工作任務

學習目標

實踐操作

檢查評價

問題探究

知識拓展

學習目標

1.知識目標

2.能力目標

返回

學習目標

上頁

下頁

1.知識目標

1理解網絡監聽的基本概念

2理解網絡監聽的運行機制

3掌握sniffer的功能和作用

4掌握使用sniffer監視網絡

5了解sniffer軟件的原理

返回

學習目標

上頁

下頁

2.能力目標

1部署與安裝Snifferpro2使用snifferpro捕獲數據

3使用snifferpro監控網絡流量

4

返回

學習目標

上頁

使用snifferpro監視網絡運行情況

下頁

工作任務

1.工作名稱

2.工作任務背景

3.工作任務分析

4.條件準備

返回

工作任務

上頁

下頁

任務名稱與背景

任務名稱：安裝snifferportable4.7.5，使用snifferpro捕獲網絡數據，監視網絡數據。

任務背景：

小張在學校網絡中心工作，負責校園網絡的管理和維護，作為網絡管理員需要時刻了解校園網絡流量情況，并對網絡流量進行監控。最近有多位老師反映，近期訪問網站速度時快時慢，需對網絡進行監控。

返回

工作任務

上頁

下頁

任務分析與條件準備

任務分析

從各位老師反映的的現象來看，網絡變慢是最近發生

的事情，近期沒有進行網絡設備的調整，網絡環境沒

有變化，網絡應用也沒有大的變化，這是網絡中有異常流量造成的網絡速度變化。需要分時段對網絡中數據進行分析，找出網絡變化的具體原因，進行解決。

這就可以安裝、部署Sniffer軟件監控網絡運行情況，找出異常的原因，分析異常流量，解決網絡性能變差的問題。

條件準備

對于小張管理的網絡，我們準備了Snifferpro4.7.5。

下頁

返回

工作任務

上頁

實踐操作

1.在網絡中正確部署Snifferpro4.7.5

2.配置交換機端口鏡像

3.安裝Snifferpro4.7.54.進行網絡流量捕獲

5.網絡監視

返回

實踐操作

上頁

下頁

1.在網絡中正確部署Snifferpro4.7.5盡管Sniffer集眾多優秀功能于一身，但對軟件部署卻有一定的要求。首先Sniffer只能嗅探到所在鏈路上“流經”的數據包，如果Sniffer被安裝在交換網絡中普通PC位置上不做任何設置，那么它僅僅能捕獲本機數據。因此，Sniffer的部署位置決定它所能嗅探到的數據包。它能嗅探到的數據包，又決定它所能分析的網絡環境。

在以往HUB為中心的共享式網絡中Sniffer的部署非常簡單，只需要將它安置在你需要的網段中任意位置即可。但是隨著LAN的發展，HUB也在近幾年迅速的消聲滅跡，網絡也由以往共享式演變成以交換機為中心的交換式網絡，因此在交換環境下的Sniffer軟件部署又有了新的內容。目前在交換環境下部署Sniffer大多使用SPAN（SwitchPortAnalysis）技術，SPAN技術可以

下頁

返回

實踐操作

上頁

1.在網絡中正確部署Snifferpro4.7.5把交換機上我們想要監控的端口的數據鏡像到被稱為MIRROR端口上，MIRROR端口連接安裝有Sniffer程序或者專用嗅探硬件設備。圖為在網絡中簡單的使用SPAN技術部署Sniffer圖例，可以做為參考。

返回

實踐操作

上頁

下頁

2.配置交換機端口鏡像

⑴創建端口鏡像源端口

命令：monitorsessionsession_numbersourceinterfaceinterface-id[,|-][both|rx|tx]session_number：SPAN會話號，2950、3550思科系列交換機一般支持的本地SPAN最多是2個，即1或者2。

interface-id：源端口號，[,|-]源端口接口符號，即被鏡像的端口，交換機會把這個端口的流量拷貝一份，可以輸入多個端口，多個用“,”隔開，連續的用“-”連接。

[both|rx|tx]：可選項，是指拷貝源端口雙向的(both)、僅進入(rx)還是僅發出(tx)的流量，默認是both。

返回

實踐操作

上頁

下頁

2.配置交換機端口鏡像

⑵創建端口鏡像目的端口

命令：monitorsessionsession_numberdestinationinterfaceinterface-id[encapsulation{dot1q[ingressvlanvlanid]|ISL[ingress]}|ingressvlanvlanid]interface-id：目的端口，在源端口被拷貝的流量會從這個端口發出去，端口號不能被包含在源端口的范圍內。

[encapsulation{dot1q|isl}]：可選，指被從目的端口發出去時是否使用802.1q和isl封裝，當使用802.1q時，對于本地VLAN不進行封裝，其它VLAN封裝，ISL則全部封裝。

