李林峰 位偉鋒

(新密市電業(yè)局，河南 新密 452370)

1 sniffer工具的選擇

Sinffer Pro可用于網(wǎng)絡(luò)故障與性能管理，在局域網(wǎng)領(lǐng)域應(yīng)用非常廣泛。它是一款很好的網(wǎng)絡(luò)分析程序，允許管理員分析通過網(wǎng)絡(luò)的實(shí)際數(shù)據(jù)和協(xié)議，從而了解網(wǎng)絡(luò)的運(yùn)行情況。

它具有以下特點(diǎn)：

1)Sniffer Pro可以解碼 TCP/IP、IPX、SPX、FTP等幾乎所有的網(wǎng)絡(luò)傳輸標(biāo)準(zhǔn)協(xié)議。

2)支持局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)等網(wǎng)絡(luò)技術(shù)。

3)提供對網(wǎng)絡(luò)問題的分析和診斷，并推薦針對分析所應(yīng)該采取的措施。

4)可以離線捕獲數(shù)據(jù)，并對捕獲的數(shù)據(jù)進(jìn)行存儲，以方便網(wǎng)絡(luò)管理人員對所捕獲的數(shù)據(jù)進(jìn)行細(xì)致的分析。

有了Sniffer Pro，網(wǎng)絡(luò)管理員就能夠在一個容納幾十臺甚至更多計算機(jī)的網(wǎng)絡(luò)中查找網(wǎng)絡(luò)故障并及時進(jìn)行修復(fù)。

2 Sniffer Pro的使用

(1)安裝Sniffer工具

為了避免Sniffer遺漏捕獲網(wǎng)絡(luò)中的數(shù)據(jù)，Sniffer安裝的位置非常重要。Sniffer應(yīng)安裝在筆記本電腦上，并通過對核心交換機(jī)進(jìn)行端口鏡像，直接將筆記本電腦連接至核心交換機(jī)的鏡像端口上，就可以捕獲整個網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)，非常方便。

(2)配置交換機(jī)端口鏡像

由于各個廠家品牌交換機(jī)配置命令不同，在此以我單位使用的H3C交換機(jī)為例，通過CLI命令行模式配置。進(jìn)入SYS特權(quán)模式進(jìn)行如下配置：

啟用鏡像組1，將交換機(jī)端口20作為監(jiān)控端口，下接裝有sniffer pro軟件的PC：

[SwitchA]mirroring-group 1 local(創(chuàng)建本地鏡像組1)

[SwitchA]mirroring-group 1 mirroring-port e0/1，e0/4 both(為本地鏡像組1添加源端口e0/1，e0/4)

[SwitchA]mirroring-group 1 monitor-port e0/20(為本地鏡像組1添加目標(biāo)端口e0/20)

以上為交換機(jī)端口鏡像的配置，保存后退出，即可在端口20上連接安裝有Sniffer Pro的筆記本電腦，對整個網(wǎng)絡(luò)捕獲數(shù)據(jù)進(jìn)行分析。

(3)監(jiān)控網(wǎng)絡(luò)狀況

漢化后的Sniffer操作界面，可以通過工具欄完成監(jiān)控任務(wù)的操作，并在當(dāng)前窗口中顯示出所監(jiān)測的效果。在Sniffer主窗口中，默認(rèn)會顯示儀表盤窗口，分別用來顯示網(wǎng)絡(luò)利用率、傳輸?shù)臄?shù)據(jù)和錯誤統(tǒng)計。

Sniffer Pro的很多網(wǎng)絡(luò)分析結(jié)果都可以設(shè)定警戒值，若超出警戒值，報警記錄就會生成一條信息，并在儀表盤上以紅色來標(biāo)記超過設(shè)定警戒值的范圍。

(4)查看捕獲數(shù)據(jù)

在工具欄上單擊“開始”按鈕，Sniffer便開始捕獲網(wǎng)絡(luò)間傳輸?shù)乃袛?shù)據(jù)。

當(dāng)緩沖器中積累了一定流量后，可以停止并查看所捕獲的數(shù)據(jù)。單擊窗口下方的“解碼”選項卡，當(dāng)前窗口便可自上至下依次顯示：匯總、詳細(xì)資料和Hex窗口的內(nèi)容，并可以查看所捕獲的每個幀的詳細(xì)信息。

最上面的窗口中顯示了捕獲的幀、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”等信息。

中間的窗口部分顯示所選擇的協(xié)議的詳細(xì)資料。最上面顯示的就是DLC文件頭信息，包括協(xié)議類型、目標(biāo)地址、源地址、以及UDP端口號等。

