Sniffer系列1.网络分析工具Sniffer Pro详解.doc

网络分析工具Sniffer Pro详解 2008-08-16 20:01 超级网络分析工具Sniffer Pro详解 Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。它具有以下特点： 　　1. 可以解码至少450种协议。除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。 　　2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。 　　3. 提供在位和字节水平上过滤数据包的能力。 　　4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。 　　5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。 　　6. 网络流量生成器能够以千兆的速度运行。 　　7. 可以离线捕获数据，如捕获帧。因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。 　　需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。因此，建议Sniffer系统应该有一个速度尽可能快的处理器，以及至少512MB的物理内存。 　　1. Sniffer Pro计算机的连接 　　要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。 　　(1) 监控Internet连接共享 　　如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。 　　如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口，并将Sniffer Pro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个局域网中的数据了。 　　(2) 监控某个VLAN或者端口 　　若欲监控某个VLAN中的通信时，应将Sniffer Pro计算机添加至该VLAN，使其成为该VLAN中的一员，从而监控该VLAN中的所有通信。 　　若欲监控某个或者几个端口的通信时，可以采用端口映射的方式，将被监控的端口(或若干端口)映射为Sniffer Pro计算机所连接的端口。 2. 设置监控网卡 　　如果计算机上安装了多个网卡，在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，Sniffer Pro就会自动选择同样的代理。 　　Sniffer安装完成以后，从“开始”菜单运行，显示“Settings”对话框，在“Select settings for monitoring”列表框中单击选择要监控的网卡，单击“确定”按钮，Sniffer就会监控该网卡中传输的数据，如图1所示。如果以后要改变监控设置，可以选择“File”菜单中的“Select Settings”选项，同样会出现该对话框，用来改变要监控的网卡。 图1 选择网卡 　　如果在“Settings”对话框中没有显示要监控的网卡，可以将其它网卡添加到该列表框中。单击“New”按钮，显示如图2所示“New Settings”对话框，可以设置新添加的网卡。 　　图2 添加新网卡 　　Description：为该网卡设置一个名称，可以是关于该网卡的描述。 　　Network：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。 　　Netpod Conf