【文章內(nèi)容簡(jiǎn)介】 陣）Sniffer最常用功能之一，選擇“Monitor”—“Matrix”。顯示了當(dāng)前所捕獲的網(wǎng)絡(luò)中各計(jì)算機(jī)的連接情況。單擊窗口下方的”IP”標(biāo)簽，可以以IP地址方式顯示各主機(jī)。在窗口空白處單擊鼠標(biāo)右鍵，在快捷鍵中選擇“Zoom”選項(xiàng)，可以放大顯示比例。右鍵單擊要查看的主機(jī)IP地址，快捷鍵中選擇“Show Select Nodes”，可以查看與那些地址連接，鼠標(biāo)放在線上，可以查看流量。提示：通過(guò)Matrix功能，管理員可以發(fā)現(xiàn)網(wǎng)絡(luò)中使用BT等P2P軟件或中了蠕蟲(chóng)病毒的用戶。如果某個(gè)用戶的并發(fā)連接數(shù)特別多，并且不斷地向其他計(jì)算機(jī)發(fā)送數(shù)據(jù)，這就說(shuō)明該計(jì)算機(jī)可能中了蠕蟲(chóng)病毒。此時(shí)，網(wǎng)絡(luò)管理員應(yīng)及時(shí)封掉該計(jì)算機(jī)所連接的交換機(jī)端口，并對(duì)該計(jì)算機(jī)查殺病毒。l ART（Application Response Time，應(yīng)用響應(yīng)時(shí)間）Sniffer的ART主要用來(lái)顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情況，可以看到局域網(wǎng)中哪些計(jì)算機(jī)正在上網(wǎng)，瀏覽的是哪些網(wǎng)站。l Protocol Distribution（協(xié)議分類）選擇“Monitor”—“Protocol Distribution”，以不同顏色的柱形顯示網(wǎng)絡(luò)中不同協(xié)議使用情況。l History Sample（歷史采樣）Sniffer的歷史采樣功能記錄了捕獲過(guò)程中各個(gè)時(shí)間段的網(wǎng)絡(luò)利用情況。選擇“Monitor”—“History Samples”，雙擊“Packets/s”。Sniffer開(kāi)始記錄每秒所發(fā)送的數(shù)據(jù)包數(shù)量，并且每隔15秒便記錄一次，以柱形方式顯示。也可以保存記錄結(jié)果。l Global Statistics（球狀統(tǒng)計(jì)）Sniffer的球狀統(tǒng)計(jì)功能用來(lái)顯示不同大小數(shù)據(jù)包的使用情況。選擇“Monitor”—“Global Statistics”。步驟4：創(chuàng)建過(guò)濾器默認(rèn)情況下，Sniffer會(huì)監(jiān)控網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)包，但在分析網(wǎng)絡(luò)協(xié)議、查找網(wǎng)絡(luò)故障時(shí)，有許多數(shù)據(jù)包并不是管理員所關(guān)心的。Sniffer提供了過(guò)濾器，過(guò)濾規(guī)則包括第二層，第三層地址的定義和幾百種協(xié)議的定義。（1）過(guò)濾IP地址創(chuàng)建一個(gè)過(guò)濾器。選擇“Capture”—“Define Filer”，在“Settings For”列表中顯示過(guò)濾器名，該過(guò)濾器對(duì)所有經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)全部捕獲。單擊“Profiles”，選擇“New”，輸入新過(guò)濾器名稱?！癉one”完成。在“Settings For”列表框中，選擇新建的過(guò)濾器，分別在station1和station2中輸入起止IP地址。點(diǎn)擊“確定”完成過(guò)濾器創(chuàng)建。（2）過(guò)濾端口，可以讓Sniffer只捕獲特定端口內(nèi)傳輸?shù)臄?shù)據(jù)，可以使固定的一個(gè)或幾個(gè)端口，也可以使一個(gè)端口范圍。（3）過(guò)濾網(wǎng)絡(luò)協(xié)議創(chuàng)建一個(gè)過(guò)濾器，只捕獲網(wǎng)絡(luò)中使用FTP協(xié)議傳輸?shù)臄?shù)據(jù)，來(lái)查看有多少人在通過(guò)FTP下載文件。創(chuàng)建一個(gè)新過(guò)濾器，名FTP。選擇FTP過(guò)濾器，切換到“Advanced”，依次展開(kāi)“Available”—“Protocols”—“IP”—“TCP”,選中“FTP”復(fù)選框。