第6章 網(wǎng)絡(luò)監(jiān)視與Sniffer

第6章網(wǎng)絡(luò)監(jiān)視snifferPro6.1snifferPro概述6.2snifferPro安裝與使用6.3snifferPro應(yīng)用什么是Sniffer?一個(gè)網(wǎng)絡(luò)故障、性能優(yōu)化、安全分析的整體系統(tǒng)，可以幫助您發(fā)現(xiàn)和解決網(wǎng)絡(luò)通訊問(wèn)題、分析和優(yōu)化網(wǎng)絡(luò)性能以及規(guī)劃未來(lái)發(fā)展監(jiān)視應(yīng)用程序生成實(shí)時(shí)統(tǒng)計(jì)捕獲功能可以對(duì)捕獲緩存篩選的幀進(jìn)行實(shí)時(shí)Expert分析基本信息功能可以裝載復(fù)雜的過(guò)濾器，易于進(jìn)行存儲(chǔ)和激活設(shè)置事后捕獲功能翔實(shí)的數(shù)據(jù)幀顯示功能可以允許您使用多種視圖來(lái)深度分析幀流量生成工具允許您生成幀、緩存或發(fā)送其它測(cè)試數(shù)據(jù)6.1snifferPro概述SinfferPro是美國(guó)NetworkAssociates公司生產(chǎn)的一款網(wǎng)絡(luò)監(jiān)視、分析軟件，可用于網(wǎng)絡(luò)故障與性能管理，在局域網(wǎng)領(lǐng)域應(yīng)用非常廣泛。

Sniffer的產(chǎn)品組成

廣域網(wǎng)硬件(SnifferBook)兩種Portable平臺(tái):Dolch

NotebookPOS硬件(SnifferBookUltra)GigabitSplitterATM硬件(ATMBook)分布式SnifferAgent(DSS/RMON)1.Snifferpro功能Snifferpro嗅探器可用于局域網(wǎng)管理的通信監(jiān)視，其軟件功能中體現(xiàn)了RMONMIB規(guī)范。功能

1.監(jiān)控（monitor）

2.數(shù)據(jù)包捕捉（capture抓包）

3.實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)（display）

4.專家分析系統(tǒng)（expert）Sniffer四大功能模塊監(jiān)控（monitor） 可以監(jiān)控網(wǎng)絡(luò)的流量、連接數(shù)量、處在網(wǎng)絡(luò)連接中的目的和源客戶端的地址（MAC、IP、IPX）、數(shù)據(jù)包大小的分布、協(xié)議分布等，可以通過(guò)歷史采樣功能對(duì)多達(dá)20個(gè)以上的網(wǎng)絡(luò)參數(shù)進(jìn)行采樣，并可通過(guò)直方圖或餅形圖顯示。(動(dòng)態(tài)）數(shù)據(jù)包捕捉（capture抓包） 就是將所有的數(shù)據(jù)包截取并放在緩沖區(qū)中，便于分析。基本原理就是通過(guò)將網(wǎng)卡的工作模式設(shè)置為“混雜”模式，網(wǎng)卡或模塊接受所有的數(shù)據(jù)，不管是不是給自己發(fā)送的，達(dá)到網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的功能。

SnifferPro網(wǎng)絡(luò)分析程序，允許管理員逐個(gè)數(shù)據(jù)包查看通過(guò)網(wǎng)絡(luò)的實(shí)際數(shù)據(jù)，從而了解網(wǎng)絡(luò)的實(shí)際運(yùn)行情況?？梢越獯a至少450種協(xié)議。除了IP、IPX和其它一些“標(biāo)準(zhǔn)”協(xié)議外，SnifferPro還可以解碼分析很多由廠商自己開(kāi)發(fā)或者使用的專門協(xié)議，比如思科VLAN中繼協(xié)議(ISL)。支持主要的局域網(wǎng)(LAN)、城域網(wǎng)(WAN)等網(wǎng)絡(luò)技術(shù)(包括高速與超高速以太網(wǎng)、令牌環(huán)、802.11b無(wú)線網(wǎng)、SONET傳遞的數(shù)據(jù)包、T-1、幀延遲和ATM)。

