第章_网络监视与Sniffer.ppt

第6章 网络监视sniffer Pro 6.1 sniffer Pro 概述 6.2 sniffer Pro安装与使用 6.3 sniffer Pro 应用 什么是Sniffer? 一个网络故障、性能优化、安全分析的整体系统，可以帮助您发现和解决网络通讯问题、分析和优化网络性能以及规划未来发展 监视应用程序生成实时统计 捕获功能可以对捕获缓存筛选的帧进行实时Expert分析 基本信息功能可以装载复杂的过滤器，易于进行存储和激活设置 事后捕获功能翔实的数据帧显示功能可以允许您使用多种视图来深度分析帧 流量生成工具允许您生成帧、缓存或发送其它测试数据 6.1 sniffer Pro 概述 Sinffer Pro是美国Network Associates公司生产的一款网络监视、分析软件，可用于网络故障与性能管理，在局域网领域应用非常广泛。 1. Sniffer pro 功能 Sniffer pro 嗅探器可用于局域网管理的通信监视，其软件功能中体现了RMON MIB规范。 功能 1.监控（monitor） 2.数据包捕捉（capture抓包） 3.实时监控网络活动（ display） 4.专家分析系统（expert） Sniffer四大功能模块 监控（monitor） 可以监控网络的流量、连接数量、处在网络连接中的目的和源客户端的地址（MAC、IP、IPX）、数据包大小的分布、协议分布等，可以通过历史采样功能对多达20个以上的网络参数进行采样，并可通过直方图或饼形图显示。(动态） 数据包捕捉（capture抓包） 就是将所有的数据包截取并放在缓冲区中，便于分析。基本原理就是通过将网卡的工作模式设置为“混杂”模式，网卡或模块接受所有的数据，不管是不是给自己发送的，达到网络监控和网络管理的功能。 Sniffer四大功能模块 显示（display） 通过抓包后进行协议解码分析(decode)，在网络全部七层上可以对490多种协议进行解释。（静态） 专家分析系统（expert） 抓包同时建立网络对象数据库，并利用知识库检测网络异态。（实时） RMON MIB Sniffer Pro 功能反映了RMON1针对Ethernet 提供9组数据 统计组(statistics)：基本统计信息，3个表 历史组(history)：存储以固定间隔取样所获的子网数据 告警组(alarm)：定义的一组网络性能阀值。 主机组(host)：收集LAN上的特定主机的统计信息 最高主机组(hostTopN)：据某些参数排序列在前N个主机统计信息 矩阵组(matrix)：记录子网内各对主机间的流量信息 过滤组(filter)：管理站指示的有选择地观测特定数据 包捕获组(capture)：建立一组缓冲，用于存储filter的包 事件组(event)：用于管理事件。控制事件的产生和通知 2. Sniffer的工作原理 Sniffer是依据以太网的广播通信机制，利用计算机的网络接口截获目的地为其他计算机的数据报文，实现监视整个局域网通信的. Sniffer的两个类别: 共享环境下的Sniffer 共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报, 而不需要进行任何欺骗行为. 交换环境下的Sniffer 交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据. 3. 部署Sniffer pro4.7.5 共享式网络 将Sniffer安置在需要监视的网段中任意位置即可。若为计算机，则将其网卡设置为混杂模式。它能嗅探到的数据包，又决定它所能分析的网络环境。 交换环境下的部署 Sniffer只能嗅探到所在链路上“流经”的数据包，如果Sniffer被安装在交换网络中普通PC位置上不做任何设置，那么它仅仅能捕获本机数据。交换环境下部署Sniffer大多使用SPAN（Switch Port Analysis）技术， 把交换机上我们想要监控的端口的数据镜像到被称为Mirror端口上， Mirror端口连接安装有Sniffer程序或者专用嗅探硬件设备。下图为在网络中简单的使用SPAN技术部署Sniffer图例。 4. 配置交换机端口镜像 端口镜像概念： Port Mirror(端口镜像）是用于进行网络性能监测。可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。 H3C 3026等交换机镜像配置 配置网络环境示例： 1. PC1接在交换机E0/1端口，IP地址/24 2. PC2接在交换机E0/2