实验五网络诊断分析Word文档下载推荐.docx
《实验五网络诊断分析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实验五网络诊断分析Word文档下载推荐.docx(15页珍藏版)》请在冰点文库上搜索。
通常情况下,Sniffer应该安装在内部网络和外部网络之间,例如代理服务器。
也可以安装在局域网内任何一台计算机上,但此时只能对局域网内部通信进行分析。
如果使用交换机或路由器方式接入Internet,可以在网络设备上配置端口镜像,并将网络设备的出口设置为目的端口,然后将安装Sniffer的计算机连接到该端口,即可对整个网络的监控。
小知识:
端口镜像,在网络中经常用到。
是指把交换机的一个端口(或VLAN)的数据镜像到一个或多个端口的方法,简单地说,是把交换机一个(多个)端口(源端口)的流量完全复制一份,从另外一个端口(目的端口)发出去。
网络管理人员在目的端口通过软件分析源端口的流量,从而找出网络存在问题的原因。
安装方法和通常软件相同。
步骤2:
配置网络适配器
启动Sniffer,选择要监控的网卡。
为了使Sniffer能够监控多个不同的网络,可以设置多个代理。
选择New。
步骤3:
Sniffer的监控功能可以查看当前网络中的数据传输情况。
Sniffer有七大监控功能:
●Dashboard(仪表)
主窗口中,“Monitor”—“Dashboard”。
显示有三个盘:
(1)Utilization%(利用百分比)
使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。
利用率达到40%就已经相当高了。
(2)Packets/s(每秒传输的数据包)
显示网络中当前数据包的传输速率。
如果网络利用率高,但速率低,说明网络上的帧比较大。
(3)Error/s(每秒错误率)
显示当前网络中的出错率。
每个仪表盘下方都会显示两个数值,前一个数值表示当前值,后一个数值表示最大值。
如果想查看详细的传输数据,可单击仪表盘下方“Detail”(详细)按钮。
如图所示。
●HostTable(主机列表)
以列表的形式显示当前网络上计算机的流量信息。
选择“Monitor”—“HostTable”选项,如图所示。
(1)HwAddr(硬件地址):
以MAC地址形式显示计算机。
(2)InPkts(传入数据包):
网络上发送到此主机的数据包。
(3)OutPkts(传出数据包):
本地主机发送到网络上的数据包
(4)InBytes(传入字节数):
网络上发送到此主机的字节数
(5)OutBytes(传出字节数):
本地主机发送到网络上的字节数
提示:
通过主机列表功能,可以查看某台计算机所传输的数据量。
如果发现某台计算机在某个时间段内发送或接收了大量的数据,例如某个用户一天内就传输了数GB的数据,则说明该用户很可能在使用BT、PPLive等P2P软件。
●Matrix(矩阵)
Sniffer最常用功能之一,选择“Monitor”—“Matrix”。
显示了当前所捕获的网络中各计算机的连接情况。
单击窗口下方的”IP”标签,可以以IP地址方式显示各主机。
在窗口空白处单击鼠标右键,在快捷键中选择“Zoom”选项,可以放大显示比例。
右键单击要查看的主机IP地址,快捷键中选择“ShowSelectNodes”,可以查看与那些地址连接,鼠标放在线上,可以查看流量。
通过Matrix功能,管理员可以发现网络中使用BT等P2P软件或中了蠕虫病毒的用户。
如果某个用户的并发连接数特别多,并且不断地向其他计算机发送数据,这就说明该计算机可能中了蠕虫病毒。
此时,网络管理员应及时封掉该计算机所连接的交换机端口,并对该计算机查杀病毒。
●ART(ApplicationResponseTime,应用响应时间)
Sniffer的ART主要用来显示网络中Web网站的连接情况,可以看到局域网中哪些计算机正在上网,浏览的是哪些网站。
●ProtocolDistribution(协议分类)
选择“Monitor”—“ProtocolDistribution”,以不同颜色的柱形显示网络中不同协议使用情况。
●HistorySample(历史采样)
Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。
选择“Monitor”—“HistorySamples”,双击“Packets/s”。
Sniffer开始记录每秒所发送的数据包数量,并且每隔15秒便记录一次,以柱形方式显示。
也可以保存记录结果。
●GlobalStatistics(球状统计)
Sniffer的球状统计功能用来显示不同大小数据包的使用情况。
选择“Monitor”—“GlobalStatistics”。
步骤4:
创建过滤器
