談?dòng)胹niffer監(jiān)控網(wǎng)絡(luò)流量

網(wǎng)絡(luò)嗅探：用Sniffer監(jiān)控網(wǎng)絡(luò)流量出處：硅谷動(dòng)力 作者：banker 時(shí)間：2007-09-28 10:28 隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展，網(wǎng)吧已由過(guò)去即時(shí)通信、瀏覽網(wǎng)頁(yè)、電子郵件等簡(jiǎn)單的應(yīng)用，擴(kuò)展成為運(yùn)行大量在線游戲、在線視頻音頻、互動(dòng)教學(xué)、P2P等技術(shù)應(yīng)用。應(yīng)用特點(diǎn)也呈現(xiàn)出多樣性和復(fù)雜性，因此，這些應(yīng)用對(duì)我們的網(wǎng)絡(luò)服務(wù)質(zhì)量要求更為嚴(yán)格和苛刻。 目前，大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，當(dāng)網(wǎng)吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時(shí)，很多網(wǎng)絡(luò)管理員顯的心有于而力不足。畢竟，靠網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)和一些簡(jiǎn)單傳統(tǒng)的排查方法：無(wú)論從時(shí)間上面還是準(zhǔn)確性上面都存在很大的誤差，同時(shí)也影響了工作效率和正常業(yè)務(wù)的運(yùn)行。 Sniffer Pro 著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來(lái)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實(shí)上，很多網(wǎng)吧管理員都有過(guò)相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗(yàn)：在網(wǎng)絡(luò)出現(xiàn)問(wèn)題、或者探查網(wǎng)絡(luò)情況時(shí)，使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個(gè)很大優(yōu)點(diǎn)：不要配置端口鏡像就可以進(jìn)行流量查詢（其實(shí)sniffer pro也可以變通的工作在這樣的環(huán)境下）。這種看起來(lái)很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，對(duì)地址表進(jìn)行欺騙，因此可能會(huì)衍生出很多節(jié)外生枝的問(wèn)題，如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對(duì)于要求正常的網(wǎng)絡(luò)來(lái)說(shuō)，是不可思議的。 在這里，我們將通過(guò)軟件解決方案來(lái)完成以往只有通過(guò)更換高級(jí)設(shè)備才能解決的網(wǎng)絡(luò)解決方案，這對(duì)于很多管理員來(lái)說(shuō)，將是個(gè)夢(mèng)寐以求的時(shí)刻。 硬件環(huán)境（網(wǎng)吧）： 100M網(wǎng)絡(luò)環(huán)境下，92臺(tái)終端數(shù)量，主交換采用D-LINK（友訊）DES-3226S二層交換機(jī)(支持端口鏡像功能)，級(jí)聯(lián)普通傻瓜型交換機(jī)。光纖10M接入，華為2620做為接入網(wǎng)關(guān)。 軟件環(huán)境： 操作系統(tǒng)Windows2003 Server企業(yè)標(biāo)準(zhǔn)版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI協(xié)議分析軟件-Sniffer Portable 4.75（本文選用網(wǎng)絡(luò)上較容易下載到的版本做為測(cè)試） 環(huán)境要求： 1、如果需要監(jiān)控全網(wǎng)流量，安裝有Sniffer Portable 4.7.5(以下簡(jiǎn)稱Sniffer Pro)的終端計(jì)算機(jī)，網(wǎng)卡接入端需要位于主交換鏡像端口位置。（監(jiān)控所有流經(jīng)此網(wǎng)卡的數(shù)據(jù)） 2、Snffier pro 475僅支持10M、100M、10/100M網(wǎng)卡，對(duì)于千M網(wǎng)卡，請(qǐng)安裝SP5補(bǔ)丁，或4.8及更高的版本 網(wǎng)絡(luò)拓?fù)洌?圖 監(jiān)控目的：通過(guò)Sniffer Pro實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的故障（例如病毒、攻擊、流量超限等非正常行為）。對(duì)于很多企業(yè)、網(wǎng)吧網(wǎng)絡(luò)環(huán)境中，網(wǎng)關(guān)（路由、代理等）自身不具備流量監(jiān)控、查詢功能，本文將是一個(gè)很好的解決方案。Sniffer Pro強(qiáng)大的實(shí)用功能還包括：網(wǎng)內(nèi)任意終端流量實(shí)時(shí)查詢、網(wǎng)內(nèi)終端與終端之間流量實(shí)時(shí)查詢、終端流量TOP排行、異常告警等。