提供在位和字節(jié)水平上過(guò)濾數(shù)據(jù)包的能力。數(shù)據(jù)包捕捉（capture抓包）Sniffer四大功能模塊顯示（display） 通過(guò)抓包后進(jìn)行協(xié)議解碼分析(decode)，在網(wǎng)絡(luò)全部七層上可以對(duì)490多種協(xié)議進(jìn)行解釋。（靜態(tài)）

專家分析系統(tǒng)（expert） 抓包同時(shí)建立網(wǎng)絡(luò)對(duì)象數(shù)據(jù)庫(kù)，并利用知識(shí)庫(kù)檢測(cè)網(wǎng)絡(luò)異態(tài)。（實(shí)時(shí)）RMONMIBSnifferPro功能反映了RMON1針對(duì)Ethernet提供9組數(shù)據(jù)統(tǒng)計(jì)組(statistics)：基本統(tǒng)計(jì)信息，3個(gè)表歷史組(history)：存儲(chǔ)以固定間隔取樣所獲的子網(wǎng)數(shù)據(jù)告警組(alarm)：定義的一組網(wǎng)絡(luò)性能閥值。主機(jī)組(host)：收集LAN上的特定主機(jī)的統(tǒng)計(jì)信息最高主機(jī)組(hostTopN)：據(jù)某些參數(shù)排序列在前N個(gè)主機(jī)統(tǒng)計(jì)信息矩陣組(matrix)：記錄子網(wǎng)內(nèi)各對(duì)主機(jī)間的流量信息過(guò)濾組(filter)：管理站指示的有選擇地觀測(cè)特定數(shù)據(jù)包捕獲組(capture)：建立一組緩沖，用于存儲(chǔ)filter的包事件組(event)：用于管理事件?？刂剖录漠a(chǎn)生和通知2.Sniffer的工作原理Sniffer是依據(jù)以太網(wǎng)的廣播通信機(jī)制，利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文，實(shí)現(xiàn)監(jiān)視整個(gè)局域網(wǎng)通信的.Sniffer的兩個(gè)類別:共享環(huán)境下的Sniffer共享環(huán)境下的Sniffer僅僅只需要把本機(jī)的網(wǎng)卡設(shè)置為混雜模式就可以監(jiān)聽(tīng)網(wǎng)絡(luò)上所有的數(shù)據(jù)報(bào),而不需要進(jìn)行任何欺騙行為.交換環(huán)境下的Sniffer交換環(huán)境下的Sniffer往往是通過(guò)對(duì)交換機(jī)進(jìn)行ARP欺騙,變成一個(gè)中間人進(jìn)行截獲數(shù)據(jù).集線器工作原理：當(dāng)集線器收到一個(gè)以太網(wǎng)幀時(shí)，會(huì)把它轉(zhuǎn)發(fā)到除接收端口之外的所有其他端口。交換機(jī)的工作原理：根據(jù)mac地址表，在源、目的主機(jī)之間一對(duì)一的進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。3.部署Snifferpro4.7.5共享式網(wǎng)絡(luò)將Sniffer安置在需要監(jiān)視的網(wǎng)段中任意位置即可。若為計(jì)算機(jī)，則將其網(wǎng)卡設(shè)置為混雜模式。它能嗅探到的數(shù)據(jù)包，又決定它所能分析的網(wǎng)絡(luò)環(huán)境。交換環(huán)境下的部署Sniffer只能嗅探到所在鏈路上“流經(jīng)”的數(shù)據(jù)包，如果Sniffer被安裝在交換網(wǎng)絡(luò)中普通PC位置上不做任何設(shè)置，那么它僅僅能捕獲本機(jī)數(shù)據(jù)。交換環(huán)境下部署Sniffer大多使用SPAN（SwitchPortAnalysis）技術(shù)，把交換機(jī)上我們想要監(jiān)控的端口的數(shù)據(jù)鏡像到被稱為Mirror端口上，Mirror端口連接安裝有Sniffer程序或者專用嗅探硬件設(shè)備。下圖為在網(wǎng)絡(luò)中簡(jiǎn)單的使用SPAN技術(shù)部署Sniffer圖例。4.配置交換機(jī)端口鏡像端口鏡像概念：

