隨着互聯網多層次性、多樣性的發展,網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用,擴展成爲運行大量在線遊戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和複雜性,因此,這些應用對我們的網絡服務質量要求更爲嚴格和苛刻。
目前,大多數網吧的網絡設備不具備高端網絡設備的智能性、交互性等擴展性能,當網吧出現掉線、網絡卡、遭受內部病毒***、流量超限等情況時,很多網
絡管理員顯的心有於而力不足。畢竟,靠網絡管理員的經驗和一些簡單傳統的排查方法:無論從時間上面還是準確性上面都存在很大的誤差,同時也影響了工作效率
和正常業務的運行。
Sniffer Pro 著名網絡協議分析軟件。本文利用其強大的流量圖文系統Host
Table來實時監控網絡流量。在監控軟件上,我們選擇了較爲常用的NAI公司的sniffer
pro,事實上,很多網吧管理員都有過相關監控網絡經驗:在網絡出現問題、或者探查網絡情況時,使用P2P終結者、網絡執法官等網絡監控軟件。這樣的軟件
有一個很大優點:不要配置端口鏡像就可以進行流量查詢(其實sniffer
pro也可以變通的工作在這樣的環境下)。這種看起來很快捷的方法,仍然存在很多弊端:由於其工作原理利用ARP地址表,對地址表進行欺騙,因此可能會衍
生出很多節外生枝的問題,如掉線、網絡變慢、ARP廣播巨增等。這對於要求正常的網絡來說,是不可思議的。
在這裏,我們將通過軟件解決方案來完成以往只有通過更換高級設備才能解決的網絡解決方案,這對於很多管理員來說,將是個夢寐以求的時刻。
硬件環境(網吧):
100M網絡環境下,92臺終端數量,主交換採用D-LINK(友訊)DES-3226S二層交換機(支持端口鏡像功能),級聯普通傻瓜型交換機。光纖10M接入,華爲2620做爲接入網關。
軟件環境:
操 作系統Windows2003 Server企業標準版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI協議分析軟件-Sniffer Portable 4.75(本文選用網絡上較容易下載到的版本做爲測試)
環境要求:
1、如果需要監控全網流量,安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機,網卡接入端需要位於主交換鏡像端口位置。(監控所有流經此網卡的數據)
2、Snffier pro 475僅支持10M、100M、10/100M網卡,對於千M網卡,請安裝SP5補丁,或4.8及更高的版本
網絡拓撲:
硬件環境(網吧):
100M網絡環境下,92臺終端數量,主交換採用D-LINK(友訊)DES-3226S二層交換機(支持端口鏡像功能),級聯普通傻瓜型交換機。光纖10M接入,華爲2620做爲接入網關。
軟件環境:
操 作系統Windows2003 Server企業標準版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI協議分析軟件-Sniffer Portable 4.75(本文選用網絡上較容易下載到的版本做爲測試)
環境要求:
1、如果需要監控全網流量,安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機,網卡接入端需要位於主交換鏡像端口位置。(監控所有流經此網卡的數據)
2、Snffier pro 475僅支持10M、100M、10/100M網卡,對於千M網卡,請安裝SP5補丁,或4.8及更高的版本
網絡拓撲:
 |
| 圖 |
監控目的:通過Sniffer Pro實時監控,及時發現網絡環境中的故障(例如病毒、***、流量超限等非正常行爲)。對於很多企業、網吧網絡環境中,網關(路由、代理等)自身不具備流 量監控、查詢功能,本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括:網內任意終端流量實時查詢、網內終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時,我們將數據包捕獲後, 通過Sniffer Pro的專家分析系統幫助我們更進一步分析數據包,以助更好的分析、解決網絡異常問題。
