【文章內(nèi)容簡介】 陣）Sniffer最常用功能之一，選擇“Monitor”—“Matrix”。顯示了當(dāng)前所捕獲的網(wǎng)絡(luò)中各計算機(jī)的連接情況。單擊窗口下方的”IP”標(biāo)簽，可以以IP地址方式顯示各主機(jī)。在窗口空白處單擊鼠標(biāo)右鍵，在快捷鍵中選擇“Zoom”選項，可以放大顯示比例。右鍵單擊要查看的主機(jī)IP地址，快捷鍵中選擇“Show Select Nodes”，可以查看與那些地址連接，鼠標(biāo)放在線上，可以查看流量。提示：通過Matrix功能，管理員可以發(fā)現(xiàn)網(wǎng)絡(luò)中使用BT等P2P軟件或中了蠕蟲病毒的用戶。如果某個用戶的并發(fā)連接數(shù)特別多，并且不斷地向其他計算機(jī)發(fā)送數(shù)據(jù)，這就說明該計算機(jī)可能中了蠕蟲病毒。此時，網(wǎng)絡(luò)管理員應(yīng)及時封掉該計算機(jī)所連接的交換機(jī)端口，并對該計算機(jī)查殺病毒。l ART（Application Response Time，應(yīng)用響應(yīng)時間）Sniffer的ART主要用來顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情況，可以看到局域網(wǎng)中哪些計算機(jī)正在上網(wǎng)，瀏覽的是哪些網(wǎng)站。l Protocol Distribution（協(xié)議分類）選擇“Monitor”—“Protocol Distribution”，以不同顏色的柱形顯示網(wǎng)絡(luò)中不同協(xié)議使用情況。l History Sample（歷史采樣）Sniffer的歷史采樣功能記錄了捕獲過程中各個時間段的網(wǎng)絡(luò)利用情況。選擇“Monitor”—“History Samples”，雙擊“Packets/s”。Sniffer開始記錄每秒所發(fā)送的數(shù)據(jù)包數(shù)量，并且每隔15秒便記錄一次，以柱形方式顯示。也可以保存記錄結(jié)果。l Global Statistics（球狀統(tǒng)計）Sniffer的球狀統(tǒng)計功能用來顯示不同大小數(shù)據(jù)包的使用情況。選擇“Monitor”—“Global Statistics”。步驟4：創(chuàng)建過濾器默認(rèn)情況下，Sniffer會監(jiān)控網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)包，但在分析網(wǎng)絡(luò)協(xié)議、查找網(wǎng)絡(luò)故障時，有許多數(shù)據(jù)包并不是管理員所關(guān)心的。Sniffer提供了過濾器，過濾規(guī)則包括第二層，第三層地址的定義和幾百種協(xié)議的定義。（1）過濾IP地址創(chuàng)建一個過濾器。選擇“Capture”—“Define Filer”，在“Settings For”列表中顯示過濾器名，該過濾器對所有經(jīng)過網(wǎng)卡的數(shù)據(jù)全部捕獲。單擊“Profiles”，選擇“New”，輸入新過濾器名稱?！癉one”完成。在“Settings For”列表框中，選擇新建的過濾器，分別在station1和station2中輸入起止IP地址。點(diǎn)擊“確定”完成過濾器創(chuàng)建。（2）過濾端口，可以讓Sniffer只捕獲特定端口內(nèi)傳輸?shù)臄?shù)據(jù)，可以使固定的一個或幾個端口，也可以使一個端口范圍。（3）過濾網(wǎng)絡(luò)協(xié)議創(chuàng)建一個過濾器，只捕獲網(wǎng)絡(luò)中使用FTP協(xié)議傳輸?shù)臄?shù)據(jù)，來查看有多少人在通過FTP下載文件。創(chuàng)建一個新過濾器，名FTP。選擇FTP過濾器，切換到“Advanced”，依次展開“Available”—“Protocols”—“IP”—“TCP”,選中“FTP”復(fù)選框。