1、嗅探器 百科名片嗅探器保護網絡嗅探器是一種監視網絡數據運行的軟件設備，協議分析器既能用于合法網絡管理也能用于竊取網絡信息。網絡運作和維護都可以采用協議分析器：如監視網絡流量、分析數據包、監視網絡資源利用、執行網絡安全操作規則、鑒定分析網絡數據以及診斷并修復網絡問題等等。非法嗅探器嚴重威脅網絡安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所以網絡黑客常將它作為攻擊武器。目錄簡介 網絡技術與設備簡介 網絡監聽原理 Snifffer的分類 網絡監聽的目的編輯本段簡介嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network As

2、sociates 決定另開辟一個嗅探器產品單元，該單元組成一家私有企業并重新命名為 Network General，如今嗅探器已成為 Network General 公司的一種特征產品商標，由于專業人士的普遍使用，嗅探器廣泛應用于所有能夠捕獲和分析網絡流量的產品。 編輯本段網絡技術與設備簡介在講述Sniffer的概念之前，首先需要講述局域網設備的一些基本概念。 數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機

3、器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，存在安全方面的問題。 1 / 17每一個在局域網（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。 在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處于混雜模式（關于混雜模式的概念會在后面解釋），那么它就可以捕獲網絡上所有的數據包和

4、幀。 編輯本段網絡監聽原理Sniffor程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。 普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收并處理這種方式的信息，系統需要支持 BPF，Linux下需要支持SOCKET-PACKET。但一般情況下，網絡硬件和TCPIP堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的TCPIP堆棧，網卡就必須設置為混雜模式。一般情況下，要激活這種方式，內核必須支持這種偽

5、設備BPFilter，而且需要root權限來運行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統，那么不可能嗅探到root的密碼，因為不能運行Sniffer。 基于Sniffer這樣的模式，可以分析各種信息包并描述出網絡的結構和使用的機器，由于它接收任何一個在同一網段上傳輸的數據包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰果的方法，用來奪取其他主機的控制權。 編輯本段Snifffer的分類Sniffer分為軟件和硬件兩種，軟件的Sniffer有NetXray、Packetboy、Net Monitor、

6、Sniffer Pro、WireShark、WinNetCap等，其優點是物美價廉，易于學習使用，同時也易于交流；缺點是無法抓取網絡上所有的傳輸，某些情況下也就無法真正了解網絡的故障和運行情況。硬件的Sniffer通常稱為協議分析儀，一般都是商業性的，價格也比較貴。 實際上本章所講的Sniffer指的是軟件。它把包抓取下來，然后打開并查看其中的內容，可以得到密碼等。Sniffer只能抓取一個物理網段內的包，就是說，你和監聽的目標中間不能有路由或其他屏蔽廣播包的設備，這一點很重要。所以，對一般撥號上網的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內容的。 編輯本段網絡監聽的目的當一個

7、黑客成功地攻陷了一臺主機，并拿到了root權限，而且還想利用這臺主機去攻擊同一網段上的其他主機時，他就會在這臺主機上安裝Sniffer軟件，對以太網設備上傳送的數據包進行偵聽，從而發現感興趣的包。如果發現符合條件的包，就把它存到一個LOG文件中去。通常設置的這些條件是包含字“username”或“password”的包，這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺主機的密碼，他就會立刻進入這臺主機。 如果Sniffer運行在路由器上或有路由功能的主機上，就能對大量的數據進行監控，因為所有進出網絡的數據包都要經過路由器。 Sniffer屬于第M層次的攻擊。就是說，只有在攻擊

8、者已經進入了目標系統的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。 Sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個重要的信息、在網上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網上傳送的數據包。 Sniffer是一種比較復雜的攻擊手段，一般只有黑客老手才有能力使用它，而對于一個網絡新手來說，即使在一臺主機上成功地編譯并運行了 Sniffer，一般也不會得到什么有用的信息，因為通常網絡上的信息流量是相當大的，如果不加選擇地接收所有的包，然后從中找到所需要的信息非常困難；而且，如果長時間進行監聽，還有可能把放置Sniffer的機器的硬盤撐爆下

9、文將詳細介紹Sniffer的原理和應用。 Sniffer 原理 網絡技術與設備簡介在講述Sniffer的概念之前，首先需要講述局域網設備的一些基本概念。 數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。 每一個在局域網（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器

10、（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。 如果使用Hub/即基于共享網絡的情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處于混雜模式（關于混雜模式的概念會在后面解釋），那么它就可以捕獲網絡上所有的數據包和幀。 但是現代網絡常常采用交換機作為網絡連接設備樞紐，在通常情況下，交換機不會讓網絡中每一臺主機偵聽到其他主機的通訊，因此Sniffer技術在這時必須結合網絡端口鏡像技術進行配合。而衍生的

