Sniffer Pro使用详解Word文档格式.docx
《Sniffer Pro使用详解Word文档格式.docx》由会员分享,可在线阅读,更多相关《Sniffer Pro使用详解Word文档格式.docx(27页珍藏版)》请在冰点文库上搜索。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
(1)监控Internet连接共享
如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将SnifferPro安装在代理服务器上,这样,SnifferPro就可以非常方便地捕获局域网和Internet之间传输的数据。
如果核心交换机为智能交换机,那么最好的方式是采用端口映射的方式,将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口,并将SnifferPro计算机连接至该映射端口。
例如,在交换机上,与外部网络连接的端口设为A,连接笔记本电脑的端口设置为B,将笔记本电脑的网卡与B端口连接,然后将A和B做端口映射,使得A端口传输的数据可以从B端口监测到,这样,Sniffer就可以监测整个局域网中的数据了。
(2)监控某个VLAN或者端口
若欲监控某个VLAN中的通信时,应将SnifferPro计算机添加至该VLAN,使其成为该VLAN中的一员,从而监控该VLAN中的所有通信。
若欲监控某个或者几个端口的通信时,可以采用端口映射的方式,将被监控的端口(或若干端口)映射为SnifferPro计算机所连接的端口。
2.设置监控网卡
如果计算机上安装了多个网卡,在首次运行SnifferPro时,需要选择要监控的网卡,应该选择代理网卡或者连接交换机端口的网卡。
当下次运行时,SnifferPro就会自动选择同样的代理。
Sniffer安装完成以后,从“开始”菜单运行,显示“Settings”对话框,在“Selectsettingsformonitoring”列表框中单击选择要监控的网卡,单击“确定”按钮,Sniffer就会监控该网卡中传输的数据,如图1所示。
如果以后要改变监控设置,可以选择“File”菜单中的“SelectSettings”选项,同样会出现该对话框,用来改变要监控的网卡。
图1选择网卡
如果在“Settings”对话框中没有显示要监控的网卡,可以将其它网卡添加到该列表框中。
单击“New”按钮,显示如图2所示“NewSettings”对话框,可以设置新添加的网卡。
图2添加新网卡
Description:
为该网卡设置一个名称,可以是关于该网卡的描述。
Network:
该下拉列表中列出了本地计算机上的所有网卡,可以选择要使用的网卡。
NetpodConfiguration:
在这里可以设置高速以太网Pod,为了使以太网可以以全双工模式工作,在“Netpod”下拉列表中选择“FullDuplexPod(全双工Pod)”选项,在“NetpodIP”框中输入SnifferPro系统的网络适配器的IP地址再加1。
例如,SnifferProIP地址为192.168.1.1,NetpodIP地址就必须设置为192.168.1.2。
全双工Pod要求有静态IP地址,所以应该禁用DHCP。
Copysettings:
在该下拉列表中显示了本地计算机中以前定义过的网卡设置,可以选择一种配置,将其复制到该新添加的网卡中。
设置完成以后单击“OK”按钮,添加到“Settings”对话框中,然后就可以选择监控该网卡了。
3.监控网络状况
Sniffer的界面并不复杂,通过工具栏和菜单栏就可以完成大部分操作,并在当前窗口中显示出所监测的效果,如图3所示为Sniffer的主窗口。
图3Sniffer主窗口
在Sniffer主窗口中,默认会显示Dashboard(仪表盘)窗口,共显示了三个仪表盘,即“Utilization%”“Packets/s”“Errors/s”,分别用来显示网络利用率、传输的数据和错误统计。
(1)Utilization%(利用率百分比)