返回

實踐操作

上頁

下頁

2.配置交換機端口鏡像

⑶此次工作創建端口鏡像源端口和目的端口的命令如下：

monitor1sourceinterfacef0/2,f0/3bothmonitor1destinationinterfacef0/1上述兩條命令的意思就是：把f0/2和f0/3進來的出去的數據復制一份給f0/1，這樣接在f0/1端口上的sniffer工作站就可以截取到數據了

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5第一步

打開資源管理器，進入Snifferpro4.7.5安裝目錄，找到Snifferpro4.7.5的安裝文件SnifferPro_4_70_530.exe，雙擊該文件執行安裝操作，彈出安裝向導對話框。在該話框中，單擊“next”（下一步），安裝程序解壓縮安裝文件，彈出歡迎對話框，如圖

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5第二步

單擊“Next”按鈕，進入軟件許可協議對話框，選擇“Yes”按鈕，彈出用戶信息對話框，填寫用戶名與公司名。再選擇安裝的目標文件夾對話框中，查看目標文件夾是否為要安裝的位置，如果需要更改目標文件安裝位置，單擊“瀏覽”按鈕，選擇合適的Snifferpro安裝位置。在此，我們使用默認的目標文件夾。單擊“下一步”按鈕，安裝程序開始安裝Snifferpro。

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5第三步

輸入Snifferpro用戶注冊信息，包括名字，姓，公司名稱，郵件地址等，請根據實際情況填寫，不要用中文，使用英文字母填寫，以防程序提示非法字符，不能進入下一步安裝，如圖所示。

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5

單擊“下一步”，軟件會提示輸入產品序列號，請正確填寫，如圖

第四步

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5第五步

完成安裝，如圖選擇完成，軟件會提示需要IE5.0以上的瀏覽器及虛擬機。為了提高Snifferpro性能需要卸載QoS服務，最后重新啟動計算機，就完成了Snifferpro的安裝。

返回

實踐操作

上頁

下頁

3.安裝Snifferpro4.7.5安裝完成后，在網卡屬性中會自動添加一個項目“SnifferProtocolDriver”，如圖所示：

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

⑴開始進行捕獲

在進行流量捕獲之前首先選擇網絡適配器，確定從計算機的哪個網絡適配器上接收數據，選擇正確的網絡適配器后才能正常工作，如圖所示。操作位置：“文件”｜“選定設置”。

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

Sniffer的界面并不復雜，通過工具欄和菜單欄就可以完成大部分操作，并在當前窗口中顯示出所監測的效果，如圖所示。圖中已分別標出菜單欄、捕獲報文工具欄、網絡性能監視工具欄在軟件中的位置。

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

單擊捕獲報文工具欄上的“

”按鈕將按默認過濾器開始對網絡進行報文捕獲，如圖所示。

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

⑵專家分析系統

單擊捕獲報文工具欄上的“

”按鈕停止捕獲后，Sniffer軟件對于捕獲的報文提供了一個Expert專家分析系統進行分析，還有解碼選項及圖形和表格的統計信息，如圖所示。

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

專家分析系統提供了一個性能的分析平臺，系統自身根據捕獲的數據包從鏈路層到應用層進行分類并作出診斷，分析出的診斷結果可以查看在線幫助獲得。對于某項統計分析，可以通過用鼠標雙擊此條記錄查看詳細統計信息，如圖所示。

返回

實踐操作

上頁

下頁

4.進行網絡流量捕獲

Sniffer同樣也提供了對報文進行解碼的功能，下圖是對捕獲報文進行解碼的顯示。

返回

實踐操作

上頁

下頁

5.網絡監視

Sniffer網絡監視功能能夠時刻監視網絡統計、網絡上資源的利用率，并能夠監視網絡流量的異常狀況，Snifferpro提供了儀表盤、主機列表、矩陣、ART、協議分析、歷史樣本、全局信息共七大網絡監視模式，這里主要介紹一下儀表盤、主機列表、矩陣，其它功能可以參看在線幫助或直接使用即可，比較簡單。

⑴儀表板

在儀表板窗口，共顯示了三個儀表盤，即“Utilization%”、“Packets/s”、“Errors/s”，分別用來顯示網絡利用率、傳輸的數據和錯誤統計.

