网络嗅探教程：使用Sniffer Pro监控网络流量

　　简介：随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些 ...

　　随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

　　目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有于而力不足。毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。

　　Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说，是不可思议的。

　　在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。

　　硬件环境（网吧）：

　　100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。光纤10M接入，华为2620做为接入网关。

　　软件环境：

　　操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）

　　环境要求：

　　1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）

　　2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本

　　网络拓扑：

　　图

　　监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。

　　步骤一：配置交换机端口镜像（Mirroring Configurations）

　　以DES-3226S二层交换机为例，我们来通过WEB方式配置端口镜像（也可用CLI命令行模式配置）。如果您的设备不支持WEB方式配置，请参考相关用户手册。

　　1.DES-3226S默认登陆IP为：10.90.90.90 因此，需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。

　　如图（1）所示：

　　图1

　　2.使用鼠标点击上方红色字体：“Login”,如果您是第一次配置，输入默认用户名称、密码:admin 自动登陆管理主界面。

　　3.如图（2）所示，主界面上方以图形方式模拟交换机界面，其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。

　　图2

　　4.如图（3）：鼠标点击左下方菜单中的advanced setup->Mirroring Configurations （高级配置—镜像配置）

　　图3

　　5.将Mirror Status 选择为Enable（默认为关闭状态，开启），本例中将Port-1端口设置为监听端口:Target Port=Port-1，其余端口选择为Both，既：监听双向数据（Rx接收 Tx发送），选择完毕后，点击Apply应用设置。

　　此时所有的端口数据都将复制一份到Port-1。（如图4）

　　图4

　　接下来，我们就可以在Port-1端口，接入计算机并安装配置Sniffer Pro。

　　步骤二：Sniffer Pro 安装、启动、配置

　　Sniffer Pro 安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：

　　①Sniffer Pro 安装大约占用70M左右的硬盘空间。

　　②安装完毕Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动程序（如图5）。

　　③安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。

　　④对于英文不好的管理员可以下载网上的汉化补丁。

　　图5

　　我们来启动Sniffer Pro。第一次启动Sniffer Pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。

　　具体位于：File->Select Settings->New

　　名称自定义、选择所在网卡下拉菜单，点击确定即可。(如图6)

　　图6

　　这样我们就进入了Sniffer Pro的主界面。

　　步骤三：新手上路，查询网关流量

　　下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。

　　1． 扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。

　　选择菜单栏中Tools->Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP-MAC对应关系。扫描完毕后，点击DataBase->Save Address Book 系统会自动保存对应关系，以备以后使用。(如图7)

　　图7

　　2.查看网关流量。点击Monitor->Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）(如图8)

　　图8

　　3.找到网关的IP地址->选择single station->bar (本例中网关IP为219.*.238.65)

　　图9

　　如图(9)所示：

　　219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。

　　如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的->MAP按钮

　　如图(10)所示,网关与内网间的所有流量都在这里动态的显示。

　　图10

　　需要注意的是：

　　绿色线条状态为：正在通讯中

　　暗蓝色线条状态为：通信中断

　　线条的粗细与流量的大小成正比

　　如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。

　　其它主要功能：

　　PIE：饼图的方式显示TOP 10的流量占用百分比。

　　Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。

　　步骤三：新手上路，查询网关流量

　　下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。

　　1． 扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。

　　选择菜单栏中Tools->Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP-MAC对应关系。扫描完毕后，点击DataBase->Save Address Book 系统会自动保存对应关系，以备以后使用。(如图7)

　　图7

　　2.查看网关流量。点击Monitor->Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）(如图8)

　　图8

　　3.找到网关的IP地址->选择single station->bar (本例中网关IP为219.*.238.65)

　　图9

　　如图(9)所示：

　　219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。

　　如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的->MAP按钮

　　如图(10)所示,网关与内网间的所有流量都在这里动态的显示。

　　图10

　　需要注意的是：

　　绿色线条状态为：正在通讯中

　　暗蓝色线条状态为：通信中断

　　线条的粗细与流量的大小成正比

　　如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。

　　其它主要功能：

　　PIE：饼图的方式显示TOP 10的流量占用百分比。

　　Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。