（4）設(shè)置緩沖器緩沖器用來(lái)臨時(shí)保存Sniffer捕獲的數(shù)據(jù)，它占用內(nèi)存。當(dāng)緩沖器滿了后，Sniffer就停止捕獲，而緩沖器中的數(shù)據(jù)在重新捕獲或關(guān)閉Sniffer時(shí)自動(dòng)保存。（5）過(guò)濾器的使用“Capture”—“Select Filter”，選擇我們要選擇的過(guò)濾器。步驟5：Sniffer的使用（1）捕獲數(shù)據(jù) 通過(guò)Sniffer進(jìn)行網(wǎng)絡(luò)和協(xié)議分析，首先捕獲網(wǎng)絡(luò)中的數(shù)據(jù)。l “capture”—“start”，顯示“Expert”窗口，開(kāi)始捕獲。l 如要查看當(dāng)前捕獲的各種數(shù)據(jù)，單擊對(duì)話框左側(cè)的“Service”、“Connection”等選項(xiàng)，在右側(cè)即可以顯示相應(yīng)數(shù)據(jù)的概要信息。單擊“Objects”，可以顯示當(dāng)前監(jiān)視對(duì)象的詳細(xì)信息。l 當(dāng)捕獲到一定的數(shù)據(jù)，可以停止捕獲進(jìn)行分析?！癱apture”—“stop”。（2）查看分析捕獲的數(shù)據(jù)“capture”—“display”，查看所有捕獲的內(nèi)容。選擇下方的“Decode（解碼）”，窗口分成三部分：總結(jié)、詳細(xì)資料和Hex窗格的內(nèi)容，可以查看所捕獲的每個(gè)幀的詳細(xì)信息。所捕獲的數(shù)據(jù)的各部分的含義如下：l DLC：在DLC區(qū)域中顯示了捕獲的幀的來(lái)源信息，包括Source Addess（源地址）、Dest Address（目標(biāo)地址）、幀大?。ㄒ宰止?jié)記）及Ethertype（以太類型）。這里以太型值為0800，表示IPv4協(xié)議。上面的地址顯示的是網(wǎng)卡的MAC地址。l IP：如果捕獲HTTP，則IP區(qū)域中顯示了IP文件頭的詳細(xì)信息。各項(xiàng)內(nèi)容含義如下： Version（版本）：版本號(hào)為4，代表IPv4 Header length（服務(wù)類型值）：該值為00，（QoS）信息。每個(gè)二進(jìn)制位的意義都不同，這取決于最初的設(shè)定，例如，正常延遲設(shè)定為0，低延遲則為1Total length（總長(zhǎng)度）：顯示該數(shù)據(jù)包的總長(zhǎng)度。Identification：該數(shù)值是文件頭的標(biāo)識(shí)部分，當(dāng)數(shù)據(jù)包被劃分成幾段傳送時(shí)，發(fā)送數(shù)據(jù)的主機(jī)可以用這個(gè)數(shù)值來(lái)重新組裝數(shù)據(jù)。Flag（標(biāo)記）：數(shù)據(jù)報(bào)的“標(biāo)記”功能，0表示分段，1表示未分段。Fragment offset（分段差距）：分段差距為0個(gè)字節(jié)?？梢栽O(shè)定0代表最后一段，或設(shè)定1代表更多區(qū)段屬于數(shù)據(jù)包的哪個(gè)部分。Time to live（保存時(shí)間）：TTL值的大小，說(shuō)明一個(gè)數(shù)據(jù)包可以保存多久。Protocol（協(xié)議）：顯示協(xié)議值，在Sniffer中代表TCP協(xié)議。文件頭的協(xié)議部分只說(shuō)明要使用的下一個(gè)上層協(xié)議是什么，在這里是TCP。Header checksum（校驗(yàn)和）：這里顯示校驗(yàn)和的值，并且已經(jīng)做了標(biāo)記，表明這個(gè)數(shù)值是正確的。Source address（源地址）：數(shù)據(jù)的來(lái)源地址。Destination（目標(biāo)地址）：數(shù)據(jù)訪問(wèn)的目的地址。UDP：IP文件頭，下面是TCP或UDP文件頭，這里為UDP文件頭，包括： 。Source port（源端口）：顯示了使用的UDP協(xié)議的源端口。 。Destinations（目的端口）：顯示UDP協(xié)議的目的端口。 。Length（長(zhǎng)度）：表示IP文件頭的長(zhǎng)度。 。Checksum：顯示了UDP協(xié)議的校驗(yàn)和。 。Byeps of date：表示有多少個(gè)字節(jié)的數(shù)據(jù)。ARP： 。Hardware type（硬件類型）：這是一個(gè)16個(gè)比特字段，用來(lái)定義運(yùn)行ARP的網(wǎng)絡(luò)的類型。