（4）設(shè)置緩沖器緩沖器用來臨時保存Sniffer捕獲的數(shù)據(jù)，它占用內(nèi)存。當(dāng)緩沖器滿了后，Sniffer就停止捕獲，而緩沖器中的數(shù)據(jù)在重新捕獲或關(guān)閉Sniffer時自動保存。（5）過濾器的使用“Capture”—“Select Filter”，選擇我們要選擇的過濾器。步驟5：Sniffer的使用（1）捕獲數(shù)據(jù) 通過Sniffer進(jìn)行網(wǎng)絡(luò)和協(xié)議分析，首先捕獲網(wǎng)絡(luò)中的數(shù)據(jù)。l “capture”—“start”，顯示“Expert”窗口，開始捕獲。l 如要查看當(dāng)前捕獲的各種數(shù)據(jù)，單擊對話框左側(cè)的“Service”、“Connection”等選項，在右側(cè)即可以顯示相應(yīng)數(shù)據(jù)的概要信息。單擊“Objects”，可以顯示當(dāng)前監(jiān)視對象的詳細(xì)信息。l 當(dāng)捕獲到一定的數(shù)據(jù)，可以停止捕獲進(jìn)行分析?！癱apture”—“stop”。（2）查看分析捕獲的數(shù)據(jù)“capture”—“display”，查看所有捕獲的內(nèi)容。選擇下方的“Decode（解碼）”，窗口分成三部分：總結(jié)、詳細(xì)資料和Hex窗格的內(nèi)容，可以查看所捕獲的每個幀的詳細(xì)信息。所捕獲的數(shù)據(jù)的各部分的含義如下：l DLC：在DLC區(qū)域中顯示了捕獲的幀的來源信息，包括Source Addess（源地址）、Dest Address（目標(biāo)地址）、幀大小（以字節(jié)記）及Ethertype（以太類型）。這里以太型值為0800，表示IPv4協(xié)議。上面的地址顯示的是網(wǎng)卡的MAC地址。l IP：如果捕獲HTTP，則IP區(qū)域中顯示了IP文件頭的詳細(xì)信息。各項內(nèi)容含義如下： Version（版本）：版本號為4，代表IPv4 Header length（服務(wù)類型值）：該值為00，（QoS）信息。每個二進(jìn)制位的意義都不同，這取決于最初的設(shè)定，例如，正常延遲設(shè)定為0，低延遲則為1Total length（總長度）：顯示該數(shù)據(jù)包的總長度。Identification：該數(shù)值是文件頭的標(biāo)識部分，當(dāng)數(shù)據(jù)包被劃分成幾段傳送時，發(fā)送數(shù)據(jù)的主機(jī)可以用這個數(shù)值來重新組裝數(shù)據(jù)。Flag（標(biāo)記）：數(shù)據(jù)報的“標(biāo)記”功能，0表示分段，1表示未分段。Fragment offset（分段差距）：分段差距為0個字節(jié)?？梢栽O(shè)定0代表最后一段，或設(shè)定1代表更多區(qū)段屬于數(shù)據(jù)包的哪個部分。Time to live（保存時間）：TTL值的大小，說明一個數(shù)據(jù)包可以保存多久。Protocol（協(xié)議）：顯示協(xié)議值，在Sniffer中代表TCP協(xié)議。文件頭的協(xié)議部分只說明要使用的下一個上層協(xié)議是什么，在這里是TCP。Header checksum（校驗和）：這里顯示校驗和的值，并且已經(jīng)做了標(biāo)記，表明這個數(shù)值是正確的。Source address（源地址）：數(shù)據(jù)的來源地址。Destination（目標(biāo)地址）：數(shù)據(jù)訪問的目的地址。UDP：IP文件頭，下面是TCP或UDP文件頭，這里為UDP文件頭，包括： 。Source port（源端口）：顯示了使用的UDP協(xié)議的源端口。 。Destinations（目的端口）：顯示UDP協(xié)議的目的端口。 。Length（長度）：表示IP文件頭的長度。 。Checksum：顯示了UDP協(xié)議的校驗和。 。Byeps of date：表示有多少個字節(jié)的數(shù)據(jù)。ARP： 。