同時(shí)，我們將數(shù)據(jù)包捕獲后，通過(guò)Sniffer Pro的專家分析系統(tǒng)幫助我們更進(jìn)一步分析數(shù)據(jù)包，以助更好的分析、解決網(wǎng)絡(luò)異常問(wèn)題。 步驟一：配置交換機(jī)端口鏡像（Mirroring Configurations） 以DES-3226S二層交換機(jī)為例，我們來(lái)通過(guò)WEB方式配置端口鏡像（也可用CLI命令行模式配置）。如果您的設(shè)備不支持WEB方式配置，請(qǐng)參考相關(guān)用戶手冊(cè)。 1.DES-3226S默認(rèn)登陸IP為：10.90.90.90 因此，需要您配置本機(jī)IP為相同網(wǎng)段才可通過(guò)瀏覽器訪問(wèn)WEB界面。 如圖（1）所示： 圖1 2.使用鼠標(biāo)點(diǎn)擊上方紅色字體：“Login”,如果您是第一次配置，輸入默認(rèn)用戶名稱、密碼:admin 自動(dòng)登陸管理主界面。 3.如圖（2）所示，主界面上方以圖形方式模擬交換機(jī)界面，其中綠色燈亮起表示此端口正在使用。下方文字列出交換機(jī)的一些基本信息。 圖2 4.如圖（3）：鼠標(biāo)點(diǎn)擊左下方菜單中的advanced setup-Mirroring Configurations （高級(jí)配置鏡像配置） 圖3 5.將Mirror Status 選擇為Enable（默認(rèn)為關(guān)閉狀態(tài)，開(kāi)啟），本例中將Port-1端口設(shè)置為監(jiān)聽(tīng)端口:Target Port=Port-1，其余端口選擇為Both，既：監(jiān)聽(tīng)雙向數(shù)據(jù)（Rx接收 Tx發(fā)送），選擇完畢后，點(diǎn)擊Apply應(yīng)用設(shè)置。 此時(shí)所有的端口數(shù)據(jù)都將復(fù)制一份到Port-1。（如圖4） 圖4 接下來(lái)，我們就可以在Port-1端口，接入計(jì)算機(jī)并安裝配置Sniffer Pro。 步驟二：Sniffer Pro 安裝、啟動(dòng)、配置 Sniffer Pro 安裝過(guò)程與其它應(yīng)用軟件沒(méi)有什么太大的區(qū)別，在安裝過(guò)程中需要注意的是： Sniffer Pro 安裝大約占用70M左右的硬盤(pán)空間。 安裝完畢Sniffer Pro后，會(huì)自動(dòng)在網(wǎng)卡上加載Sniffer Pro 特殊的驅(qū)動(dòng)程序（如圖5）。 安裝的最后將提示填入相關(guān)信息及序列號(hào)，正確填寫(xiě)完畢，安裝程序需要重新啟動(dòng)計(jì)算機(jī)。 對(duì)于英文不好的管理員可以下載網(wǎng)上的漢化補(bǔ)丁。 圖5 我們來(lái)啟動(dòng)Sniffer Pro。第一次啟動(dòng)Sniffer Pro時(shí),需要選擇程序從那一個(gè)網(wǎng)絡(luò)適配器接收數(shù)據(jù)，我們指定位于端口鏡像所在位置的網(wǎng)卡。 具體位于：File-Select Settings-New 名稱自定義、選擇所在網(wǎng)卡下拉菜單，點(diǎn)擊確定即可。(如圖6) 圖6 這樣我們就進(jìn)入了Sniffer Pro的主界面。 步驟三：新手上路，查詢網(wǎng)關(guān)流量 下面以圖文的方式介紹，如何查詢網(wǎng)關(guān)（路由、代理：219.*.238.65）流量，這也是最為常用、重要的查詢之一。 1 掃描IP-MAC對(duì)應(yīng)關(guān)系。這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。 選擇菜單欄中Tools-Address Book 點(diǎn)擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.159點(diǎn)擊OK，系統(tǒng)會(huì)自動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系。掃描完畢后，點(diǎn)擊DataBase-Save Address Book 系統(tǒng)會(huì)自動(dòng)保存對(duì)應(yīng)關(guān)系，以備以后使用。(如圖7) 圖7 2.查看網(wǎng)關(guān)流量。點(diǎn)擊Monitor-Host Table，選擇Host table界面左下角的MAC-IP-IPX中的MAC。（為什么選擇MAC？在網(wǎng)絡(luò)中，所有終端的對(duì)外數(shù)據(jù)，例如使用QQ、瀏覽網(wǎng)站、上傳、下載等行為，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的）(如圖8) 圖8 3.找到網(wǎng)關(guān)的IP地址-選擇single station-bar (本例中網(wǎng)關(guān)IP為219.*.238.65) 圖9 如圖(9)所示： 219.*.238.65（網(wǎng)關(guān)）流量TOP-10 此圖為實(shí)時(shí)流量圖。在此之前如果我們沒(méi)有做掃描IP（Address Book）的工作，右邊將會(huì)以網(wǎng)卡物理地址-MAC地址的方式顯示，現(xiàn)在轉(zhuǎn)換為IP地址形式（或計(jì)算機(jī)名），現(xiàn)在很容易定位終端所在位置。流量以3D柱形圖的方式動(dòng)態(tài)顯示，其中最左邊綠色柱形圖與網(wǎng)關(guān)流量最大，其它依次減小。