最下方為“Hex窗口”，這里顯示的內(nèi)容最直觀，“Hex窗口”中的信息是16進(jìn)制代碼的信息集合，看到的就是處于傳輸狀態(tài)的ASCⅡ碼。

(5)分析網(wǎng)絡(luò)協(xié)議

在默認(rèn)情況下，Sniffer會接收網(wǎng)絡(luò)傳輸中的所有的數(shù)據(jù)，但在分析網(wǎng)絡(luò)協(xié)議時，其中捕獲的大量數(shù)據(jù)對我們查找網(wǎng)絡(luò)故障并沒有一點(diǎn)意義，反而會增加我們分析網(wǎng)絡(luò)故障的負(fù)擔(dān)。此時，我們可以通過對Sniffer進(jìn)行設(shè)置過濾器，只接收與分析的事件相關(guān)的數(shù)據(jù)，從而大大提高查找網(wǎng)絡(luò)故障的效率。

1)捕獲并分析ARP協(xié)議。ARP協(xié)議即地址識別協(xié)議，它的作用是將網(wǎng)絡(luò)設(shè)備的物理地址(MAC地址)與IP地址進(jìn)行映射配對。網(wǎng)絡(luò)中如果有ARP欺騙病毒，網(wǎng)絡(luò)傳輸就會出現(xiàn)時通時斷的情況，故障出現(xiàn)的頻率在短時間內(nèi)也不會總結(jié)出來，并且故障來源的查找將會是很多網(wǎng)絡(luò)管理員最為頭疼的事情。如果遇到這種情況，我們可以設(shè)置一個過濾器，只用來捕獲ARP數(shù)據(jù)包并分析網(wǎng)絡(luò)傳輸過程中所產(chǎn)生的所有ARP協(xié)議。通過分析ARP協(xié)議能夠發(fā)現(xiàn)在網(wǎng)絡(luò)傳輸過程中是否存在IP地址與MAC地址映射錯誤或者某臺主機(jī)將自己的MAC地址偽裝成網(wǎng)關(guān)服務(wù)器的MAC地址的情況，快速定位故障主機(jī)的IP和MAC地址，將這個罪魁禍?zhǔn)讖木W(wǎng)絡(luò)中斷開并進(jìn)行殺毒清理，從而可以解決網(wǎng)絡(luò)中ARP欺騙等故障。

2)分析ICMP協(xié)議來報告錯誤。ICMP協(xié)議即Internet控制信息協(xié)議，它是網(wǎng)絡(luò)設(shè)備間報告錯誤的協(xié)議。ICMP信息是封裝在IP數(shù)據(jù)包中的，而IP數(shù)據(jù)包又會封裝在以太網(wǎng)幀中。通過查看IP數(shù)據(jù)包中的所有數(shù)據(jù)就可徹底分析ICMP協(xié)議，從而了解多達(dá)10種以上的不同的網(wǎng)絡(luò)狀況。

3 應(yīng)用效果及注意事項

在日常的網(wǎng)絡(luò)維護(hù)過程中把sniffer軟件作為網(wǎng)絡(luò)維護(hù)工具引入實(shí)際工作中，能夠通過分析網(wǎng)絡(luò)傳輸?shù)暮诵膮f(xié)議，包括協(xié)議傳輸?shù)脑粗鳈C(jī)是哪一臺、協(xié)議傳輸?shù)哪康闹鳈C(jī)是哪一臺、以及主機(jī)相互間的報文傳送間隔等等，為管理員診斷網(wǎng)絡(luò)中不可見的模糊問題、管理網(wǎng)絡(luò)提供了寶貴的信息。

但同時也要注意，sniffer可以記錄明文傳送的用戶名和密碼，比如金融帳號;sniffer可以偷窺敏感的信息數(shù)據(jù)，甚至攔截整個email會話。sniffer軟件這把雙刃劍如果被一些別有用心的人員用作黑客工具，對整個網(wǎng)絡(luò)將造成巨大的破壞。所以網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中使用sniffer軟件的同時，一定要做好sniffer軟件的防范工作，只有在對sniffer軟件的使用及工作原理熟悉的情況下，才能夠更好的駕馭該軟件，助我們在網(wǎng)絡(luò)維護(hù)工作中一臂之力。

[1]公芳亮.《局域網(wǎng)安全與攻防解密-基于Snifferpro實(shí)現(xiàn)》，電子工業(yè)出版社

[2]孫浩峰.《網(wǎng)管員必讀——故障排除》，電子工業(yè)出版社