1、實驗五 網絡診斷分析實驗要求：掌握網絡診斷的基本方法。熟練操作1到2種網絡診斷分析工具。前奏：網絡每天都可能發生各種各樣的問題，例如網絡性能降低、數據傳輸不穩定等問題。甚至出現網絡故障，嚴重影響網絡的正常使用。因此，網絡管理員應該掌握各種網絡診斷分析工具。實驗內容：1、超級網絡嗅探器Sniffer Pro軟件介紹：Sniffer主要用來分析網絡流量，在眾多流量中分析所關心的內容。例如通過使用Sniffer可以判斷網絡中某臺主機使用網絡的情況，包括所使用的網絡協議、數據流量大小、與哪臺計算機相連接等信息。另外，當網絡發生故障時，可以用Sniffer對問題做出精確的判斷，從而提高管理員的工作效率。

2、Sniffer的主要功能：l 捕獲網絡流量進行詳細分析l 利用專家分析系統診斷問題l 實時監控網絡活動情況l 監控單個工作站、會話或網絡中任何一部分的詳細的網絡利用情況和錯誤統計l 支持主要的LAN、WAN和網絡技術（包括高速與超高速以太網、令牌網、802.11b無線網、SONET傳遞的數據包、T-1、幀延遲和ATM）l 提供在位和字節水平過濾數據包的能力。步驟1：Sniffer的安裝Sniffer安裝位置的選擇，是使用Sniffer的關鍵。通常情況下，Sniffer應該安裝在內部網絡和外部網絡之間，例如代理服務器。也可以安裝在局域網內任何一臺計算機上，但此時只能對局域網內部通信進行分析。如果

3、使用交換機或路由器方式接入Internet，可以在網絡設備上配置端口鏡像，并將網絡設備的出口設置為目的端口，然后將安裝Sniffer的計算機連接到該端口，即可對整個網絡的監控。小知識：端口鏡像，在網絡中經常用到。是指把交換機的一個端口（或VLAN）的數據鏡像到一個或多個端口的方法，簡單地說，是把交換機一個（多個）端口（源端口）的流量完全復制一份，從另外一個端口（目的端口）發出去。網絡管理人員在目的端口通過軟件分析源端口的流量，從而找出網絡存在問題的原因。安裝方法和通常軟件相同。步驟2：配置網絡適配器啟動Sniffer，選擇要監控的網卡。為了使Sniffer能夠監控多個不同的網絡，可以設置多個代

4、理。選擇New。步驟3：Sniffer的監控功能可以查看當前網絡中的數據傳輸情況。Sniffer有七大監控功能：l Dashboard（儀表）主窗口中，“Monitor”“Dashboard”。顯示有三個盤：（1）Utilization%（利用百分比） 使用傳輸與端口能處理的最大帶寬的比值來表示網絡占用帶寬的百分比。利用率達到40%就已經相當高了。（2）Packets/s（每秒傳輸的數據包） 顯示網絡中當前數據包的傳輸速率。如果網絡利用率高，但速率低，說明網絡上的幀比較大。（3）Error/s（每秒錯誤率） 顯示當前網絡中的出錯率。每個儀表盤下方都會顯示兩個數值，前一個數值表示當前值，后一個數

5、值表示最大值。如果想查看詳細的傳輸數據，可單擊儀表盤下方“Detail”（詳細）按鈕。如圖所示。l Host Table（主機列表）以列表的形式顯示當前網絡上計算機的流量信息。選擇“Monitor”“Host Table”選項，如圖所示。（1） Hw Addr（硬件地址）：以MAC地址形式顯示計算機。（2） In Pkts（傳入數據包）：網絡上發送到此主機的數據包。（3） Out Pkts（傳出數據包）：本地主機發送到網絡上的數據包（4） In Bytes（傳入字節數）：網絡上發送到此主機的字節數（5） Out Bytes（傳出字節數）：本地主機發送到網絡上的字節數提示：通過主機列表功能，可以

6、查看某臺計算機所傳輸的數據量。如果發現某臺計算機在某個時間段內發送或接收了大量的數據，例如某個用戶一天內就傳輸了數GB的數據，則說明該用戶很可能在使用BT、PPLive等P2P軟件。l Matrix（矩陣）Sniffer最常用功能之一，選擇“Monitor”“Matrix”。顯示了當前所捕獲的網絡中各計算機的連接情況。單擊窗口下方的”IP”標簽，可以以IP地址方式顯示各主機。在窗口空白處單擊鼠標右鍵，在快捷鍵中選擇“Zoom”選項，可以放大顯示比例。右鍵單擊要查看的主機IP地址，快捷鍵中選擇“Show Select Nodes”，可以查看與那些地址連接，鼠標放在線上，可以查看流量。提示：通過M

