网络安全 频道

网络分析专家sniffer之流量扫描篇

对我们网管员来说最头疼的恐怕就是复杂的网络故障了,一般的网络断开和连通对我们来说比较好解决,可以通过三步ping法来定位故障原因。不过对于那些诸如网络时断时续,网络不稳定,网络速度缓慢与实际带宽严重不符以及众多病毒木马干扰网络浏览的情况就不那么容易解决了。遇到这时,我们只能借助于专业的需要花费高额经费购买的网络管理工具,这些工具可以提供我们每台计算机的流量和连接情况,从而分析出问题所在。
    不过说句实话,这些工具的核心都是网络嗅谈器,也就是我们常说的sniffer,通过将网卡切换到混杂模式,实现对网络中所有数据包的监听。因此我们只要能够找到适合自己的sniffer程序就没有必要白花冤枉钱了。本文介绍sniffer中的鼻祖——sniffer pro,他不属于付费工具,他是由NAI公司出品的可能是目前最好的网络协议分析软件之一,支持各种平台,性能优越,做为一名好网管员肯定需要有这么一套好的网络协议分析软件,今天笔者就将他推荐给各位读者。

    sniffer pro小档案:
    软件版本:v4.7.530 特别版
    软件大小:33.02 MB
    软件语言:英文
    软件类别:共享软件
    运行环境:WinXP/Win2000/NT/WinME/Win9X/Win2003
    下载地址:
    http://downloads1012.cncode.com/server/SnifferPro_4_70_530.rar

    软件安装:
    sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是:

    在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。

    在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622264.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622526.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。

    由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622369.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 使用sniffer查询流量信息:

    重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

    第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。

    第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622964.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>
 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utilization%网络使用率”, “Packets/s数据包传输率”,“Error/s错误数据情况”。其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。(如图5)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622233.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图,我们可以通过点选右边一排参数来有选择的绘制相应的数据信息,可选网络使用状况包括数据包传输率,网络使用率,错误率,丢弃率,传输字节速度,广播包数量,组播包数量等,其他两个图表可以设置的参数更多,随着时间的推移图象也会自动绘制。(如图6)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622805.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 第五步:为了更好更详细的看出差别,笔者决定通过FTP来下载大量数据,由于是内网传输所以速度非常快,在这种情况下我们继续通过sniffer pro来查看本地网络流量情况,FTP下载速度接近4Mb/s。(如图7)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622482.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合;数据包传输速度也从原来的几十变成了3500到5200,当然令人满意的是错误数据包依然没有出现,这说明网络负载并不大,网卡性能不错。(如图8)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622366.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 第七步:除了上面三个仪表能看出比较大的差别外下面的数据大小绘制图也能看出明显区别。各个数据的峰值跳动很大

    第八步:如果在实际使用中使用的不是百兆而是千兆的话,默认设置的单位肯定不能满足需求,这时就需要我们点仪表上面的“set thresholds”按钮了,之后我们可以对所有参数的名称和最大显示上限进行设置,方便我们根据实际需求更贴切的显示信息。

    第九步:如果为了统计的话我们还可以点仪表下的“Detail”按钮来查看具体详细信息,在这里可以看到各项参数的总流量以及平均流量,可以帮助我们更好的了解到网络的基本情况,包括数据丢失率与组播广播数量,这些数据的异常都是网络出现问题的先兆。(如图9)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622587.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


第十步:除了仪表按钮sniffer pro还为我们提供了很多显示面板,例如在host table界面,我们可以看到本机和网络中其他地址的数据交换情况,包括进数据量、出数据量以及基本速度等,当然所有显示信息都是根据MAC地址来判断的,虽然不方便我们查看但是数据是有保障的,绝对不会出现被别人伪造地址而带来迷惑问题。(如图10)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622638.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


第十一步:在host table界面中点“this station”可以查看本机与网络其他地址的流量图,这个图是一个圆,通过连线决定本机和网络其他地址的传输情况,连线的粗细决定了数据流量的多少,这种流量图可以让我们更加直观的了解本机网络的状况。(如图11)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594622304.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


 第十二步:我们也可以直接点“Matrix”按钮切换到流量图面板,这样看到的流量连接和传输情况会更加清晰。(如图12)

javascript:if(this.width>540)this.width=540;" alt=按此在新窗口浏览图片 src="/Article/UploadPic/2006-12/200612594623369.jpg" onload="javascript:if(this.width>screen.width-540)this.width=screen.width-540" border=0>


总结:
    本文主要介绍了通过sniffer pro了解本机网络的使用情况,也许读者会说大部分网络管理工具也具有此功能,但是笔者要说的是,第一这种流量显示和图表绘制功能只有sniffer pro最为强大最为灵活;第二sniffer pro的真谛在于混杂模式下的监听,也就是说他可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以本文设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。由于篇幅关系笔者将在下篇文章中为各位IT168的读者介绍如何让sniffer pro在混杂模式下监听和查看网络中的其他数据流量,从而实现更高级的排除网络故障的功能。
http://www.hack58.net/Article/60/63/2006/13159.htm
0
相关文章