PortMirror(端口鏡像）是用于進(jìn)行網(wǎng)絡(luò)性能監(jiān)測(cè)?？梢赃@樣理解：在端口A和端口B之間建立鏡像關(guān)系，這樣，通過(guò)端口A傳輸?shù)臄?shù)據(jù)將同時(shí)復(fù)制到端口B，以便于在端口B上連接的分析儀或者分析軟件進(jìn)行性能分析或故障判斷。H3C3026等交換機(jī)鏡像配置配置網(wǎng)絡(luò)環(huán)境示例：

1.PC1接在交換機(jī)E0/1端口，IP地址/24 2.PC2接在交換機(jī)E0/2端口，IP地址/24 3.E0/24為交換機(jī)上行端口

4.Server接在交換機(jī)E0/8端口，該端口作為鏡像端口方法一

1.配置鏡像（觀測(cè)）端口

[SwitchA]monitor-porte0/8 2.配置被鏡像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二 可以一次性定義鏡像和被鏡像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8端口流量限速displayqos-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量

端口速率限制

line-rateinbound/outboundtarget-rate

inbound:對(duì)端口接收?qǐng)?bào)文進(jìn)行速率限制

outbound:對(duì)端口發(fā)送報(bào)文進(jìn)行速率限制

target-rate對(duì)報(bào)文限制速率,單位kbps千兆口inbound范圍1-1000000outbound范圍20-1000000

undoline-rate取消限速.

[h3c]interfaceGigabitEthernet1/0/1

[h3c-GigabitEthernet1/0/1]line-rateoutbound128限制出去速率為128kbps

5.Sniffer的工作AdapterToolsPacketgenBERTPingTraceRouteDNSLookupFinger

NameDiscoveryMonitorFiltersMonitorApplicationsDashboardARTHostTableMatrixHistorySamplesProtocolDistributionGlobalStatisticsCaptureFiltersDisplayFiltersDisplays

DecodeMatrixHostTableProtocolDistExpertProbeDir Profiles

Configs

Addr

Bk DatabaseTraces ExportedDataTriggerAlarms

6.2SnifferPro安裝安裝前須知（不配置端口鏡像的共享環(huán)境）計(jì)算機(jī)環(huán)境要求Windows系統(tǒng)（xp/2003/vista），計(jì)算機(jī)硬件性能好。重啟保存設(shè)置。網(wǎng)卡模式重啟后為混合模式（正常為單純模式）安裝時(shí)，首先要填寫(xiě)使用者信息給產(chǎn)品公司。試用版可按要求填寫(xiě)，但不必聯(lián)網(wǎng)提交。在首次運(yùn)行SnifferPro時(shí)，需要選擇要監(jiān)控的網(wǎng)卡，應(yīng)該選擇代理網(wǎng)卡或者連接交換機(jī)端口的網(wǎng)卡。設(shè)置監(jiān)控網(wǎng)卡1。安裝Snifferpro4.7.5進(jìn)入Snifferpro4.7.5安裝目錄，找到Snifferpro4.7.5的安裝文件SnifferPro_4_70_530.exe，雙擊該文件執(zhí)行安裝操作，彈出安裝向?qū)?duì)話框。在該話框中，單擊“next”（下一步），安裝程序解壓縮安裝文件，彈出歡迎對(duì)話框.填寫(xiě)你的信息，選擇通信使用的網(wǎng)卡（208室為排在第一的網(wǎng)卡實(shí)踐操作

第三步

輸入Snifferpro用戶注冊(cè)信息，包括名字，姓，公司名稱，郵件地址等，請(qǐng)根據(jù)實(shí)際情況填寫(xiě)，不要用中文，使用英文字母填寫(xiě)，以防程序提示非法字符，不能進(jìn)入下一步安裝，如圖所示。實(shí)踐操作

單擊“下一步”，軟件會(huì)提示輸入產(chǎn)品序列號(hào)，請(qǐng)正確填寫(xiě)（實(shí)驗(yàn)中可隨意輸入幾個(gè)數(shù)字），如圖第四步返回第五步