以太網(wǎng)是類型1，ARP可使用在任何網(wǎng)絡(luò)上。 。Protocol type：16比特字段，用來(lái)定義協(xié)議類型。對(duì)IPv4來(lái)說(shuō)，值為0800。ARP可用于任何高層協(xié)議。 。Length of Protocol address（協(xié)議長(zhǎng)度）：8比特，定義以字節(jié)為單位的邏輯地址長(zhǎng)度。IPv4協(xié)議的這個(gè)值是4。 。Opcode（操作）：16字節(jié)的字段，定義分組的類型。ARP請(qǐng)求第1步，ARP回答第2步。 。Sender’s Hardware address（發(fā)送站硬件地址）：可變長(zhǎng)字段。以太網(wǎng)這個(gè)值為6字節(jié)長(zhǎng)。 。Sender’s Protocol address（發(fā)送站協(xié)議地址）：可變長(zhǎng)字段，定義發(fā)送站的邏輯（如，IP）地址的長(zhǎng)度。對(duì)于IP協(xié)議來(lái)說(shuō)是4字節(jié)。 。Target Hardware address：目標(biāo)站的物理地址。 。Target Protocol address：4字節(jié)。 ICMP：Internet控制報(bào)文協(xié)議，允許報(bào)告20種以上不同的網(wǎng)絡(luò)狀況。首先要?jiǎng)?chuàng)建一個(gè)新的ICMP過(guò)濾器，即在“Advanced”中選中IP列表中的ICMP。 。Type=8（Echo）：ICMP Echo有兩種類型，8為請(qǐng)求，0為響應(yīng)。 。Coad：不常用，常設(shè)為0 。Checksum：ICMP是使用自己的校驗(yàn)和確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有中斷。 。Identifier與Sequence number：這些數(shù)字由發(fā)送方式生成，用來(lái)將響應(yīng)與請(qǐng)求匹配在一起。 Hex：“Decode”窗口最下方為“Hex窗格”，這里顯示的內(nèi)容最直觀，但也難以理解。16進(jìn)制。在這個(gè)窗格中，看到的就是出于傳輸狀態(tài)的原始ASCII格式的數(shù)據(jù)。 Matrix：Sniffer矩陣功能直觀地顯示網(wǎng)絡(luò)中各計(jì)算機(jī)之間的連接。但這里顯示的是固定數(shù)據(jù)，即曾經(jīng)捕獲的數(shù)據(jù)，而在監(jiān)視器中的Matrix是不斷變化的。 Host Table：顯示出在捕獲過(guò)程中各計(jì)算機(jī)所傳輸?shù)臄?shù)據(jù)，可根據(jù)所傳輸數(shù)據(jù)多少按順序排列。例如，發(fā)現(xiàn)某段時(shí)間有計(jì)算機(jī)傳輸數(shù)據(jù)特別多，在Matrix中顯示大量并發(fā)連接，結(jié)論：可能在P2P下載。為了避免該用戶過(guò)多占用帶寬，管理員可終止該進(jìn)程。（3）保存數(shù)據(jù) 捕獲后，為便于日后再次進(jìn)行分析和比較，要保存下來(lái)。File—save。步驟6：檢查網(wǎng)絡(luò)中使用的用戶（1）創(chuàng)建過(guò)濾器，如 （2）切換到“Port”選項(xiàng)卡，在“Port2”中輸入8000，Port1中為空，單擊“Dir.”下拉列表中選擇224。選項(xiàng)，即只捕獲連接到8000端口的計(jì)算機(jī)。完成過(guò)濾器的創(chuàng)建。 （3）主窗口中，“Start”即可使用該過(guò)濾器捕獲網(wǎng)絡(luò)中的數(shù)據(jù)。打開(kāi)“Matrix”查看當(dāng)前活動(dòng)鏈接，在左側(cè)顯示的就是本地局域網(wǎng)中的計(jì)算機(jī)地址，說(shuō)明這些計(jì)算機(jī)在使用。 （4）可能一臺(tái)主機(jī)由多個(gè)連接，說(shuō)明同時(shí)運(yùn)行多個(gè)，可以查看到本地端口默認(rèn)為4000端口，當(dāng)多個(gè)時(shí)，則可以使用4004002……。 提示：如果使用了UDP協(xié)議登陸，則使用4000、4001……等端口?？梢允褂贸跏级丝诜秶鷣?lái)捕獲，如果采用TCP登陸，會(huì)使用隨機(jī)端口，無(wú)法捕獲。也可能使用SOCKS或HTTP代理登陸，端口較多不固定，無(wú)法再通過(guò)端口來(lái)捕獲網(wǎng)絡(luò)中的。