用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。
表盘的红色区域表示警戒值,表盘下方有两个数字,第一个数字代表当前利用率百分比,第二个是最大的利用率百分比数值。
监控网络利用率是网络分析中很重要的部分。
但是,网络数据流通常都是突发型的,一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。
表示网络利用率的理想方法要因网络不同而改变,而且很大程度上要取决于网络的拓扑结构。
在以太网端口,利用率到40%,效率可能已经很高了,但是在全双工可转换端口,80%的利用率才是高效的。
(2)Packets/s(每秒传输的数据包)
显示当前数据包的传输速度。
同样,红色区域表示警戒值,下方的数字显示当前的数据包传输速度及其峰值。
根据数据包速率可以得出网络上流量类型的一些重要信息。
例如,如果网络利用率很高,而数据包传输速度相对较低,则说明网络上的帧比较大;
而如果网络利用率很高,数据包传输速率也很高,说明帧比较小。
通过查看规模分布的统计结果,可以更详细的了解帧的大小。
(3)Errors/s(每秒产生的错误)
该表盘可显示当前出错率和最大出错率。
不过,并非所有的错误都产生故障。
例如,以太网中经常会发生冲突,并不一定会对网络造成影响,但过多的冲突就会带来问题。
如果要重新设定仪表盘的值,可以单击仪表盘窗口上方的Reset(重置)按钮。
在仪表盘窗口中,单击“Detail(详细)”,显示如图5所示窗口,以表格的形式显示了关于利用率、数据包传输速度和出错率的详细统计结果。
在该窗口下方的“Network”窗口中,可以选择要显示的内容,如Packets/s(数据包/秒),每秒出现的数据包的总数;
Utilization(利用率),网络利用率,这是Sniffer中最常用的功能,可以查看哪一天中哪个时间利用率最高;
Errors/s(错误/秒),每秒出现的整体错误的数目,若设定基准,可以看到一天中哪个时间段遗失的数据包最多;
Bytes/s(字节/秒),每秒出现的数据的总字节数,这与数据包不同,字节预先设定好了长度,而数据包长度各不相同;
Broadcasts/s(广播/秒),每秒产生的广播数据包数目。
广播是从主机发往区段上所有其它主机的数据包;
Multicasts/s(每秒组播的数据包的数目),是一个主机向特定的主机发送的数据包。
图4详细信息
在“Network”列表中所显示的信息为:
Packets(数据包):
网络中传输的数据包总数。
Drops(遗失):
SnifferPro遗失的数据包数目(可能因为系统性能问题而遗失的帧的数量。
在网络活动高峰期经常会遗失数据包)。
Broadcasts(广播):
SnifferPro监测到的广播帧的数目。
子网或者VLAN上所有的组件都必须处理所有的广播数据包,过多的广播会使网络上所有的系统性能整体下降。
Multicasts(组播):
SnifferPro监测到的组播帧的数目。
尽管组播帧影响到的网络设备数目要比广播的少,但是组播流量过大也会引起信息通过量出现问题。
Bytes(字节):
SnifferPro监控到的总字节数。
把这个数乘以8就得到了二进制的位数。
Utilization(利用率):
网络当前利用率。
Errors(错误):
网络当前错误总数。
提高计算机的速度,因为它不会经受一个绑定命令,而且不需要的协议不会向VLAN发送广播。
这些提示可以消除网络上的一些流量。
还有很多方法可以减少流量,但是如果用这些常用的方法,可以减少25%~50%或者更多的流量。
至少有20%的网络流量是由广播或者组播造成的,这些流量应该作为问题标出来。
SnifferPro的很多网络分析结果都可以设定阀值,若超出阀值,报警记录就会生成一条信息,并在仪表盘上以红色来标记超过设定阀值的范围。
另外需要注意的是,要记录下警告信息,并且必须查看系统超过了阀值多少次,以及超出阀值的频率是多少,这些信息可以帮助管理员确定网络是否有问题。
单击仪表盘上的“SetThresholds(设定阀值)”按钮,显示如图6所示“DashboardProperties”对话框,可查看或者修改这些值。