7、atrix功能，管理員可以發現網絡中使用BT等P2P軟件或中了蠕蟲病毒的用戶。如果某個用戶的并發連接數特別多，并且不斷地向其他計算機發送數據，這就說明該計算機可能中了蠕蟲病毒。此時，網絡管理員應及時封掉該計算機所連接的交換機端口，并對該計算機查殺病毒。l ART（Application Response Time，應用響應時間）Sniffer的ART主要用來顯示網絡中Web網站的連接情況，可以看到局域網中哪些計算機正在上網，瀏覽的是哪些網站。l Protocol Distribution（協議分類）選擇“Monitor”“Protocol Distribution”，以不同顏色的柱形顯示網絡中

8、不同協議使用情況。l History Sample（歷史采樣）Sniffer的歷史采樣功能記錄了捕獲過程中各個時間段的網絡利用情況。選擇“Monitor”“History Samples”，雙擊“Packets/s”。Sniffer開始記錄每秒所發送的數據包數量，并且每隔15秒便記錄一次，以柱形方式顯示。也可以保存記錄結果。l Global Statistics（球狀統計）Sniffer的球狀統計功能用來顯示不同大小數據包的使用情況。選擇“Monitor”“Global Statistics”。步驟4：創建過濾器默認情況下，Sniffer會監控網絡中所有傳輸的數據包，但在分析網絡協議、查找網絡

9、故障時，有許多數據包并不是管理員所關心的。Sniffer提供了過濾器，過濾規則包括第二層，第三層地址的定義和幾百種協議的定義。（1）過濾IP地址創建一個過濾器，只捕獲IP地址段位01到10范圍內傳輸的數據。選擇“Capture”“Define Filer”，在“Settings For”列表中顯示過濾器名，該過濾器對所有經過網卡的數據全部捕獲。單擊“Profiles”，選擇“New”，輸入新過濾器名稱。“Done”完成。在“Settings For”列表框中，選擇新建的過濾器，分別在station1和station2中輸入起止IP地址。點擊“確定

10、”完成過濾器創建。（2）過濾端口Sniffer4.8/4.9中增加了端口過濾功能，可以讓Sniffer只捕獲特定端口內傳輸的數據，可以使固定的一個或幾個端口，也可以使一個端口范圍。（3）過濾網絡協議創建一個過濾器，只捕獲網絡中使用FTP協議傳輸的數據，來查看有多少人在通過FTP下載文件。創建一個新過濾器，名FTP。選擇FTP過濾器，切換到“Advanced”，依次展開“Available”“Protocols”“IP”“TCP”,選中“FTP”復選框。（4）設置緩沖器緩沖器用來臨時保存Sniffer捕獲的數據，它占用內存。當緩沖器滿了后，Sniffer就停止捕獲，而緩沖器中的數據在重新捕獲或關

11、閉Sniffer時自動保存。4.7默認大小為8MB。4.9的為64MB可以調整緩沖器大小和保存路徑。（5）過濾器的使用“Capture”“Select Filter”，選擇我們要選擇的過濾器。步驟5：Sniffer的使用（1）捕獲數據 通過Sniffer進行網絡和協議分析，首先捕獲網絡中的數據。l “capture”“start”，顯示“Expert”窗口，開始捕獲。l 如要查看當前捕獲的各種數據，單擊對話框左側的“Service”、“Connection”等選項，在右側即可以顯示相應數據的概要信息。單擊“Objects”，可以顯示當前監視對象的詳細信息。l 當捕獲到一定的數據，可以停止捕獲進

12、行分析。“capture”“stop”。（2）查看分析捕獲的數據“capture”“display”，查看所有捕獲的內容。選擇下方的“Decode（解碼）”，窗口分成三部分：總結、詳細資料和Hex窗格的內容，可以查看所捕獲的每個幀的詳細信息。所捕獲的數據的各部分的含義如下：l DLC：在DLC區域中顯示了捕獲的幀的來源信息，包括Source Addess（源地址）、Dest Address（目標地址）、幀大小（以字節記）及Ethertype（以太類型）。這里以太型值為0800，表示IPv4協議。上面的地址顯示的是網卡的MAC地址。l IP：如果捕獲HTTP，則IP區域中顯示了IP文件頭的詳細信

13、息。各項內容含義如下： -Version（版本）：版本號為4，代表IPv4 -Header length（服務類型值）：該值為00，會看到Tos下面一直到總長的部分都是0.這里可以提供服務質量（QoS）信息。每個二進制位的意義都不同，這取決于最初的設定，例如，正常延遲設定為0，低延遲則為1-Total length（總長度）：顯示該數據包的總長度。-Identification：該數值是文件頭的標識部分，當數據包被劃分成幾段傳送時，發送數據的主機可以用這個數值來重新組裝數據。-Flag（標記）：數據報的“標記”功能，0表示分段，1表示未分段。-Fragment offset（分段差距）：分段差