步驟一:配置交換機端口鏡像(Mirroring Configurations)
以DES-3226S二層交換機爲例,我們來通過WEB方式配置端口鏡像(也可用CLI命令行模式配置)。如果您的設備不支持WEB方式配置,請參考相關用戶手冊。
1.DES-3226S默認登陸IP爲:10.90.90.90 因此,需要您配置本機IP爲相同網段纔可通過瀏覽器訪問WEB界面。
如圖(1)所示:
以DES-3226S二層交換機爲例,我們來通過WEB方式配置端口鏡像(也可用CLI命令行模式配置)。如果您的設備不支持WEB方式配置,請參考相關用戶手冊。
1.DES-3226S默認登陸IP爲:10.90.90.90 因此,需要您配置本機IP爲相同網段纔可通過瀏覽器訪問WEB界面。
如圖(1)所示:
 |
| 圖1 |
2.使用鼠標點擊上方紅色字體:“Login”,如果您是第一次配置,輸入默認用戶名稱、密碼:admin 自動登陸管理主界面。
3.如圖(2)所示,主界面上方以圖形方式模擬交換機界面,其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。
3.如圖(2)所示,主界面上方以圖形方式模擬交換機界面,其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。
 |
| 圖2 |
4.如圖(3):鼠標點擊左下方菜單中的advanced setup->Mirroring Configurations (高級配置—鏡像配置)
 |
| 圖3 |
5.將Mirror Status 選擇爲Enable(默認爲關閉狀態,開啓),本例中將Port-1端口設置爲監聽端口:Target Port=Port-1,其餘端口選擇爲Both,既:監聽雙向數據(Rx接收 Tx發送),選擇完畢後,點擊Apply應用設置。
此時所有的端口數據都將複製一份到Port-1。(如圖4)
此時所有的端口數據都將複製一份到Port-1。(如圖4)
 |
| 圖4 |
接下來,我們就可以在Port-1端口,接入計算機並安裝配置Sniffer Pro。
步驟二:Sniffer Pro 安裝、啓動、配置
Sniffer Pro 安裝過程與其它應用軟件沒有什麼太大的區別,在安裝過程中需要注意的是:
①Sniffer Pro 安裝大約佔用70M左右的硬盤空間。
②安裝完畢Sniffer Pro後,會自動在網卡上加載Sniffer Pro 特殊的驅動程序(如圖5)。
③安裝的最後將提示填入相關信息及序列號,正確填寫完畢,安裝程序需要重新啓動計算機。
④對於英文不好的管理員可以下載網上的漢化補丁。
Sniffer Pro 安裝過程與其它應用軟件沒有什麼太大的區別,在安裝過程中需要注意的是:
①Sniffer Pro 安裝大約佔用70M左右的硬盤空間。
②安裝完畢Sniffer Pro後,會自動在網卡上加載Sniffer Pro 特殊的驅動程序(如圖5)。
③安裝的最後將提示填入相關信息及序列號,正確填寫完畢,安裝程序需要重新啓動計算機。
④對於英文不好的管理員可以下載網上的漢化補丁。
 |
| 圖5 |
我們來啓動Sniffer Pro。第一次啓動Sniffer Pro時,需要選擇程序從那一個網絡適配器接收數據,我們指定位於端口鏡像所在位置的網卡。
具體位於:File->Select Settings->New
名稱自定義、選擇所在網卡下拉菜單,點擊確定即可。(如圖6)
具體位於:File->Select Settings->New
名稱自定義、選擇所在網卡下拉菜單,點擊確定即可。(如圖6)
 |
| 圖6 |
這樣我們就進入了Sniffer Pro的主界面。
步驟三:新手上路,查詢網關流量
下面以圖文的方式介紹,如何查詢網關(路由、代理:219.*.238.65)流量,這也是最爲常用、重要的查詢之一。
1. 掃描IP-MAC對應關係。這樣做是爲了在查詢流量時,方便判斷具體流量終端的位置,MAC地址不如IP地址方便。
選 擇菜單欄中Tools->Address Book 點擊左邊的放大鏡(autodiscovery 掃描)在彈出的窗口中輸入您所要掃描的IP地址段,本例輸入:219.*.238.64-219.*.238.159點擊OK,系統會自動掃描IP- MAC對應關係。掃描完畢後,點擊DataBase->Save Address Book 系統會自動保存對應關係,以備以後使用。(如圖7)
