任务5使用sniffer监视网络讲述.ppt

学习目标 实践操作 1.在网络中正确部署Sniffer pro4.7.5 尽管Sniffer集众多优秀功能于一身，但对软件部署却有一定的要求。首先Sniffer只能嗅探到所在链路上“流经”的数据包，如果Sniffer被安装在交换网络中普通PC位置上不做任何设置，那么它仅仅能捕获本机数据。因此，Sniffer的部署位置决定它所能嗅探到的数据包。它能嗅探到的数据包，又决定它所能分析的网络环境。 在以往HUB为中心的共享式网络中Sniffer的部署非常简单，只需要将它安置在你需要的网段中任意位置即可。但是随着LAN的发展，HUB也在近几年迅速的消声灭迹，网络也由以往共享式演变成以交换机为中心的交换式网络，因此在交换环境下的Sniffer 软件部署又有了新的内容。目前在交换环境下部署Sniffer大多使用SPAN（Switch Port Analysis）技术，SPAN技术可以 1.在网络中正确部署Sniffer pro4.7.5 把交换机上我们想要监控的端口的数据镜像到被称为MIRROR端口上，MIRROR端口连接安装有Sniffer程序或者专用嗅探硬件设备。图为在网络中简单的使用SPAN技术部署Sniffer图例，可以做为参考。 2. 配置交换机端口镜像 ⑴创建端口镜像源端口 命令：monitor session session_number source interface interface-id [,|-] [both|rx|tx] session_number：SPAN会话号，2950、3550思科系列交换机一般支持的本地SPAN最多是2个，即1或者2。 interface-id：源端口号，[,|-]源端口接口符号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续的用“-”连接。 [both | rx | tx]：可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both。 2. 配置交换机端口镜像 ⑵创建端口镜像目的端口 命令：monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] interface-id：目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。 [encapsulation {dot1q | isl}]：可选，指被从目的端口发出去时是否使用802.1q和isl封装，当使用802.1q时，对于本地VLAN不进行封装，其它VLAN封装，ISL则全部封装。 2. 配置交换机端口镜像 ⑶此次工作创建端口镜像源端口和目的端口的命令如下： monitor 1 source interface f0/2,f0/3 both monitor 1 destination interface f0/1 上述两条命令的意思就是：把f0/2和f0/3进来的出去的数据复制一份给f0/1，这样接在f0/1端口上的sniffer工作站就可以截取到数据了 3.安装Sniffer pro 4.7.5 打开资源管理器，进入Sniffer pro 4.7.5安装目录，找到Sniffer pro4.7.5的安装文件SnifferPro_4_70_530.exe，双击该文件执行安装操作，弹出安装向导对话框。在该话框中，单击“next”（下一步），安装程序解压缩安装文件，弹出欢迎对话框，如图 3.安装Sniffer pro 4.7.5 3.安装Sniffer pro 4.7.5 3.安装Sniffer pro 4.7.5 3.安装Sniffer pro 4.7.5 3.安装Sniffer pro 4.7.5 4. 进行网络流量捕获 4. 进行网络流量捕获 Sniffer的界面并不复杂，通过工具栏和菜单栏就可以完成大部分操作，并在当前窗口中显示出所监测的效果，如图所示。图中已分别标出菜单栏、捕获报文工具栏、网络性能监视工具栏在软件中的位置。 4. 进行网络流量捕获 单击捕获报文工具栏上的“ ”按钮将按默认过滤器开始对网络进行报文捕获，如图所示。 4. 进行网络流量捕获 ⑵专家分析系统 单击捕获报文工具栏上的“　　”按钮停止捕获后，Sniffer软件对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息，如图所示。 4. 进行网络流量捕获 专家分析系统提供了一个性能的分析平台，系统自身根据捕获的数据包从链路层到应用层