返回

實踐操作

上頁

下頁

5.網絡監視

表盤的紅色區域表示警戒值，儀表盤上的指針如進入紅色區域，Sniffer警告記錄中就會加入一條警告信息。

返回

實踐操作

上頁

下頁

5.網絡監視

在儀表盤窗口中，單擊“細節”，顯示如圖所示的窗口，以表格的形式顯示了關于利用率、數據包傳輸速度和出錯率的詳細統計結果。

返回

實踐操作

上頁

下頁

5.網絡監視

在該窗口下方的“Network”窗口中，可以選擇要顯示的內容，如Packets/s(數據包/秒)，每秒出現的數據包的總數；Utilization(利用率)，網絡利用率，這是Sniffer中最常用的功能，可以查看哪一天中哪個時間利用率最高；Errors/s(錯誤/秒)，每秒出現的整體錯誤的數目，若設定基準，可以看到一天中哪個時間段遺失的數據包最多；Bytes/s(字節/秒)，每秒出現的數據的總字節數，這與數據包不同，字節預先設定好了長度，而數據包長度各不相同；Broadcasts/s(廣播/秒)，每秒產生的廣播數據包數目。廣播是從主機發往區段上所有其它主機的數據包；Multicasts/s(每秒組播的數據包的數目)，是一個主機向特定的主機發送的數據包。可以單擊儀表盤窗口上方的Reset(重置)按鈕，清除儀表盤的值。

下頁

返回

實踐操作

上頁

5.網絡監視

這三個儀表盤是非常有用的工具，用它們可以很容易地看到從運行捕獲過程開始，有多少數據包經過你的網絡，多少幀被過濾挑選出來(拒絕接收)，以及你的計算機因沒有足夠的資源完成捕獲而遺失了多少幀，可以看到從開始到當前時間內，網絡的利用率、數據包數目和廣播數。如果發現網絡在每天的一定時間都會收到大量的組播數據包，這就可能出現了問題，就需要分析哪個應用程序在發送組播數據包。

返回

實踐操作

上頁

下頁

5.網絡監視

⑵主機列表

選擇“監視器”菜單中的“主機列表”選項，顯示如圖所示“主機列表”對話框，該列表框中顯示了當前與該主機連接通信信息，包括連接地址、通信量、通信時間等，例如，這里選擇“IP”標簽，可以看到與本機相連接的所有IP地址及其信息。在該對

返回

話框左側

實踐操作

上頁

下頁

5.網絡監視

可以選擇不同的按鈕，使該主機列表以不同的圖形顯示，如柱形、圓形等，如圖所示。

返回

實踐操作

上頁

下頁

5.網絡監視

上面的柱行圖顯示為網絡中傳輸字節總數前10位的主機，流量以3D柱形圖的方式動態顯示，其中最左邊綠色柱形圖與網關流量最大，其它依次減小。由圖中可看出網絡中廣播所占的比重相當大，而且172.16.12.51與172.16.56.1兩個主機的數據收發也相當大且持久，推斷網絡中存在異常，這兩個主機有可能存在蠕蟲病毒或者正在使用某種P2P軟件。

返回

實踐操作

上頁

下頁

問題探究

⒈sniffer工作原理

⒉sniffer的工作環境

3.Sniffer的分類

4.Sniffer的擴展應用

返回

問題探究

上頁

下頁

⒈sniffer工作原理

通常在同一個網段的所有網絡接口都有訪問在物理媒體上傳輸的所有數據的能力，而每個網絡接口都還應該有一個硬件地址，該硬件地址不同于網絡中存在的其他網絡接口的硬件地址，同時，每個網絡至少還要一個廣播地址。（代表所有的接口地址），在正常情況下，一個合法的網絡接口應該只響應這樣的兩種數據幀：幀的目標區域具有和本地網絡接口相匹配的硬件地址；幀的目標區域具有“廣播地址”。

在接受到上面兩種情況的數據包時，網卡通過cpu產生一個硬件中斷，該中斷能引起操作系統注意，然后將幀中所包含的數據傳送給系統進一步處理。而sniffer就是一種能將本地網卡狀態設成

返回

問題探究

上頁

下頁

⒈sniffer工作原理

（promiscuous）狀態的軟件，當網卡處于這種“混

雜”方式時，該網卡具備“廣播地址”，它對所有遭遇到的每一個幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包（絕大多數的網卡具備置成promiscuous方式的能力）。

可見，sniffer工作在網絡環境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。

返回

問題探究

上頁

下頁

⒈sniffer工作原理

Sniffer通常運行在路由器或有路由器功能的主機上。這樣就能對大量的數據進行監控。Sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然后使用Sniffer這種攻擊手段，以便得到更多的信息。Sniffer除了能得到口令或用戶名外，還能得到更多的其它信息，比如一個其它重要的信息，在網上傳送的金融信息等等。Sniffer幾乎能得到任何以太網上的傳送的數據包。黑客會使用各種方法，獲得系統的控制權并留下再次侵入的后門，以保證Sniffer能夠執行。總之，Sniffer就是一個用來竊聽的黑客手段和工具。