完成安裝，如圖選擇完成，軟件會(huì)提示需要IE5.0以上的瀏覽器及虛擬機(jī)。最后重新啟動(dòng)計(jì)算機(jī)，就完成了Snifferpro的安裝。實(shí)踐操作

返回下頁(yè)上頁(yè)安裝完成后，在網(wǎng)卡屬性中會(huì)自動(dòng)添加一個(gè)項(xiàng)目“SnifferProtocolDriver”，如圖所示：重啟后選擇捕獲網(wǎng)卡

實(shí)踐操作

重新啟動(dòng)后，從開(kāi)始--程序中啟動(dòng)sniffer，出現(xiàn)主窗口后，首先進(jìn)行捕獲網(wǎng)卡選擇，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)，選擇正確的網(wǎng)絡(luò)適配器后才能正常工作，如圖所示。操作位置：菜單“文件”｜“選定設(shè)置”。返回下頁(yè)上頁(yè)第六步

SnifferPro

主窗口6.3SnifferPro操作主菜單：監(jiān)視、捕獲、工具、數(shù)據(jù)庫(kù)設(shè)置等快捷圖標(biāo)任務(wù)欄主菜單與工具欄打開(kāi)文件保存地址簿取消打印Dashboard主機(jī)通訊應(yīng)用響應(yīng)時(shí)間Matrix歷史協(xié)議分布全局統(tǒng)計(jì)警報(bào)捕獲面板打印Dashboard

（儀表板）:可以實(shí)時(shí)統(tǒng)計(jì)每秒鐘接收到的包的數(shù)量、出錯(cuò)包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等。

HostTable：可以查看通信量最大的前10位主機(jī)。Matrix:通過(guò)連線，可以形象的看到不同主機(jī)之間的通信（圖形）。ApplicationResponseTime:可以了解到不同主機(jī)通信的最小、最大、平均響應(yīng)時(shí)間方面的信息。

HistorySamples:可以看到歷史數(shù)據(jù)抽樣出來(lái)的統(tǒng)計(jì)值。

Protocoldistribution:可以實(shí)時(shí)觀察到數(shù)據(jù)流中不同協(xié)議的分布情況Switch:可以獲?。╟isco）交換機(jī)的狀態(tài)信息1.監(jiān)視(Monitor)

1）

Dashboard(儀表盤(pán))啟動(dòng)后Sniffer主窗口中顯示Dashboard(儀表盤(pán))，顯示“Utilization%”“Packets/s”“Errors/s”，即顯示網(wǎng)絡(luò)利用率、傳輸?shù)臄?shù)據(jù)和錯(cuò)誤統(tǒng)計(jì)。Utilization%(利用率百分比)

用傳輸量與端口能處理的最大帶寬值的比值來(lái)表示線路使用帶寬的百分比。表盤(pán)的紅色區(qū)域表示警戒值，表盤(pán)下方有兩個(gè)數(shù)字，第一個(gè)數(shù)字代表當(dāng)前利用率百分比，第二個(gè)是最大的利用率百分比數(shù)值。監(jiān)控網(wǎng)絡(luò)利用率是網(wǎng)絡(luò)分析中很重要的部分。選擇表盤(pán)區(qū)左下角的Detail，顯效果如圖選擇圖表區(qū)左下角的SizeDistrbution，顯效果如圖2）Hosttable（主機(jī)列表）

點(diǎn)擊顯示所有在線的本網(wǎng)主機(jī)地址及連到外網(wǎng)的外網(wǎng)服務(wù)器地址實(shí)訓(xùn)校208機(jī)房的通信主機(jī)列表主機(jī)表視圖和圖標(biāo)大綱表細(xì)節(jié)表柱狀圖餅圖使用這個(gè)地址捕獲數(shù)據(jù)幀定義新捕獲過(guò)濾器暫停屏幕更新刷新主機(jī)表數(shù)據(jù)重新設(shè)置主機(jī)表將數(shù)據(jù)輸出到文件編輯主機(jī)表特性單一工作站視圖