14、距為0個字節。可以設定0代表最后一段，或設定1代表更多區段屬于數據包的哪個部分。-Time to live（保存時間）：TTL值的大小，說明一個數據包可以保存多久。-Protocol（協議）：顯示協議值，在Sniffer中代表TCP協議。文件頭的協議部分只說明要使用的下一個上層協議是什么，在這里是TCP。-Header checksum（校驗和）：這里顯示校驗和的值，并且已經做了標記，表明這個數值是正確的。-Source address（源地址）：數據的來源地址。-Destination（目標地址）：數據訪問的目的地址。-UDP：IP文件頭，下面是TCP或UDP文件頭，這里為UDP文件頭，包括

15、： 。Source port（源端口）：顯示了使用的UDP協議的源端口。 。Destinations（目的端口）：顯示UDP協議的目的端口。 。Length（長度）：表示IP文件頭的長度。 。Checksum：顯示了UDP協議的校驗和。 。Byeps of date：表示有多少個字節的數據。-ARP： 。Hardware type（硬件類型）：這是一個16個比特字段，用來定義運行ARP的網絡的類型。以太網是類型1，ARP可使用在任何網絡上。 。Protocol type：16比特字段，用來定義協議類型。對IPv4來說，值為0800。ARP可用于任何高層協議。 。Length of Protoc

16、ol address（協議長度）：8比特，定義以字節為單位的邏輯地址長度。IPv4協議的這個值是4。 。Opcode（操作）：16字節的字段，定義分組的類型。ARP請求第1步，ARP回答第2步。 。Senders Hardware address（發送站硬件地址）：可變長字段。以太網這個值為6字節長。 。Senders Protocol address（發送站協議地址）：可變長字段，定義發送站的邏輯（如，IP）地址的長度。對于IP協議來說是4字節。 。Target Hardware address：目標站的物理地址。 。Target Protocol address：4字節。 -ICMP：In

17、ternet控制報文協議，允許報告20種以上不同的網絡狀況。首先要創建一個新的ICMP過濾器，即在“Advanced”中選中IP列表中的ICMP。 。Type=8（Echo）：ICMP Echo有兩種類型，8為請求，0為響應。 。Coad：不常用，常設為0 。Checksum：ICMP是使用自己的校驗和確保數據在傳輸過程中沒有中斷。 。Identifier與Sequence number：這些數字由發送方式生成，用來將響應與請求匹配在一起。 -Hex：“Decode”窗口最下方為“Hex窗格”，這里顯示的內容最直觀，但也難以理解。16進制。在這個窗格中，看到的就是出于傳輸狀態的原始ASCII格

18、式的數據。 -Matrix：Sniffer矩陣功能直觀地顯示網絡中各計算機之間的連接。但這里顯示的是固定數據，即曾經捕獲的數據，而在監視器中的Matrix是不斷變化的。 -Host Table：顯示出在捕獲過程中各計算機所傳輸的數據，可根據所傳輸數據多少按順序排列。例如，發現某段時間有計算機傳輸數據特別多，在Matrix中顯示大量并發連接，結論：可能在P2P下載。為了避免該用戶過多占用帶寬，管理員可終止該進程。（3）保存數據 捕獲后，為便于日后再次進行分析和比較，要保存下來。Filesave。步驟6：檢查網絡中使用QQ的用戶（1）創建過濾器，如QQ （2）切換到“Port”選項卡，在“Port

19、2”中輸入8000，Port1中為空，單擊“Dir.”下拉列表中選擇à選項，即只捕獲連接到8000端口的計算機。完成過濾器的創建。 （3）主窗口中，“Start”即可使用該過濾器捕獲網絡中的數據。打開“Matrix”查看當前活動鏈接，在左側顯示的就是本地局域網中的計算機地址，說明這些計算機在使用QQ。 （4）可能一臺主機由多個連接，說明同時運行多個QQ，可以查看到本地端口默認為4000端口，當多個QQ時，則可以使用4001、4002。 提示：如果QQ使用了UDP協議登陸，則使用4000、4001等端口。可以使用初始端口范圍來捕獲，如果采用TCP登陸，會使用隨機端口，無法捕獲。QQ也可能使用SOCKS或HTTP代理登陸，端口較多不固定，無法再通過端口來捕獲網絡中的QQ。步驟7：徹底解決IP地址盜用問題 首先使用ARP命令查看相關主機IP對應