返回

問題探究

上頁

下頁

2.sniffer的工作環境

snifffer就是能夠捕獲網絡報文的設備。嗅探器的正當用處在于分析網絡的流量，以便找出所關心的網絡中潛在的問題。例如，假設網絡的某一段運行得不是很好，報文的發送比較慢，而我們又不知道問題出在什么地方，此時就可以用嗅探器來作出精確的問題判斷。

嗅探器在功能和設計方面有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析下面的協議：

1)標準以太網2)TCP/IP3)IPX4)DECNet

返回

問題探究

上頁

下頁

2.sniffer的工作環境

嗅探器通常是軟硬件的結合。專用的嗅探器價格非常昂貴。另一方面，免費的嗅探器雖然不需要花什么錢，但得不到什么支持。嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網絡報文。嗅探器通過將其置身于網絡接口來達到這個目的。

數據在網絡上是以很小的稱為幀(Ftame)的單位傳輸的幀由好幾部分組成，不同的部分執行不同的功能。例如，以太網的前12個字節存放的是源和目的的地址，這些位告訴網絡：數據的來源和去處。以太網幀的其他部分存放實際的用戶數據、TCP/IP的報文頭或IPX報文頭等等。

返回

問題探究

上頁

下頁

2.sniffer的工作環境

幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上。通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀的到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會造成安全方面的問題。

每一個在LAN上的工作站都有其硬件地址。這些地址唯一地表示著網絡上的機器。當用戶發送一個報文時，這些報文就會發送到LAN上所有可用的機器。

在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的報文則不予響應，換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單的忽略這些數據。

返回

問題探究

上頁

下頁

2.sniffer的工作環境

如在工作站的網絡接口處于雜收模式，那么它就可以捕獲網絡上所有的報文和幀，如果一個工作站被配置成這樣的方式，它（包括其軟件）就是一個嗅探器。

基于以太網絡嗅探的Sniffer只能抓取一個物理網段內的包，也就是和監聽的目標中間不能有路由或其它屏蔽廣播包的設備，這一點很重要。所以，對一般撥號上網的用戶來說，是不可能利用Sniffer來竊聽到其它人的通信內容的。

返回

問題探究

上頁

下頁

3.Sniffer的分類

Sniffer分為軟件和硬件兩種，軟件的Sniffer有SnifferPro、NetworkMonitor、PacketBone等，其優點是易于安裝部署、學習使用及交流；缺點是無法抓取網絡上所有的傳輸，某些情況下也就無法真正了解網絡的故障和運行情況。硬件的Sniffer通常稱為協議分析儀，是一個網絡故障、性能和安全管理的有力工具，它能夠自動地幫助網絡專業人員維護網絡，查找故障，極大地簡化了發現和解決網絡問題的過程，廣泛適用于Ethernet、FastEthernet、TokenRing、SwitchedLANs、FDDI、X.25、DDN、FrameRelay、ISDN、ATM和Gigabits等網絡。一般都是商業性的，價格也比較昂貴，但會具備支持各類擴展的鏈路捕獲能力以及高

返回

性能的數據實時捕獲分析的功能。

問題探究

上頁

下頁

4.Sniffer的擴展應用

（1）專用領域的SnifferSniffer被廣泛應用到各種專業領域，例如FIX(金融信息交換協議)、MultiCast(組播協議)、3G(第三代移動通訊技術)的分析系統。其可以解析這些專用協議數據，獲得完整的解碼分析。

（2）長期存儲的Sniffer應用

由于現代網絡數據量驚人，帶寬越來越大。采用傳統方式的Sniffer產品很難適應這類環境，因此誕生了伴隨有大量硬盤存儲空間的長期記錄設備。例如nGeniusInfinistream等。

返回

問題探究

上頁

下頁

4.Sniffer的擴展應用

（3）易于使用的Sniffer輔助系統

由于協議解碼這類的應用曲高和寡，很少有人能夠很好的理解各類協議。但捕獲下來的數據卻非常有價值。因此在現代意義上非常流行如何把協議數據采用最好的方式進行展示，包括產生了可以把Sniffer數據轉換成Excel的BoneLight類型的應用和把Sniffer分析數據進行圖形化的開源系統PacketMap等。這類應用使用戶能夠更簡明地理解Sniffer數據。

返回

問題探究

上頁

下頁

知識拓展

1.商用sniffer2.免費軟件sniffer

返回

知識拓展

上頁

下頁

1.商用sniffer⑴NetworkGeneral

NetworkGeneral開發了多種產品。最重要的是ExpertSniffer，它不僅僅可以sniffer，還能夠通過高性能的專門系統發送/接收數據包，幫助診斷故障。還有一個增強產品“D