3）Matrix（矩陣）

點(diǎn)擊點(diǎn)擊箭頭所指的圖標(biāo)，出現(xiàn)全網(wǎng)的連接示意圖，圖中綠線表示正在發(fā)生的網(wǎng)絡(luò)連接，藍(lán)線表示過(guò)去發(fā)生的連接。將鼠標(biāo)放到線上可以看出連接情況。鼠標(biāo)右鍵在彈出的菜單中可選擇放大（zoom）此圖。Matrix將鼠標(biāo)停留在線上以獲取通訊量協(xié)議標(biāo)簽控制(Ctrl)點(diǎn)擊選擇多個(gè)地址，然后按下定義過(guò)濾器圖標(biāo)來(lái)開(kāi)始地址過(guò)濾捕獲將鼠標(biāo)停留在地址上放大地址

點(diǎn)擊右鍵設(shè)置縮放度4）4）歷史取樣開(kāi)始?xì)v史取樣大圖標(biāo)小圖標(biāo)列表細(xì)節(jié)添加多歷史編輯取樣特性（Sniffer性能管理）5）應(yīng)用響應(yīng)時(shí)間MeasuresapplicationprotocolresponsetimebetweenServer/ClientinmillisecondsTableViewServer/ClientResponseTime6）協(xié)議分配(ProtocolDistribution)柱狀圖餅圖表格數(shù)據(jù)幀比例字節(jié)比例暫停刷新重新設(shè)置輸出數(shù)據(jù)協(xié)議標(biāo)簽可以提示激活的應(yīng)用點(diǎn)擊柱狀圖可以查看比例7）全局統(tǒng)計(jì)GlobalStatistics柱狀圖或餅圖尺寸或網(wǎng)絡(luò)利用統(tǒng)計(jì)2.捕獲選擇“Capture”菜單中的“Start”選項(xiàng)，顯示如圖所示“Expert”對(duì)話框，此時(shí)，Sniffer便開(kāi)始捕獲局域網(wǎng)與外部網(wǎng)絡(luò)所傳輸?shù)乃袛?shù)據(jù)。當(dāng)緩沖器中積累了一定流量后，可以單擊“Stopanddisplay”停止并查看所捕獲的數(shù)據(jù)。Expert層應(yīng)用 OSI應(yīng)用層信息

會(huì)話

OSI會(huì)話層信息連接OSI傳輸層信息工作站

OSI網(wǎng)絡(luò)層信息DLC 拓?fù)湎嚓P(guān)信息全球 網(wǎng)段性能統(tǒng)計(jì)路由

RIP路由信息子網(wǎng)

子網(wǎng)成對(duì)顯示Expert摘要視圖層圖標(biāo)–點(diǎn)擊獲取層細(xì)節(jié)概要（視圖）或?qū)ο笠晥D

診斷、癥狀或?qū)ο驟xpert、解碼、Matrix、主機(jī)表、協(xié)議分配或統(tǒng)計(jì)視圖打印激活、生成與捕獲幀以及警報(bào)圖標(biāo)不可見(jiàn)層：

全球路由子網(wǎng)(工作站層故障)過(guò)濾器定義確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置：File->selectsettings定義過(guò)濾器：capture->definefilter

定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包

想捕獲FTP、NETBIOS、DNS、HTTP的數(shù)據(jù)包，首先打開(kāi)TCP選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確DNS、NETBIOS的數(shù)據(jù)包有些是屬于UDP協(xié)議，故需在UDP選項(xiàng)卡做類似TCP選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。

選擇捕獲的相關(guān)協(xié)議窗口定義捕獲數(shù)據(jù)包的緩沖區(qū)

需將定義的過(guò)濾規(guī)則應(yīng)用于捕獲中

捕獲數(shù)據(jù)包時(shí)觀察到的信息

Capture

Start,啟動(dòng)捕獲引擎sniffer可以實(shí)時(shí)監(jiān)控主機(jī)、協(xié)議、應(yīng)用程序、不同包類型等的分布情況

