng)計(jì)圖中看看。 點(diǎn)擊菜單欄中的Monitor->Host Table，選擇Host Table界面左下角的MAC-IP-IPX中的IP。 2.找到IP：219.*.238.93地址（可以用鼠標(biāo)點(diǎn)擊IP Addr排序，以方便查找）->選擇single station->bar （如圖11所示） 3.我們