sniffer嗅探工具在網(wǎng)絡(luò)管理工作中的應(yīng)用

李林峰 位偉鋒

(新密市電業(yè)局，河南 新密 452370)

1 sniffer工具的選擇

Sinffer Pro可用于網(wǎng)絡(luò)故障與性能管理，在局域網(wǎng)領(lǐng)域應(yīng)用非常廣泛。它是一款很好的網(wǎng)絡(luò)分析程序，允許管理員分析通過(guò)網(wǎng)絡(luò)的實(shí)際數(shù)據(jù)和協(xié)議，從而了解網(wǎng)絡(luò)的運(yùn)行情況。

它具有以下特點(diǎn)：

1)Sniffer Pro可以解碼 TCP/IP、IPX、SPX、FTP等幾乎所有的網(wǎng)絡(luò)傳輸標(biāo)準(zhǔn)協(xié)議。

2)支持局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)等網(wǎng)絡(luò)技術(shù)。

3)提供對(duì)網(wǎng)絡(luò)問(wèn)題的分析和診斷，并推薦針對(duì)分析所應(yīng)該采取的措施。

4)可以離線捕獲數(shù)據(jù)，并對(duì)捕獲的數(shù)據(jù)進(jìn)行存儲(chǔ)，以方便網(wǎng)絡(luò)管理人員對(duì)所捕獲的數(shù)據(jù)進(jìn)行細(xì)致的分析。

有了Sniffer Pro，網(wǎng)絡(luò)管理員就能夠在一個(gè)容納幾十臺(tái)甚至更多計(jì)算機(jī)的網(wǎng)絡(luò)中查找網(wǎng)絡(luò)故障并及時(shí)進(jìn)行修復(fù)。

2 Sniffer Pro的使用

(1)安裝Sniffer工具

為了避免Sniffer遺漏捕獲網(wǎng)絡(luò)中的數(shù)據(jù)，Sniffer安裝的位置非常重要。Sniffer應(yīng)安裝在筆記本電腦上，并通過(guò)對(duì)核心交換機(jī)進(jìn)行端口鏡像，直接將筆記本電腦連接至核心交換機(jī)的鏡像端口上，就可以捕獲整個(gè)網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)，非常方便。

(2)配置交換機(jī)端口鏡像

由于各個(gè)廠家品牌交換機(jī)配置命令不同，在此以我單位使用的H3C交換機(jī)為例，通過(guò)CLI命令行模式配置。進(jìn)入SYS特權(quán)模式進(jìn)行如下配置：

啟用鏡像組1，將交換機(jī)端口20作為監(jiān)控端口，下接裝有sniffer pro軟件的PC：

[SwitchA]mirroring-group 1 local(創(chuàng)建本地鏡像組1)

[SwitchA]mirroring-group 1 mirroring-port e0/1，e0/4 both(為本地鏡像組1添加源端口e0/1，e0/4)

[SwitchA]mirroring-group 1 monitor-port e0/20(為本地鏡像組1添加目標(biāo)端口e0/20)

以上為交換機(jī)端口鏡像的配置，保存后退出，即可在端口20上連接安裝有Sniffer Pro的筆記本電腦，對(duì)整個(gè)網(wǎng)絡(luò)捕獲數(shù)據(jù)進(jìn)行分析。

(3)監(jiān)控網(wǎng)絡(luò)狀況

漢化后的Sniffer操作界面，可以通過(guò)工具欄完成監(jiān)控任務(wù)的操作，并在當(dāng)前窗口中顯示出所監(jiān)測(cè)的效果。在Sniffer主窗口中，默認(rèn)會(huì)顯示儀表盤(pán)窗口，分別用來(lái)顯示網(wǎng)絡(luò)利用率、傳輸?shù)臄?shù)據(jù)和錯(cuò)誤統(tǒng)計(jì)。

Sniffer Pro的很多網(wǎng)絡(luò)分析結(jié)果都可以設(shè)定警戒值，若超出警戒值，報(bào)警記錄就會(huì)生成一條信息，并在儀表盤(pán)上以紅色來(lái)標(biāo)記超過(guò)設(shè)定警戒值的范圍。

(4)查看捕獲數(shù)據(jù)

在工具欄上單擊“開(kāi)始”按鈕，Sniffer便開(kāi)始捕獲網(wǎng)絡(luò)間傳輸?shù)乃袛?shù)據(jù)。

當(dāng)緩沖器中積累了一定流量后，可以停止并查看所捕獲的數(shù)據(jù)。單擊窗口下方的“解碼”選項(xiàng)卡，當(dāng)前窗口便可自上至下依次顯示：匯總、詳細(xì)資料和Hex窗口的內(nèi)容，并可以查看所捕獲的每個(gè)幀的詳細(xì)信息。

最上面的窗口中顯示了捕獲的幀、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”等信息。

中間的窗口部分顯示所選擇的協(xié)議的詳細(xì)資料。最上面顯示的就是DLC文件頭信息，包括協(xié)議類型、目標(biāo)地址、源地址、以及UDP端口號(hào)等。