默认情况下,Sniffer会监控网络中所有传输的数据包,但在分析网络协议、查找网络故障时,有许多数据包并不是管理员所关心的。
Sniffer提供了过滤器,过滤规则包括第二层,第三层地址的定义和几百种协议的定义。
(1)过滤IP地址
创建一个过滤器,只捕获IP地址段位192.168.40.101到192.168.40.110范围内传输的数据。
选择“Capture”—“DefineFiler”,在“SettingsFor”列表中显示过滤器名,该过滤器对所有经过网卡的数据全部捕获。
单击“Profiles”,选择“New”,输入新过滤器名称。
“Done”完成。
在“SettingsFor”列表框中,选择新建的过滤器,分别在station1和station2中输入起止IP地址。
点击“确定”完成过滤器创建。
(2)过滤端口
Sniffer4.8/4.9中增加了端口过滤功能,可以让Sniffer只捕获特定端口内传输的数据,可以使固定的一个或几个端口,也可以使一个端口范围。
(3)过滤网络协议
创建一个过滤器,只捕获网络中使用FTP协议传输的数据,来查看有多少人在通过FTP下载文件。
创建一个新过滤器,名FTP。
选择FTP过滤器,切换到“Advanced”,依次展开“Available”—“Protocols”—“IP”—“TCP”,选中“FTP”复选框。
(4)设置缓冲器
缓冲器用来临时保存Sniffer捕获的数据,它占用内存。
当缓冲器满了后,Sniffer就停止捕获,而缓冲器中的数据在重新捕获或关闭Sniffer时自动保存。
4.7默认大小为8MB。
4.9的为64MB可以调整缓冲器大小和保存路径。
(5)过滤器的使用
“Capture”—“SelectFilter”,选择我们要选择的过滤器。
步骤5:
Sniffer的使用
(1)捕获数据
通过Sniffer进行网络和协议分析,首先捕获网络中的数据。
●“capture”—“start”,显示“Expert”窗口,开始捕获。
●如要查看当前捕获的各种数据,单击对话框左侧的“Service”、“Connection”等选项,在右侧即可以显示相应数据的概要信息。
单击“Objects”,可以显示当前监视对象的详细信息。
●当捕获到一定的数据,可以停止捕获进行分析。
“capture”—“stop”。
(2)查看分析捕获的数据
“capture”—“display”,查看所有捕获的内容。
选择下方的“Decode(解码)”,窗口分成三部分:
总结、详细资料和Hex窗格的内容,可以查看所捕获的每个帧的详细信息。
所捕获的数据的各部分的含义如下:
●DLC:
在DLC区域中显示了捕获的帧的来源信息,包括SourceAddess(源地址)、DestAddress(目标地址)、帧大小(以字节记)及Ethertype(以太类型)。
这里以太型值为0800,表示IPv4协议。
上面的地址显示的是网卡的MAC地址。
●IP:
如果捕获HTTP,则IP区域中显示了IP文件头的详细信息。
各项内容含义如下:
--Version(版本):
版本号为4,代表IPv4
--Headerlength(服务类型值):
该值为00,会看到Tos下面一直到总长的部分都是0.这里可以提供服务质量(QoS)信息。
每个二进制位的意义都不同,这取决于最初的设定,例如,正常延迟设定为0,低延迟则为1
--Totallength(总长度):
显示该数据包的总长度。
--Identification:
该数值是文件头的标识部分,当数据包被划分成几段传送时,发送数据的主机可以用这个数值来重新组装数据。
--Flag(标记):
数据报的“标记”功能,0表示分段,1表示未分段。
--Fragmentoffset(分段差距):
分段差距为0个字节。
可以设定0代表最后一段,或设定1代表更多区段属于数据包的哪个部分。
--Timetolive(保存时间):
TTL值的大小,说明一个数据包可以保存多久。
--Protocol(协议):
显示协议值,在Sniffer中代表TCP协议。
文件头的协议部分只说明要使用的下一个上层协议是什么,在这里是TCP。
--Headerchecksum(校验和):
这里显示校验和的值,并且已经做了标记,表明这个数值是正确的。
--Sourceaddress(源地址):
数据的来源地址。
--Destination(目标地址):
数据访问的目的地址。
--UDP:
IP文件头,下面是TCP或UDP文件头,这里为UDP文件头,包括:
。
。
Sourceport(源端口):
显示了使用的UDP协议的源端口。
Destinations(目的端口):
显示UDP协议的目的端口。
Length(长度):
表示IP文件头的长度。
Checksum:
显示了UDP协议的校验和。
Byepsofdate:
表示有多少个字节的数据。
--ARP:
Hardwaretype(硬件类型):