捕獲數(shù)據(jù)包后的分析

Expert:這是sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類并作出診斷。其中diagnoses提出非常有價(jià)值的診斷信息。Decode:對(duì)每個(gè)數(shù)據(jù)包進(jìn)行解碼，可以看到整個(gè)包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息，事實(shí)上，sniffer的使用中大部分的時(shí)間都花費(fèi)在這上面的分析，同時(shí)也對(duì)使用者在網(wǎng)絡(luò)的理論及實(shí)踐經(jīng)驗(yàn)上提出較高的要求。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問(wèn)題的結(jié)癥所在。sniffer同樣提供解碼后的數(shù)據(jù)包過(guò)濾顯示。要對(duì)包進(jìn)行顯示過(guò)濾需切換到Decode模式。Display

definefilter，定義過(guò)濾規(guī)則。

Display

selectfilter,應(yīng)用過(guò)濾規(guī)則。3.Sniffer工具sniffer提供的工具應(yīng)用包發(fā)生器PingTracerouteDNSlookupFingerwhois等工具。

PacketGenerator(數(shù)據(jù)包發(fā)生器)使用數(shù)據(jù)包發(fā)生器,可以自己定義數(shù)據(jù)包進(jìn)行發(fā)送.點(diǎn)擊包發(fā)生器提供三種生成數(shù)據(jù)包的方式

點(diǎn)選新構(gòu)一個(gè)數(shù)據(jù)包，包頭、包內(nèi)容及包長(zhǎng)由用戶直接填寫(xiě)。下圖，定義一個(gè)廣播包，使其連續(xù)發(fā)送，包的發(fā)送延遲位1ms點(diǎn)選發(fā)送在Decode中所定位的數(shù)據(jù)包，同時(shí)可以在此包的基礎(chǔ)上對(duì)數(shù)據(jù)包進(jìn)行如前述的修改。點(diǎn)選發(fā)送buffer中所有的數(shù)據(jù)包，實(shí)現(xiàn)數(shù)據(jù)流的重放。

7.3SnifferPro應(yīng)用監(jiān)視網(wǎng)絡(luò)流量問(wèn)題，如網(wǎng)絡(luò)廣播風(fēng)暴捕獲協(xié)議數(shù)據(jù)檢查網(wǎng)絡(luò)中使用QQ的用戶解決IP地址盜用問(wèn)題

1.抓取單臺(tái)主機(jī)的所有流量本例要抓08這臺(tái)機(jī)器的所有數(shù)據(jù)包，如圖中①選擇這臺(tái)機(jī)器。點(diǎn)擊②所指圖標(biāo).抓取單臺(tái)主機(jī)的所有流量(續(xù))

等到圖中箭頭所指的望遠(yuǎn)鏡圖標(biāo)變紅時(shí)，表示已捕捉到數(shù)據(jù)，點(diǎn)擊該圖標(biāo)抓取單臺(tái)主機(jī)的所有流量(續(xù))選擇箭頭所指的Decode選項(xiàng)即可看到捕捉到的所有包2.抓取telnet的流量抓取telnet的流量續(xù)(顯示密碼)3.抓取ftp的流量使用Sniffer防御蠕蟲(chóng)病毒的案例分析環(huán)境簡(jiǎn)介這是一個(gè)對(duì)某網(wǎng)絡(luò)系統(tǒng)中廣域網(wǎng)部分的日常流量分析，我們?cè)谄鋸V域網(wǎng)鏈路上采用Sniffer進(jìn)行流量捕獲，并把產(chǎn)生流量最多的協(xié)議HTTP協(xié)議的網(wǎng)絡(luò)流量過(guò)濾出來(lái)加以分析，分析過(guò)程及結(jié)果如下4.找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)我們分析的第一步，找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)，產(chǎn)生網(wǎng)絡(luò)流量越大，對(duì)網(wǎng)絡(luò)造成的影響越重，我們一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。我們利用Sniffer的HostTable功能，將所有計(jì)算機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序，結(jié)果如下圖。通過(guò)HostTable，我們可以分析每臺(tái)計(jì)算機(jī)的流量情況，有些異常的網(wǎng)絡(luò)流量我們可以直接通過(guò)HostTable來(lái)發(fā)現(xiàn)，如排在發(fā)包數(shù)量前列的IP地址為

的主機(jī)，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個(gè)，這對(duì)HTTP協(xié)議來(lái)說(shuō)顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來(lái)說(shuō)光發(fā)包不收包是種類似于廣播的應(yīng)用，UDP這種非連接的協(xié)議有可能。IP地址發(fā)包數(shù)量收包數(shù)量5530005024330522210191890214700