下面以圖文的方式介紹,如何查詢網關(路由、代理:219.*.238.65)流量,這也是最爲常用、重要的查詢之一。
1. 掃描IP-MAC對應關係。這樣做是爲了在查詢流量時,方便判斷具體流量終端的位置,MAC地址不如IP地址方便。
選 擇菜單欄中Tools->Address Book 點擊左邊的放大鏡(autodiscovery 掃描)在彈出的窗口中輸入您所要掃描的IP地址段,本例輸入:219.*.238.64-219.*.238.159點擊OK,系統會自動掃描IP- MAC對應關係。掃描完畢後,點擊DataBase->Save Address Book 系統會自動保存對應關係,以備以後使用。(如圖7)
 |
| 圖7 |
2.查看網關流量。點擊Monitor->Host Table,選擇Host
table界面左下角的MAC-IP-IPX中的MAC。(爲什麼選擇MAC?在網絡中,所有終端的對外數據,例如使用QQ、瀏覽網站、上傳、下載等行
爲,都是各終端與網關在數據鏈路層中進行的)(如圖8)
 |
| 圖8 |
3.找到網關的IP地址->選擇single station->bar (本例中網關IP爲219.*.238.65)
 |
| 圖9 |
如圖(9)所示:
219.*.238.65(網關)流量TOP-10 此圖爲實時流量圖。在此之前如果我們沒有做掃描IP(Address Book)的工作,右邊將會以網卡物理地址-MAC地址的方式顯示,現在轉換爲IP地址形式(或計算機名),現在很容易定位終端所在位置。流量以3D柱形 圖的方式動態顯示,其中最左邊綠色柱形圖與網關流量最大,其它依次減小。本圖中219.*.238.93與網關流量最大,且與其它終端流量差距懸殊,如果 這個時候網絡出現問題,可以重點檢查此IP是否有大流量相關的操作。
219.*.238.65(網關)流量TOP-10 此圖爲實時流量圖。在此之前如果我們沒有做掃描IP(Address Book)的工作,右邊將會以網卡物理地址-MAC地址的方式顯示,現在轉換爲IP地址形式(或計算機名),現在很容易定位終端所在位置。流量以3D柱形 圖的方式動態顯示,其中最左邊綠色柱形圖與網關流量最大,其它依次減小。本圖中219.*.238.93與網關流量最大,且與其它終端流量差距懸殊,如果 這個時候網絡出現問題,可以重點檢查此IP是否有大流量相關的操作。
如果要查看219.*.238.65(網關)與內部所有流量通信圖,我們可以點擊左邊菜單中,排列第一位的->MAP按鈕
如圖(10)所示,網關與內網間的所有流量都在這裏動態的顯示。
如圖(10)所示,網關與內網間的所有流量都在這裏動態的顯示。
 |
| 圖10 |
需要注意的是:
綠色線條狀態爲:正在通訊中
暗藍色線條狀態爲:通信中斷
線條的粗細與流量的大小成正比
如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小(包括接收、發送)、並自動計算流量佔當前網絡的百分比。
綠色線條狀態爲:正在通訊中
暗藍色線條狀態爲:通信中斷
線條的粗細與流量的大小成正比
如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小(包括接收、發送)、並自動計算流量佔當前網絡的百分比。
其它主要功能:
PIE:餅圖的方式顯示TOP 10的流量佔用百分比。
Detail:將Protocol(協議類型)、From Host(原主機)、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。
PIE:餅圖的方式顯示TOP 10的流量佔用百分比。
Detail:將Protocol(協議類型)、From Host(原主機)、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。
第四步:基於IP層流量
1.爲了進一步分析219.*.238.93的異常情況,我們切換至基於IP層的流量統計圖中看看。
點擊菜單欄中的Monitor->Host Table,選擇Host Table界面左下角的MAC-IP-IPX中的IP。
1.爲了進一步分析219.*.238.93的異常情況,我們切換至基於IP層的流量統計圖中看看。