本圖中219.*.238.93與網(wǎng)關(guān)流量最大，且與其它終端流量差距懸殊，如果這個(gè)時(shí)候網(wǎng)絡(luò)出現(xiàn)問(wèn)題，可以重點(diǎn)檢查此IP是否有大流量相關(guān)的操作。 如果要查看219.*.238.65（網(wǎng)關(guān)）與內(nèi)部所有流量通信圖，我們可以點(diǎn)擊左邊菜單中，排列第一位的-MAP按鈕 如圖(10)所示,網(wǎng)關(guān)與內(nèi)網(wǎng)間的所有流量都在這里動(dòng)態(tài)的顯示。 圖10 需要注意的是： 綠色線條狀態(tài)為：正在通訊中 暗藍(lán)色線條狀態(tài)為：通信中斷 線條的粗細(xì)與流量的大小成正比 如果將鼠標(biāo)移動(dòng)至線條處,程序顯示出流量雙方位置、通訊流量的大小（包括接收、發(fā)送）、并自動(dòng)計(jì)算流量占當(dāng)前網(wǎng)絡(luò)的百分比。 其它主要功能： PIE：餅圖的方式顯示TOP 10的流量占用百分比。 Detail：將Protocol(協(xié)議類型)、From Host（原主機(jī)）、in/out packets/bytes(接收、發(fā)送字節(jié)數(shù)、包數(shù))等字段信息以二維表格的方式顯示。 第四步：基于IP層流量 1.為了進(jìn)一步分析219.*.238.93的異常情況，我們切換至基于IP層的流量統(tǒng)計(jì)圖中看看。 點(diǎn)擊菜單欄中的Monitor-Host Table，選擇Host Table界面左下角的MAC-IP-IPX中的IP。 2.找到IP：219.*.238.93地址（可以用鼠標(biāo)點(diǎn)擊IP Addr排序，以方便查找）-選擇single station-bar （如圖11所示） 圖11 3.我們切換至Traffic Map來(lái)看看它與所有IP的通信流量圖。（圖12） 圖12 我們可以從219.*.238.93的通信圖中看到，與它建立IP連接的情況。圖中IP連接數(shù)目非常大，這對(duì)于普通應(yīng)用終端來(lái)講，顯然不是一種正常的業(yè)務(wù)連接。我們猜測(cè)，該終端可能正在進(jìn)行有關(guān)P2P類的操作，比如正在使用P2P類軟件進(jìn)行BT下載、或者正在觀看P2P類在線視頻等。 為了進(jìn)一步的證明我們的猜測(cè)，我們?nèi)タ纯?19.*.228.93的流量協(xié)議分布情況。 4.如圖（13）所示：Protocol類型絕大部分為Othen.我們知道在Sniffer Pro中Othen表示未能識(shí)別出來(lái)協(xié)議，如果提前定義了協(xié)議類型，這里將會(huì)直接顯現(xiàn)出來(lái)。 圖13 如圖（14）通過(guò)菜單欄下的Tools-Options-Protocols,在第19欄中定義14405（bitcomet的默認(rèn)監(jiān)聽(tīng)端口），取名為bitcom。 圖14 現(xiàn)在我們?cè)俅尾榭?19.*.238.93協(xié)議分布情況.（如圖15） 圖15 現(xiàn)在，協(xié)議類型大部分都轉(zhuǎn)換為bitcom，這樣我們就可以斷定，此終端正在用bitcomet做大量上傳、下載行為。 注意：很多P2P類軟件并沒(méi)有固定的使用端口，且端口也可以自定義，因此使用本方法雖然不失為一種檢測(cè)P2P流量的好方法，但并不能完全保證其準(zhǔn)確性。 好了，使用Sniffer Pro監(jiān)控網(wǎng)關(guān)流量，就到這里結(jié)束了。實(shí)際上我們可以用同樣的方法監(jiān)控網(wǎng)絡(luò)內(nèi)的任何一臺(tái)終端。后續(xù)，我們將繼續(xù)連載使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)的其它新手教程，例如：利用Sniffer pro做網(wǎng)絡(luò)的預(yù)警機(jī)制、利用Sniffer pro分析病毒、通過(guò)包分析結(jié)合專家系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在的“未知問(wèn)題”，以后我們將陸續(xù)做更深一步的探討和分析。 概念解釋： 1.什么是端口鏡像? 把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。 2.為什么需要端口鏡像 ? 交換機(jī)的工作原理與HUB有很大的不同，HUB組建的網(wǎng)絡(luò)數(shù)據(jù)交換都是通過(guò)廣播方式進(jìn)行的，而交換機(jī)組建的網(wǎng)絡(luò)是根據(jù)交換機(jī)內(nèi)部CAM表（通常也稱IP-MAC表）進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，因此需要通過(guò)配置交換機(jī)來(lái)把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng)。 3.端口鏡像通常有以下幾種別名： Port Mirroring 通常指允許把一個(gè)端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再傳輸數(shù)據(jù)。 Monitoring Port 監(jiān)控端口 panning Port 通常指允許把所有端口的流量復(fù)制到另外一個(gè)端口，同時(shí)這個(gè)端口不能再