Hardware type（硬件類型）：這是一個16個比特字段，用來定義運(yùn)行ARP的網(wǎng)絡(luò)的類型。以太網(wǎng)是類型1，ARP可使用在任何網(wǎng)絡(luò)上。 。Protocol type：16比特字段，用來定義協(xié)議類型。對IPv4來說，值為0800。ARP可用于任何高層協(xié)議。 。Length of Protocol address（協(xié)議長度）：8比特，定義以字節(jié)為單位的邏輯地址長度。IPv4協(xié)議的這個值是4。 。Opcode（操作）：16字節(jié)的字段，定義分組的類型。ARP請求第1步，ARP回答第2步。 。Sender’s Hardware address（發(fā)送站硬件地址）：可變長字段。以太網(wǎng)這個值為6字節(jié)長。 。Sender’s Protocol address（發(fā)送站協(xié)議地址）：可變長字段，定義發(fā)送站的邏輯（如，IP）地址的長度。對于IP協(xié)議來說是4字節(jié)。 。Target Hardware address：目標(biāo)站的物理地址。 。Target Protocol address：4字節(jié)。 ICMP：Internet控制報文協(xié)議，允許報告20種以上不同的網(wǎng)絡(luò)狀況。首先要創(chuàng)建一個新的ICMP過濾器，即在“Advanced”中選中IP列表中的ICMP。 。Type=8（Echo）：ICMP Echo有兩種類型，8為請求，0為響應(yīng)。 。Coad：不常用，常設(shè)為0 。Checksum：ICMP是使用自己的校驗和確保數(shù)據(jù)在傳輸過程中沒有中斷。 。Identifier與Sequence number：這些數(shù)字由發(fā)送方式生成，用來將響應(yīng)與請求匹配在一起。 Hex：“Decode”窗口最下方為“Hex窗格”，這里顯示的內(nèi)容最直觀，但也難以理解。16進(jìn)制。在這個窗格中，看到的就是出于傳輸狀態(tài)的原始ASCII格式的數(shù)據(jù)。 Matrix：Sniffer矩陣功能直觀地顯示網(wǎng)絡(luò)中各計算機(jī)之間的連接。但這里顯示的是固定數(shù)據(jù)，即曾經(jīng)捕獲的數(shù)據(jù)，而在監(jiān)視器中的Matrix是不斷變化的。 Host Table：顯示出在捕獲過程中各計算機(jī)所傳輸?shù)臄?shù)據(jù)，可根據(jù)所傳輸數(shù)據(jù)多少按順序排列。例如，發(fā)現(xiàn)某段時間有計算機(jī)傳輸數(shù)據(jù)特別多，在Matrix中顯示大量并發(fā)連接，結(jié)論：可能在P2P下載。為了避免該用戶過多占用帶寬，管理員可終止該進(jìn)程。（3）保存數(shù)據(jù) 捕獲后，為便于日后再次進(jìn)行分析和比較，要保存下來。File—save。步驟6：檢查網(wǎng)絡(luò)中使用的用戶（1）創(chuàng)建過濾器，如 （2）切換到“Port”選項卡，在“Port2”中輸入8000，Port1中為空，單擊“Dir.”下拉列表中選擇224。選項，即只捕獲連接到8000端口的計算機(jī)。完成過濾器的創(chuàng)建。 （3）主窗口中，“Start”即可使用該過濾器捕獲網(wǎng)絡(luò)中的數(shù)據(jù)。打開“Matrix”查看當(dāng)前活動鏈接，在左側(cè)顯示的就是本地局域網(wǎng)中的計算機(jī)地址，說明這些計算機(jī)在使用。 （4）可能一臺主機(jī)由多個連接，說明同時運(yùn)行多個，可以查看到本地端口默認(rèn)為4000端口，當(dāng)多個時，則可以使用4004002……。 提示：如果使用了UDP協(xié)議登陸，則使用4000、4001……等端口?？梢允褂贸跏级丝诜秶鷣聿东@，如果采用TCP登陸，會使用隨機(jī)端口，無法捕獲。也可能使用SOCKS或HTTP代理登陸，端口較多不固定，無法再通過端口來捕獲網(wǎng)絡(luò)中的。