这是一个16个比特字段,用来定义运行ARP的网络的类型。
以太网是类型1,ARP可使用在任何网络上。
Protocoltype:
16比特字段,用来定义协议类型。
对IPv4来说,值为0800。
ARP可用于任何高层协议。
LengthofProtocoladdress(协议长度):
8比特,定义以字节为单位的逻辑地址长度。
IPv4协议的这个值是4。
Opcode(操作):
16字节的字段,定义分组的类型。
ARP请求第1步,ARP回答第2步。
Sender’sHardwareaddress(发送站硬件地址):
可变长字段。
以太网这个值为6字节长。
Sender’sProtocoladdress(发送站协议地址):
可变长字段,定义发送站的逻辑(如,IP)地址的长度。
对于IP协议来说是4字节。
TargetHardwareaddress:
目标站的物理地址。
TargetProtocoladdress:
4字节。
--ICMP:
Internet控制报文协议,允许报告20种以上不同的网络状况。
首先要创建一个新的ICMP过滤器,即在“Advanced”中选中IP列表中的ICMP。
Type=8(Echo):
ICMPEcho有两种类型,8为请求,0为响应。
Coad:
不常用,常设为0
ICMP是使用自己的校验和确保数据在传输过程中没有中断。
Identifier与Sequencenumber:
这些数字由发送方式生成,用来将响应与请求匹配在一起。
--Hex:
“Decode”窗口最下方为“Hex窗格”,这里显示的内容最直观,但也难以理解。
16进制。
在这个窗格中,看到的就是出于传输状态的原始ASCII格式的数据。
--Matrix:
Sniffer矩阵功能直观地显示网络中各计算机之间的连接。
但这里显示的是固定数据,即曾经捕获的数据,而在监视器中的Matrix是不断变化的。
--HostTable:
显示出在捕获过程中各计算机所传输的数据,可根据所传输数据多少按顺序排列。
例如,发现某段时间有计算机传输数据特别多,在Matrix中显示大量并发连接,结论:
可能在P2P下载。
为了避免该用户过多占用带宽,管理员可终止该进程。
(3)保存数据
捕获后,为便于日后再次进行分析和比较,要保存下来。
步骤6:
检查网络中使用QQ的用户
(1)创建过滤器,如QQ
(2)切换到“Port”选项卡,在“Port2”中输入8000,Port1中为空,单击“Dir.”下拉列表中选择选项,即只捕获连接到8000端口的计算机。
完成过滤器的创建。
(3)主窗口中,“Start”即可使用该过滤器捕获网络中的数据。
打开“Matrix”查看当前活动链接,在左侧显示的就是本地局域网中的计算机地址,说明这些计算机在使用QQ。
(4)可能一台主机由多个连接,说明同时运行多个QQ,可以查看到本地端口默认为4000端口,当多个QQ时,则可以使用4001、4002……。
提示:
如果QQ使用了UDP协议登陆,则使用4000、4001……等端口。
可以使用初始端口范围来捕获,如果采用TCP登陆,会使用随机端口,无法捕获。
QQ也可能使用SOCKS或HTTP代理登陆,端口较多不固定,无法再通过端口来捕获网络中的QQ。
步骤7:
彻底解决IP地址盗用问题
首先使用ARP命令查看相关主机IP对应的MAC地址并记录。
例如:
192.168.41.4对应的MAC地址:
00-0c-76-4b-08-03
(1)创建过滤器。
来监听被盗用的IP地址上传的数据。
(2)开始捕获数据,一定数据后停止并显示。
开始解码所捕获到得数据。
此时,在DLC区域的Station字段中,即可看到盗用IP地址的计算机网卡的MAC地址。
(3)查看MAC地址登记表,找到盗用IP的计算机。
提高:
1、流量统计分析利器—CommView:
一款强大的工具,可以用来捕获Internet和局域网中传输的数据,收集网络传输中每个信息包,也可以显示信息包和网络连接列表、关键统计信息、协议分析图等重要信息,并可显示内部及外部IP地址、端口、主机名称、各种数据的数量等重要资料。
管理员可以分析各种协议,分析网络性能。
CommView的过滤器功能还可以只过滤需要的数据包。
上可下载。
2、简易网络诊断分析工具—网络窥视者(EtherPeek):
是一个在数据包捕获过程中可以实时进行专业诊断和结构解码的网络协议分析器,可以帮助网络管理员分析和诊断日益加速变化的网络数据群,可以对现今网络面临的众多故障提供精确和最新的分析。
3、网络协议检测工具—Ethereal:
免费的网络协议检测程序,同时支持UNIX和Windows。
使用该工具可以抓取运行的网站的相关资讯,包括每一封包流向及内容、资讯可依操作系统语系看出,方便查看、监控TCPsession动态等。
但仅仅提供协议分析,不具备Sniffer的一些功能,比如监控、高级分析等。
升级会员 