步驟7：徹底解決IP地址盜用問(wèn)題 首先使用ARP命令查看相關(guān)主機(jī)IP對(duì)應(yīng)的MAC地址并記錄。例如：：000c764b0803 （1）創(chuàng)建過(guò)濾器。來(lái)監(jiān)聽(tīng)被盜用的IP地址上傳的數(shù)據(jù)。 （2）開(kāi)始捕獲數(shù)據(jù)，一定數(shù)據(jù)后停止并顯示。開(kāi)始解碼所捕獲到得數(shù)據(jù)。此時(shí)，在DLC區(qū)域的Station字段中，即可看到盜用IP地址的計(jì)算機(jī)網(wǎng)卡的MAC地址。 （3）查看MAC地址登記表，找到盜用IP的計(jì)算機(jī)。提高： 流量統(tǒng)計(jì)分析利器—CommView：一款強(qiáng)大的工具，可以用來(lái)捕獲Internet和局域網(wǎng)中傳輸?shù)臄?shù)據(jù)，收集網(wǎng)絡(luò)傳輸中每個(gè)信息包，也可以顯示信息包和網(wǎng)絡(luò)連接列表、關(guān)鍵統(tǒng)計(jì)信息、協(xié)議分析圖等重要信息，并可顯示內(nèi)部及外部IP地址、端口、主機(jī)名稱、各種數(shù)據(jù)的數(shù)量等重要資料。管理員可以分析各種協(xié)議，分析網(wǎng)絡(luò)性能。CommView的過(guò)濾器功能還可以只過(guò)濾需要的數(shù)據(jù)包。 簡(jiǎn)易網(wǎng)絡(luò)診斷分析工具—網(wǎng)絡(luò)窺視者（EtherPeek）：是一個(gè)在數(shù)據(jù)包捕獲過(guò)程中可以實(shí)時(shí)進(jìn)行專業(yè)診斷和結(jié)構(gòu)解碼的網(wǎng)絡(luò)協(xié)議分析器，可以幫助網(wǎng)絡(luò)管理員分析和診斷日益加速變化的網(wǎng)絡(luò)數(shù)據(jù)群，可以對(duì)現(xiàn)今網(wǎng)絡(luò)面臨的眾多故障提供精確和最新的分析。 網(wǎng)絡(luò)協(xié)議檢測(cè)工具—Ethereal：免費(fèi)的網(wǎng)絡(luò)協(xié)議檢測(cè)程序，同時(shí)支持UNIX和Windows。使用該工具可以抓取運(yùn)行的網(wǎng)站的相關(guān)資訊，包括每一封包流向及內(nèi)容、資訊可依操作系統(tǒng)語(yǔ)系看出，方便查看、監(jiān)控TCP session動(dòng)態(tài)等。但僅僅提供協(xié)議分析，不具備Sniffer的一些功能，比如監(jiān)控、高級(jí)分析等。實(shí)驗(yàn)五 流量監(jiān)控與分析實(shí)驗(yàn)?zāi)康模簩?shí)驗(yàn)內(nèi)容：無(wú)論網(wǎng)絡(luò)性能有多么強(qiáng)大，都有可能因?yàn)槟承┯脩魹E用網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至忘了癱瘓。因此，管理員應(yīng)時(shí)刻關(guān)注網(wǎng)絡(luò)中的流量情況，保證用戶可以充分、合理地利用網(wǎng)絡(luò)資源，杜絕用戶對(duì)網(wǎng)絡(luò)資源的惡意占用。目前，網(wǎng)絡(luò)中存在大量的類似于BT、eMule等P2P軟件，它們主要用于下載、觀看網(wǎng)絡(luò)電視以及視頻點(diǎn)播等。這些軟件會(huì)造成大量的網(wǎng)絡(luò)流量，為了保證網(wǎng)絡(luò)的正常運(yùn)行，需要清楚了解網(wǎng)絡(luò)流量，并有針對(duì)性地封堵某些端口。實(shí)時(shí)監(jiān)測(cè)工具：網(wǎng)絡(luò)執(zhí)法官網(wǎng)絡(luò)執(zhí)法官是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，可以穿透客戶端防火墻對(duì)網(wǎng)絡(luò)中的主機(jī)（指各種計(jì)算機(jī)、路由器等配有IP的網(wǎng)絡(luò)設(shè)備）進(jìn)行監(jiān)控。該軟件使用網(wǎng)卡地址MAC識(shí)別用戶，可靠性高，并且軟件占用網(wǎng)絡(luò)資源少，對(duì)網(wǎng)絡(luò)性能影響很小。主要功能:l 實(shí)時(shí)記錄上線用戶并存檔備查l 自動(dòng)偵測(cè)未登記主機(jī)接入并報(bào)警l 檢測(cè)網(wǎng)內(nèi)所有代理服務(wù)器及路由器l 限定各主機(jī)的IP、防止IP盜用l 限定各主機(jī)的