最下方為“Hex窗口”，這里顯示的內(nèi)容最直觀，“Hex窗口”中的信息是16進(jìn)制代碼的信息集合，看到的就是處于傳輸狀態(tài)的ASCⅡ碼。

(5)分析網(wǎng)絡(luò)協(xié)議

在默認(rèn)情況下，Sniffer會(huì)接收網(wǎng)絡(luò)傳輸中的所有的數(shù)據(jù)，但在分析網(wǎng)絡(luò)協(xié)議時(shí)，其中捕獲的大量數(shù)據(jù)對(duì)我們查找網(wǎng)絡(luò)故障并沒(méi)有一點(diǎn)意義，反而會(huì)增加我們分析網(wǎng)絡(luò)故障的負(fù)擔(dān)。此時(shí)，我們可以通過(guò)對(duì)Sniffer進(jìn)行設(shè)置過(guò)濾器，只接收與分析的事件相關(guān)的數(shù)據(jù)，從而大大提高查找網(wǎng)絡(luò)故障的效率。

1)捕獲并分析ARP協(xié)議。ARP協(xié)議即地址識(shí)別協(xié)議，它的作用是將網(wǎng)絡(luò)設(shè)備的物理地址(MAC地址)與IP地址進(jìn)行映射配對(duì)。網(wǎng)絡(luò)中如果有ARP欺騙病毒，網(wǎng)絡(luò)傳輸就會(huì)出現(xiàn)時(shí)通時(shí)斷的情況，故障出現(xiàn)的頻率在短時(shí)間內(nèi)也不會(huì)總結(jié)出來(lái)，并且故障來(lái)源的查找將會(huì)是很多網(wǎng)絡(luò)管理員最為頭疼的事情。如果遇到這種情況，我們可以設(shè)置一個(gè)過(guò)濾器，只用來(lái)捕獲ARP數(shù)據(jù)包并分析網(wǎng)絡(luò)傳輸過(guò)程中所產(chǎn)生的所有ARP協(xié)議。通過(guò)分析ARP協(xié)議能夠發(fā)現(xiàn)在網(wǎng)絡(luò)傳輸過(guò)程中是否存在IP地址與MAC地址映射錯(cuò)誤或者某臺(tái)主機(jī)將自己的MAC地址偽裝成網(wǎng)關(guān)服務(wù)器的MAC地址的情況，快速定位故障主機(jī)的IP和MAC地址，將這個(gè)罪魁禍?zhǔn)讖木W(wǎng)絡(luò)中斷開(kāi)并進(jìn)行殺毒清理，從而可以解決網(wǎng)絡(luò)中ARP欺騙等故障。

2)分析ICMP協(xié)議來(lái)報(bào)告錯(cuò)誤。ICMP協(xié)議即Internet控制信息協(xié)議，它是網(wǎng)絡(luò)設(shè)備間報(bào)告錯(cuò)誤的協(xié)議。ICMP信息是封裝在IP數(shù)據(jù)包中的，而IP數(shù)據(jù)包又會(huì)封裝在以太網(wǎng)幀中。通過(guò)查看IP數(shù)據(jù)包中的所有數(shù)據(jù)就可徹底分析ICMP協(xié)議，從而了解多達(dá)10種以上的不同的網(wǎng)絡(luò)狀況。

3 應(yīng)用效果及注意事項(xiàng)

在日常的網(wǎng)絡(luò)維護(hù)過(guò)程中把sniffer軟件作為網(wǎng)絡(luò)維護(hù)工具引入實(shí)際工作中，能夠通過(guò)分析網(wǎng)絡(luò)傳輸?shù)暮诵膮f(xié)議，包括協(xié)議傳輸?shù)脑粗鳈C(jī)是哪一臺(tái)、協(xié)議傳輸?shù)哪康闹鳈C(jī)是哪一臺(tái)、以及主機(jī)相互間的報(bào)文傳送間隔等等，為管理員診斷網(wǎng)絡(luò)中不可見(jiàn)的模糊問(wèn)題、管理網(wǎng)絡(luò)提供了寶貴的信息。

但同時(shí)也要注意，sniffer可以記錄明文傳送的用戶名和密碼，比如金融帳號(hào);sniffer可以偷窺敏感的信息數(shù)據(jù)，甚至攔截整個(gè)email會(huì)話。sniffer軟件這把雙刃劍如果被一些別有用心的人員用作黑客工具，對(duì)整個(gè)網(wǎng)絡(luò)將造成巨大的破壞。所以網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中使用sniffer軟件的同時(shí)，一定要做好sniffer軟件的防范工作，只有在對(duì)sniffer軟件的使用及工作原理熟悉的情況下，才能夠更好的駕馭該軟件，助我們?cè)诰W(wǎng)絡(luò)維護(hù)工作中一臂之力。

[1]公芳亮.《局域網(wǎng)安全與攻防解密-基于Snifferpro實(shí)現(xiàn)》，電子工業(yè)出版社

[2]孫浩峰.《網(wǎng)管員必讀——故障排除》，電子工業(yè)出版社