林海谐缘论坛 » 服务器网络技术 » 巧用sniffer软件 让网络恢复通畅

linhaidate 发表于 2007-2-15 02:13

巧用sniffer软件 让网络恢复通畅

<p> sniffer软件博大精，我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程，但如果没有一定的网络基础，恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩。现在很多时候我们都需要在交换环境下进行sniffer监控，因此这里就先从定义镜像端口做起。为什么要先定义镜像端口才能sniffer?这和交换机工作的原理有关。交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部的CAM表(暂且理解为MAC地址表)进行转发的。也就是说前者可直接sniffer而后者不能直接sniffer。这时就要用到端口镜像，端口镜像的定义就是:“把被镜像端口的进出数据报文完全拷贝一份到镜像端口，方便我们进行流量观测或者故障定位”。<br />　　还是来做一个实验吧，这样理解起来快一些<br />　　假设某公司申请了一根10M的电信宽带，突然某一天下午，网速奇慢无比。公司里的员工怨声不断，强烈要求网络恢复通畅，这时作为网络管理者的你，需要马上找出原因:<br />　　不同的设备做端口镜像的方法不同，CISCO的玩意儿虽好但对大部份网络爱好者来说太专业，做教程不一定合适。因此这里我选一款D-LINK的 DES-3226S二层交换机为例，以WEB界面说明如何进行镜像端口的配置(Mirroring Configurations)。</p><p>1[attach]2816[/attach] </p><p>进入DES-3226S二层可网管交换机<br />　　选择login to make a setup，登陆后进入交换机主配置菜单并显示基本信息: </p><p>2[attach]2817[/attach] </p><p>　　选择下面的Advanced setup------Mirroring Configurations(镜像配置)</p><p>3[attach]2818[/attach] </p><p>　　mirror Status选项Enabled，然后将Port 1设置为镜像端口，其余端口监听模式点选为Both(即发送与接收的数据都同时监控)，这样交换机就把2号端口至24号端口的数据随时随地都COPY了一份给Port 1，然后我们在Port 1上进行监听，Sniffer也就有了用武之地。 </p><p>4[attach]2819[/attach] </p><p>　　将网管电脑插入Port 1(镜像端口)，开启Sniffer软件，怎么样?界面够酷吧?左、右两幅地图很直观的显示了整个LAN内的数据流向。不管是右边的“传输地图”还是左边的“主机列表”它们现在都是根据学习到的MAC地址进行流量标识的。 </p><p>5[attach]2820[/attach] </p><p>　　通过左边的“主机列表饼图”，你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E这两台主机的数据流量目前为止最多。</p><p>6[attach]2821[/attach] </p><p>　　请出“局域网MAC地址扫描器”(也可以简单的ARP -A或者利用下面讲的IP选项)，进行LAN内的MAC地址扫描,进一步知道了00-E0-4C-DD-2E-2E属于192.168.123.117。而00-50-18-21-A5-F4这个地址属于192.168.123.254(这个地址为网关出口)。这样我们就可以知道是谁人把网速拖慢了</p><p>7[attach]2822[/attach] </p><p align="left">　　仅仅是知道是谁拖慢了网速还不够，我们还要进一步知道此人到底是怎么把网速拖慢了的。还是在“传输地图”里，看到下面MAC/IP/IPX三个选项了么?现在点IP选项，看出现了什么? </p><p>   不再是基于MAC地址的地图了，已经切换成IP地址的传输地图了。其中最粗的那根线:192.168.123.117=========221.10.135.114 说明了这家伙一直在和外网的一台主机交换数据，很明显他是在下载文件。</p><p>8[attach]2823[/attach] </p><p>　　再用“主机列表”中IP选项以饼图查看:<br />　　发现192.168.123.117与221.10.135.114的通信流量竟然高达整个网络流量的89.58%(44.20+45.38)!</p><p>9[attach]2824[/attach] </p><p>　　现在故障原因已经很明了，我们只需要对192.168.123.117这台主机进行处理就可以恢复网络的通畅。但在这之前，我们可以先利用 sniffer监控一下整个网络中都在传些什么内容!点击上面的菜单中:捕获---定义过滤器----选择“地址”子菜单;地址类型(协议):IP;在下面的“位置1”和“位置2”中分别填入“任意的”、“任意的”，意思是对整个LAN内的主机进行监控，当然你也可以仅仅监控两个地址的通信，比如前面所发现的192.168.123.117和221.10.135.114这两台主机,要注意双向通信或者单向通信的选择(键头符号)。 </p><p>10[attach]2825[/attach] </p><p>　　还可以在“高级”里选择具体对哪些IP协议进行监控，如果你对TCP/IP协议熟悉，利用这个功能可以快速得到自己想要的数据。</p><p>11[attach]2826[/attach] </p><p>　　譬如我们抓到了192.168.123.139访问外网主机211.91.135.26在80端口的一些数据包，说明这台主机正在流浏网页。 </p><p>12[attach]2827[/attach] </p><p>　　甚至可以进一步看对方在浏览远程主机上哪个目录下面的网页，看到那个rm文件的地址了么?这说明他目前正在线收看一部电影或者一首歌曲(根据前面music目录来推断)。 </p><p>13[attach]2828[/attach] </p><p>　　sniffer的功能还远不止这些，不过今天就到止为止吧，end. </p>

hlm444 发表于 2007-2-18 00:06

呵呵　
看不懂啊
学习了

oksky802 发表于 2007-2-22 14:51

ding ~~~

ycw7628126 发表于 2007-2-23 00:23

呵呵　

学习了

看不懂啊

gdsgddc 发表于 2007-2-23 18:51

呵呵！有点意思

carryang 发表于 2007-2-25 23:57

呵呵，这个软件是在哪里下载的啊？

reallimi 发表于 2007-3-1 20:07

看不懂，真是深奥。。。

沈欣 发表于 2007-5-3 18:36

好帖子!!!
好贴就是要顶!!!!!!!!!
我顶!!!!!!!!!!!!!!!!!!!

恋上你的床 发表于 2008-12-7 20:00

呵呵　
看不懂啊
学习了

ghost8 发表于 2008-12-30 10:28

学习了

ghost8 发表于 2008-12-30 11:07

再学习

[table=80%,#FFFFFF][tr][td][size=9pt][发帖际遇]: [url=http://www.linwan.net/event.php]ghost8玩网赚, 获得佣金缘币1元.
[/url][/font][/td][/tr][/table]

ghost8 发表于 2008-12-30 11:07

再学习

pupu01 发表于 2009-2-11 16:05

厉害，学习了

清茶a 发表于 2009-4-16 13:46

嗯，这样用实例来讲最直观了，也理解。有没有更多的sniffer的使用方法实用教程？

liusiao 发表于 2009-4-23 11:41

支持了@！ 学习了

查看完整版本: 巧用sniffer软件 让网络恢复通畅