sniffer网络嗅探器摘要.pptxVIP

sniffer网络嗅探器;;Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。 Sniffer软件是NAI公司推出的一款一流的便携式网管和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都具有实时的网络监视、数据包捕获以及故障诊断分析的能力。 对于在现场进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，能够让用户获得强大的网管和应用故障诊断功能。;硬件环境：Snffier pro 4.75仅支持10M、100M、10/100M网卡，对于千M网卡，需要安装SP5补丁，或4.8及更高的版本。 软件环境：操作系统 Windows2003 Server企业标准版（Sniffer Pro4.5及以上版本均支持Windows2000 Windows-xp Windows2003）。 如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）;Sniffer软件的一些功能介绍;1. 可以解码至少450种协议。除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。 2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术。 3. 提供在位和字节水平上过滤数据包的能力。 4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。 5. 可以离线捕获数据，如捕获帧。因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。;报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板。;Sniffer的界面通过工具栏和菜单栏就可以完成大部分操作，并在当前窗口中显示出所监测的效果。 在Sniffer主窗口中，默认会显示Dashboard(仪表盘)窗口，共显示了三个仪表盘，即“Utilization%”、“Packets/s” 和“Errors/s”，分别用来显示网络利用率、数据传输速率和错误统计。;在仪表盘窗口中，单击“Detail(详细)”，显示如图5所示窗口，以表格的形式显示了关于利用率、数据包传输速度和出错率的详细统计结果。;Sniffer Pro的很多网络分析结果都可以设定阀值，若超出阀值，报警记录就会生成一条信息，并在仪表盘上以红色来标记超过设定阀值的范围。单击仪表盘上的“Set Thresholds(设定阀值)”按钮，显示 “Dashboard Properties”对话框，可查看或者修改这些值。;在工具栏上单击“Start”按钮，或者选择“Capture”菜单中的“Start”选项，显示如图所示“Expert”对话框，此时，Sniffer便开始捕获局域网与外部网络所传输的所有数据。;在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。 当缓冲器中积累了一定流量后，可以单击“Stop and display”停止并查看所捕获的数据。;单击窗口下方的“Decode(解码)”选项卡，如图所示，该窗口共分为三个部分，由上到下依次为：总结、详细资料和Hex窗口的内容， 可以查看所捕获的每个帧的详细信息。;“Decode”窗口中间的窗口部分显示所选择的协议的详细资料，如图所示。最上面显示的就是DLC文件头信息，包括帧到达时间、帧大小(以字节计)、目标、源MAC地址、以及Ethertype(以太网类型)。在这里，以太网类型值为0800，表示为IPv4协议。;IP文件头下面为TCP或者UDP文件头。;“Decode”窗口最下方为“Hex窗口”，这里显示的内容最直观，但也难以理解，如图所示。“Hex窗口”中的信息是16进制代码的信息集合。在“Hex窗口”中查看数据时，看到的就是处于传输状态的原始ASCⅡ格式的数据。;主机列表视图。;在默认情况下，Sniffer会接收网络中所有传输的数据包，但我们在分析网络协议查找网络故障时，有许多数据包不是我们需要的，这就要对捕获的数据进行过滤，只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤 规则和定义，过滤规则包括二、三层地址的定义和几百种协议的定义。;ICMP协议即Internet控制信息协议，而且是TCP/IP协议的一部分，它是网络设备间报告错误的基于控制的协议。ICMP是一种非常强大的工具，允许我们报告20种以上不同的网络状况。 在Sniffer Pro主窗口中，选择“