sniffer简介内容概要.ppt

网络优化与故障检测--sniffer 许兴鹍 sniffer简介 什么是Sniffer? Sniffer—嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。 一个网络故障、性能优化、安全分析的整体系统，可以帮助你发现和解决网络通讯问题、分析和优化网络性能以及规划未来发展 监视应用程序生成实时统计 捕获数据帧并进行专家分析 可以配置复杂的过滤器以保留特定的数据帧 具有多种视图来深度分析数据帧 流量生成工具允许生成测试数据帧 什么是Sniffer? Sniffer的工作原理 以太网中，在普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。（根据查看数据包的目的ＭＡＣ地址来接收属于自己的数据包） 如果使用Hub，即基于共享网络的情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。 如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。 如果某个工作站的网卡处于混杂模式，那么它就可以捕获网络上所有的数据包和帧。 Sniffer的工作原理 Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为混杂（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 但是，现代网络常常采用交换机作为网络连接设备枢纽，在通常情况下，交换机不会让网络中每一台主机侦听到其他主机的通讯 因此，Sniffer技术在这时须结合端口镜像技术进行配合才能捕获到本地局域网的数据包。 Sniffer的工作原理 Sniffer的安装 Microsoft Network Monitor EtherPeek5.1 Omnipeek Sniffer-pro-v4.7.5-sp5可汉化版 wireshark-win32-1.5.0 科来网络分析系统 安装过程。。。 注意java插件错误提示信息。。。 sniffer pro的界面和菜单 八个下拉菜单：file、monitor、capture、display、tools、database、window、help 七大功能 1、仪表盘 (Dashboard) 2、主机列表 (host table) 3、矩阵 (matrix) 4、ART (application Response time) 5、协议分析 (protocol Distribution) 6、历史样本 (history samples) 7、全局信息 (Global Statistics) 使用Sniffer Pro 启动SNIFFER 从工具菜单选中“选择网络探测器/适配器”，并选择你希望使用的适配器（探测器）。 开始监视或捕获 从文件菜单中选择适配器 选择适配器 文件菜单 选择网络探测器/适配器（N）.. 显示所有在Windows中配置的适配器 菜单与工具栏 状态栏 监视右下角的实时计数 Dashboard 错误的数据帧 以太网帧（数据链路层）格式 （总长度64~1518字节 = 60~1514 + 4bytes CRC） CRC错误而数据段正常(60-1514)则为普通CRC校验错误 CRC正确而数据段60字节,则被称为Runt错误 CRC正确而数据段1514字节,则被称为Oversize错误 错误的数据帧 CRC错误且数据段60字节,则被称为Fragment(碎片) CRC错误且数据段1514字节被称为Jabber 一个数据帧尾没有形成一个完整的Byte时为alignment错误 当产生JAM信号,并出现Runt/Fragment/CRC错误,为collision 主机表视图和图标 大纲表 细节表 柱状图 饼图 使用这个地址捕获数据帧 定义新捕获过滤器 暂停屏幕更新 刷新主机表数据 重新设置主机表 将数据输出到文件 编辑主机表特性 单一工作站视图 Matrix 历史取样 协议分配 (Protocol Distribution) 柱状图 饼图 表格 数据帧比例 字节比例 暂停 刷新 重新设置 输出数据 全局统计 Global Statistics 柱状图或饼图 Exercise 1 立即断定当前网段网络利用率 找出最高利用率的三种底层协议 找出通讯量最大的三台主机 找出通讯量最大的一对通讯会话主机 建立一个包括数据包/秒，利用率，错误/秒在内的多重历史抽样 捕获面板 (Capture Panel) 暂停 停止 停止与浏览 浏览（当停止时） 捕获细节视图 拒绝的计数表明设置了捕获过滤器 Expert层 应用 OSI 应用层信息 会话 OSI 会话层信息 连接