SnifferPro预先设定了默认的阀值,通常都是网络一些流量平均值。
另外,也可以在SnifferPro窗口中,选择“Tools”菜单中的“Options”选项,打开“Options”对话框,选择“MACThreshold(MAC阀值)”选项卡,同样也可以像该对话框一样查看或者修改其它阀值。
图5DashboardProperties
在“HighThreshold”列表中,可以设置各项的阀值。
在调整阀值时,仪表盘也随之改变。
例如,利用率表盘默认为50%,如果将“Utilization%(利用率)”阀值改为30%,则表盘的红色阀值区域就会发生变化,如图7所示为利用率表盘设定前后的变化,可以看到红色阀值区域从50已经下降到30处。
图6阀值设定前后的变化
阀值的设定要根据自己的网络状况,比如,管理员觉得网络利用率达到30%就已经很高了,就可以先设定为30%,当超出阀值时,警告记录中就会有信息显示。
要查看警告记录,可以选择“Monitor”菜单中的“AlarmLog”选项,显示“AlarmLog”对话框,如图8所示,这里记录了所有超过阀值时的警告信息。
另外,还需要注意查看是否始终都超过设定阀值,在“LogTime”中显示大约每隔不到10秒就会超过阀值,并记录到警告记录中,这说明需要提高阀值或者解决已存在的问题。
图7警告日志
在检修故障时设定一个临时的阀值是很有帮助的。
例如,正在监控来自路由器的流量,而且知道每秒钟组播的流量不应该多于两个帧,就可以把每秒组播的阀值设为“2”。
当SnifferPro监控流量时,如果超过了这个值,警告记录中就会加入一条警告信息。
不过要记住,当修复故障以后应把阀值改回原来的数值。
4.查看捕获数据 通过SnifferPro监控网络程序以进行网络和协议分析,需要先使SnifferPro捕获网络中的数据。
在工具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图9所示“Expert”对话框,此时,Sniffer便开始捕获局域网与外部网络所传输的所有数据。
图9Expert
要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口中显示所捕获数据的详细信息。
此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成上下箭头时,向上拖动该横线,就可以看到所选择连接的详细信息,如图10所示。
图10当前已捕获的数据
当缓冲器中积累了一定流量后,可以停止并查看所捕获的数据。
单击主窗口工具栏上的“停止”按钮,或者选择“Capture”菜单中的“Stop”选项,停止捕获数据,再选择“Capture”菜单中的“Display”选项,就可以查看所捕获的内容了。
单击窗口下方的“Decode(解码)”选项卡,如图11所示,该窗口共分为三个部分,由上到下依次为:
总结、详细资料和Hex窗口的内容,可以查看所捕获的每个帧的详细信息。
图11捕获的数据信息
在最上面的窗口中显示了捕获的帧和捕获的顺序、“SourceAddress(源地址)”、“DestAddress(目的地址)”、“Summary(摘要信息)”以及时间等信息。
此时可以选中需要的帧左侧的复选框,然后就可以保存为新的捕获文件。
选择“Display”菜单中的“SaveSelect”选项,即将选择的帧保存为新的捕获文件;
选择“SelectRange(选择范围)”选项可以选择全部帧、取消对全部范围的选择,或者选择和取消任何一个范围的选择。
“Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图12所示。
最上面显示的就是DLC文件头信息,包括来源、目的地址、帧大小(以字节计)以及Ethertype(以太网类型)。
在这里,以太网类型值为0800,表示为IPv4协议。
图12DLC文件头信息
如果捕获的是HTTP协议,则DLC下面显示的是IP文件头的详细内容(如图13所示),
图13IP文件头信息
包括:
Version(版本):
版本序号为4,代表IPv4。
Headerlength:
Internet文件头长度,为20个字节。
Typeofservice(服务类型值):
该值为00,我们会看到ToS下面一直到总长度部分都是0。
这里可以提供服务质量(QoS)信息;
每个二进制数位的意义都不同,这取决于最初的设定。
例如,正常延迟设定为0,说明没有设定为低延迟,如果是低延迟,设定值应该为1。
Totallength(总长度):
显示该数据的总长度,为Internet文件头和数据的长度之和。
Identification:
该数值是文件头的标识符部分,当数据包被划分成几段传送时,接收数据的主机可以用这个数值来重新组装数据。
Flag(标记):
数据包的“标记”功能,例如,数据包分段用0标记,未分段用1标记。
Fragmentoffset(分段差距):
分段差距为0个字节。
可以设定0代表最后一段,或者设定1代表更多区段,这里该值为0。
分段差距用来说明某个区段属于数据包的哪个部分。
Timetolive(保存时间):
表示TTL值的大小,说明一个数据包可以保存多久。
Protocol(协议):
显示协议值,在SnifferPro中代表传输层协议。
文件头的协议部分只说明要使用的下一个上层协议是什么,这里为UDP。
Headerchecksum(校验和):
这里显示了校验和(只在这个头文件中使用)的值,并且已经做了标记,表明这个数值是正确的。
Sourceaddress(源地址):
显示了数据的来源地址。
Destinationaddress(目的地址):
显示了数据访问的目的地址。
IP文件头下面为TCP或者UDP文件头,这里为UDP协议(如图14所示)。
图14UDP文件头信息
UDP协议头包括下列信息:
Sourceport(源端口):
显示了所使用的UDP协议的源端口。
Destinationport(目的端口):
显示了UDP协议的目的端口。
Length(长度):
表示IP文件头的长度。
Checksum(校验和):
显示了UDP协议的校验和。
Bytesofdata:
表示有多少字节的数据。
根据协议的不同,在详细资料窗口中有的还会显示ARP、HTTP、WINS等信息。
通过这些信息,可以发现正在解析的协议中更多内容。
“Decode”窗口最下方为“Hex窗口”,这里显示的内容最直观,但也难以理解,如图15所示。
“Hex窗口”中的信息是16进制代码的信息集合。
数据的传输是按照二进制系统为基本标准进行的,二进制数据还可以转换为十六进制、十进制和八进制的格式,在“Hex窗口”中查看数据时,看到的就是处于传输状态的原始ASCⅡ格式的数据。
图15Hex窗口
5.监控网络的几种模式
在Sniffer中,除了使用仪表盘表示网络的当前状况以外,还可以使用其它几种模式来查看网络当前的运行状况。
选择“Monitor”菜单中的“HostTable(主机列表)”选项,显示如图16所示“HostTable”对话框,该列表框中显示了当前与该主机连接通信信息,包括连接地址、通信量、通信时间等,例如,这里选择“IP”标签,可以看到与本机相连接的所有IP地址及其信息。
在该对话框左侧,可以选择不同的按钮,使该主机列表以不同的图形显示,如柱形、圆形等。
图16主机列表
选择“Monitor”菜单中的“Matrix”选项,显示“Matrix”窗口,该窗口会监控本地网络与外部网络的连接情况,并将源地址与目的地址的连接用直线表示。
如图17所示该蓝色圆中的各点连线表明了当前处于活跃状态的本地计算机与目的地址的点对点连接,在这里,选择“IP”标签,可以看到源地址与目的IP地址的连接(如图17)。
不过,由于连接点太多而过于密集,用户难以看清楚各连接点的源地址和目的地址,此时可在该窗口上单击右键,选择快捷菜单中的“Zoom”子菜单中的比例值来扩展大图形,如300%,500%等。
图17“IP”标签
同样,如果选择“MAC”标签,则可以查看该计算机与哪些物理设备进行通信,从而便于排除其是否在大量进行广播。