步驟7：徹底解決IP地址盜用問題 首先使用ARP命令查看相關(guān)主機(jī)IP對應(yīng)的MAC地址并記錄。例如：：000c764b0803 （1）創(chuàng)建過濾器。來監(jiān)聽被盜用的IP地址上傳的數(shù)據(jù)。 （2）開始捕獲數(shù)據(jù)，一定數(shù)據(jù)后停止并顯示。開始解碼所捕獲到得數(shù)據(jù)。此時，在DLC區(qū)域的Station字段中，即可看到盜用IP地址的計算機(jī)網(wǎng)卡的MAC地址。 （3）查看MAC地址登記表，找到盜用IP的計算機(jī)。提高： 流量統(tǒng)計分析利器—CommView：一款強(qiáng)大的工具，可以用來捕獲Internet和局域網(wǎng)中傳輸?shù)臄?shù)據(jù)，收集網(wǎng)絡(luò)傳輸中每個信息包，也可以顯示信息包和網(wǎng)絡(luò)連接列表、關(guān)鍵統(tǒng)計信息、協(xié)議分析圖等重要信息，并可顯示內(nèi)部及外部IP地址、端口、主機(jī)名稱、各種數(shù)據(jù)的數(shù)量等重要資料。管理員可以分析各種協(xié)議，分析網(wǎng)絡(luò)性能。CommView的過濾器功能還可以只過濾需要的數(shù)據(jù)包。 簡易網(wǎng)絡(luò)診斷分析工具—網(wǎng)絡(luò)窺視者（EtherPeek）：是一個在數(shù)據(jù)包捕獲過程中可以實時進(jìn)行專業(yè)診斷和結(jié)構(gòu)解碼的網(wǎng)絡(luò)協(xié)議分析器，可以幫助網(wǎng)絡(luò)管理員分析和診斷日益加速變化的網(wǎng)絡(luò)數(shù)據(jù)群，可以對現(xiàn)今網(wǎng)絡(luò)面臨的眾多故障提供精確和最新的分析。 網(wǎng)絡(luò)協(xié)議檢測工具—Ethereal：免費(fèi)的網(wǎng)絡(luò)協(xié)議檢測程序，同時支持UNIX和Windows。使用該工具可以抓取運(yùn)行的網(wǎng)站的相關(guān)資訊，包括每一封包流向及內(nèi)容、資訊可依操作系統(tǒng)語系看出，方便查看、監(jiān)控TCP session動態(tài)等。但僅僅提供協(xié)議分析，不具備Sniffer的一些功能，比如監(jiān)控、高級分析等。實驗五 流量監(jiān)控與分析實驗?zāi)康模簩嶒瀮?nèi)容：無論網(wǎng)絡(luò)性能有多么強(qiáng)大，都有可能因為某些用戶濫用網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至忘了癱瘓。因此，管理員應(yīng)時刻關(guān)注網(wǎng)絡(luò)中的流量情況，保證用戶可以充分、合理地利用網(wǎng)絡(luò)資源，杜絕用戶對網(wǎng)絡(luò)資源的惡意占用。目前，網(wǎng)絡(luò)中存在大量的類似于BT、eMule等P2P軟件，它們主要用于下載、觀看網(wǎng)絡(luò)電視以及視頻點(diǎn)播等。這些軟件會造成大量的網(wǎng)絡(luò)流量，為了保證網(wǎng)絡(luò)的正常運(yùn)行，需要清楚了解網(wǎng)絡(luò)流量，并有針對性地封堵某些端口。實時監(jiān)測工具：網(wǎng)絡(luò)執(zhí)法官網(wǎng)絡(luò)執(zhí)法官是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，可以穿透客戶端防火墻對網(wǎng)絡(luò)中的主機(jī)（指各種計算機(jī)、路由器等配有IP的網(wǎng)絡(luò)設(shè)備）進(jìn)行監(jiān)控。該軟件使用網(wǎng)卡地址MAC識別用戶，可靠性高，并且軟件占用網(wǎng)絡(luò)資源少，對網(wǎng)絡(luò)性能影響很小。主要功能:l 實時記錄上線用戶并存檔備查l 自動偵測未登記主機(jī)接入并報警l 檢測網(wǎng)內(nèi)所有代理服務(wù)器及路由器l 限定各主機(jī)的IP、防止IP盜用l 限定各主機(jī)的