點擊菜單欄中的Monitor->Host Table,選擇Host Table界面左下角的MAC-IP-IPX中的IP。
2.找到IP:219.*.238.93地址(可以用鼠標點擊IP Addr排序,以方便查找)->選擇single station->bar (如圖11所示)
 |
| 圖11 |
3.我們切換至Traffic Map來看看它與所有IP的通信流量圖。(圖12)
 |
| 圖12 |
我們可以從219.*.238.93的通信圖中看到,與它建立IP連接的情況。圖中IP連接數目非常大,這對於普通應用終端來講,顯然不是一種正常
的業務連接。我們猜測,該終端可能正在進行有關P2P類的操作,比如正在使用P2P類軟件進行BT下載、或者正在觀看P2P類在線視頻等。
爲了進一步的證明我們的猜測,我們去看看219.*.228.93的流量協議分佈情況。
4.如圖(13)所示:Protocol類型絕大部分爲Othen.我們知道在Sniffer Pro中Othen表示未能識別出來協議,如果提前定義了協議類型,這裏將會直接顯現出來。
 |
| 圖13 |
如圖(14)通過菜單欄下的Tools->Options->Protocols,在第19欄中定義14405(bitcomet的默認監聽端口),取名爲bitcom。
 |
| 圖14 |
現在我們再次查看219.*.238.93協議分佈情況.(如圖15)
 |
| 圖15 |
現在,協議類型大部分都轉換爲bitcom,這樣我們就可以斷定,此終端正在用bitcomet做大量上傳、下載行爲。
注意:很多P2P類軟件並沒有固定的使用端口,且端口也可以自定義,因此使用本方法雖然不失爲一種檢測P2P流量的好方法,但並不能完全保證其準確性。
好了,使用Sniffer
Pro監控網關流量,就到這裏結束了。實際上我們可以用同樣的方法監控網絡內的任何一臺終端。後續,我們將繼續連載使用Sniffer
Pro監控網絡的其它新手教程,例如:利用Sniffer pro做網絡的預警機制、利用Sniffer
pro分析病毒、通過包分析結合專家系統發現網絡內存在的“未知問題”,以後我們將陸續做更深一步的探討和分析。
概念解釋:
1.什麼是端口鏡像?
把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口的方法。
1.什麼是端口鏡像?
把交換機一個或多個端口(VLAN)的數據鏡像到一個或多個端口的方法。
2.爲什麼需要端口鏡像 ?
交換機的工作原理與HUB有很大的不同,HUB組建的網絡數據交換都是通過廣播方式進行的,而交換機組建的網 絡是根據交換機內部CAM表(通常也稱IP-MAC表)進行數據轉發,因此需要通過配置交換機來把一個或多個端口(VLAN)的數據轉發到某一個端口來實 現對網絡的監聽。
交換機的工作原理與HUB有很大的不同,HUB組建的網絡數據交換都是通過廣播方式進行的,而交換機組建的網 絡是根據交換機內部CAM表(通常也稱IP-MAC表)進行數據轉發,因此需要通過配置交換機來把一個或多個端口(VLAN)的數據轉發到某一個端口來實 現對網絡的監聽。
3.端口鏡像通常有以下幾種別名:
①Port Mirroring 通常指允許把一個端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
②Monitoring Port 監控端口
③panning Port 通常指允許把所有端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
④PAN Port 在 Cisco 產品中,SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數據。
①Port Mirroring 通常指允許把一個端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
②Monitoring Port 監控端口
③panning Port 通常指允許把所有端口的流量複製到另外一個端口,同時這個端口不能再傳輸數據。
④PAN Port 在 Cisco 產品中,SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數據。