选择“Monitor”菜单中的“ProtocolDistribution”选项,显示如图18所示窗口,可以查看各种协议的分布状态,例如,我们选择“IP”标签,在“IPProtocol”中可以看到不同的网络协议以不同颜色的区块表示。
图18ProtocolDistribution
选择“Monitor”菜单中“GlobalStatistics”选项,在“SizeDistribution”标签中,可以查看网络上传输包的大小比例分配,显示如图19所示。
而在“UtilizationDist”标签中,可以查看当前网络的利用率。
图19GlobalStatistics
选择“Monitor”菜单中的“ApplicationResponseTime”选项,该列表中显示拉局域网内的通信及其响应速度列表,并将本地网的计算机名以NetBIOS名的形式解析出来。
6.设置数据包过滤
在默认情况下,Sniffer会接收网络中所有传输的数据包,但我们在分析网络协议查找网络故障时,有许多数据包不是我们需要的,这就要对捕获的数据进行过滤,只接收与分析的问题或者事件相关的数据。
Sniffer提供了捕获数据包前的过滤规则和定义,过滤规则包括二、三层地址的定义和几百种协议的定义。
这里介绍一下如何过滤通过本机发送的IP数据包。
在SnifferPro主窗口中,选择“Capture”菜单中的“DefineFilter”选项,选择“Address”选项卡,如图20所示,在“Address”下拉列表中可以选择MAC,IP,IPX过滤,这里我们选择“IP”;
在“Mode”中选择“Include(包含)”单选按钮,如果选择“Exclude”单选按钮,则表示捕获除此地址外所有的数据包;
在Station列表中的一栏输入要过滤的IP地址,另一栏设置为“Any”,代表任何主机;
在“Dir”列表中设置过滤条件,可以用逻辑关系如AND,OR,NOT等组合来设置。
在Station列表中,可以设置多个条件,也就是可以过滤多个IP地址的连接。
图20设置过滤的IP地址
选择“Advanced”选项卡,在这里可以定义要捕获哪些协议的数据包。
例如,想捕获DNS,FTP,HTTP,NetBIOS等协议的数据包,可在TCP协议列表中,选中DNS,FTP,HTTP,NetBIOS等协议复选框;
在“PacketSize”下拉列表中,可以选择要过滤的数据包的大小;
在“PacketType”列表框中,可以选择要捕获的数据包的类型,如图21所示。
图21选择协议
选择“Buffer”选项卡,用来定义捕获包缓冲器,缓冲器占用的是计算机内存的一部分空间,如图22所示。
在“Buffersize”中可以定义缓冲器的大小,默认为8MB;
在“Packetsize”中可以设置包的大小;
在“Whenbufferisfull(当缓冲器已满)”选项区域中,可以设置缓冲器满了以后,是“Stopcapture(停止捕获)”还是“Wrapbuffer(封装缓冲器)”;
在“Capturebuffer”选项区域可以设置捕获数据的自动保存功能。
由于缓冲器会占用内存空间,如果计算机内存较小,要捕获的数据又很多,可以使用自动保存功能将捕获的数据直接保存硬盘,选中“Savetofile(保存到文件)”复选框,在“Director”中设置要保存的文件路径,在“Filename”中设置文件名。
图22设置缓冲器
如果没有使用自动保存功能,捕获数据后会自动显示出Expert对话框,用来分析数据;
如果使用了自动保存功能,由于数据不再保存到缓冲器而是保存到文件,所以停止捕获以后再选择“Capture”菜单中的“Display”选项时,就要求选择打开的文件,此时需要选择在设置自动保存时的文件,才可打开。
完成以后单击“Profiles”按钮,显示“CaptureProfiles”对话框,可以建立一个新的过滤器。
默认已有一个名为“Default”的过滤器,单击“New”按钮显示“NewCaptureProfile”对话框,在“NewProfileName”文本框中为该过滤器定义一个名称,如图23所示,完成以后单击“OK”按钮。
图23新建过滤器
最后,单击“确定”按钮保存所做的设置。
然后,需要将所设置的过
升级会员 