11、安全技術則通過ARP欺騙來變相達到交換網絡中的偵聽。 網絡監聽原理Sniffer程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。 普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收并處理這種方式的信息，系統需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情況下，網絡硬件和TCPIP堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的TCPIP堆棧，網卡就必須設置為我們剛開始講的混雜

12、模式。一般情況下，要激活這種方式，內核必須支持這種偽設備Bpfilter，而且需要root權限來運行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統，那么不可能嗅探到root的密碼，因此不能運行Sniffer。 也有基于無線網絡、廣域網絡(DDN, FR)甚至光網絡(POS、Fiber Channel)的監聽技術，這時候略微不同于以太網絡上的捕獲概念，其中通常會引入TAP (測試介入點)這類的硬件設備來進行數據采集。 編輯本段分類Sniffer分為軟件和硬件兩種，軟件的Sniffer有 Sniffer Pro、Network Monitor、PacketBo

13、ne等，其優點是易于安裝部署，易于學習使用，同時也易于交流；缺點是無法抓取網絡上所有的傳輸，某些情況下也就無法真正了解網絡的故障和運行情況。硬件的Sniffer通常稱為協議分析儀，一般都是商業性的，價格也比較昂貴，但會具備支持各類擴展的鏈路捕獲能力以及高性能的數據實時捕獲分析的功能。 基于以太網絡嗅探的Sniffer只能抓取一個物理網段內的包，就是說，你和監聽的目標中間不能有路由或其他屏蔽廣播包的設備，這一點很重要。所以，對一般撥號上網的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內容的。 編輯本段網絡監聽的目的當一個黑客成功地攻陷了一臺主機，并拿到了root權限，而且還想利用這臺

14、主機去攻擊同一（物理）網段上的其他主機時，他就會在這臺主機上安裝Sniffer軟件，對以太網設備上傳送的數據包進行偵聽，從而發現感興趣的包。如果發現符合條件的包，就把它存到一個LOg文件中去。通常設置的這些條件是包含字“username”或“password”的包，這樣的包里面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某臺主機的密碼，他就會立刻進入這臺主機。 如果Sniffer運行在路由器上或有路由功能的主機上，就能對大量的數據進行監控，因為所有進出網絡的數據包都要經過路由器。 Sniffer屬于第M層次的攻擊。就是說，只有在攻擊者已經進入了目標系統的情況下，才能使用Sniffer這種

15、攻擊手段，以便得到更多的信息。 Sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個重要的信息、在網上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網上傳送的數據包。 編輯本段產品介紹網絡的安全性和高可用性是建立在有效的網絡管理基礎之上的,網絡管理包括配置管理、故障管理、性能管理、安全管理和計費管理五大部分。對于企業計算機網絡來說，網絡故障管理主要側重于實時的監控，而網絡性能管理更看中歷史分析。 Sniffer網絡分析儀是一個網絡故障、性能和安全管理的有力工具，它能夠自動地幫助網絡專業人員維護網絡，查找故障，極大地簡化了發現和解決網絡問題的過程，廣泛適用于Ether

16、net、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等網絡。網絡安全· 網絡安全的保障與維護 1. 對異常的網絡攻擊的實時發現與告警； 2. 對高速網絡的捕獲與偵聽； 3. 全面分析與解碼網絡傳輸的內容； · 面向網絡鏈路運行情況的監測 1. 各種網絡鏈路的運行情況； 2. 各種網絡鏈路的流量及阻塞情況； 3. 網上各種協議的使用情況； 4. 網絡協議自動發現； 5. 網絡故障監測； · 面向網絡上應用情況的監測 1. 任意網段應用流量、流向；

17、2. 任意服務器應用流量、流向； 3. 任意工作站應用流量、流向； 4. 典型應用程序響應時間； 5. 不同網絡協議所占帶寬比例； 6. 不同應用流量、流向的分布情況及拓撲結構； · 強大的協議解碼能力，用于對網絡流量的深入解析 1. 對各種現有網絡協議進行解碼； 2. 對各種應用層協議進行解碼； 3. Sniffer協議開發包（PDK）可以讓用戶簡單方便地增加用戶自定義的協議； · 網絡管理、故障報警及恢復 運用強大的專家分析系統幫助維護人員在最短時間內排除網絡故障； 根據用戶習慣，Sniffer可提供實時數據或圖表方式顯示統計結果，統計內容包括： l 網絡統計：如當前和

18、平均網絡利用率、總的和當前的幀數及字節數、總站數和激活的站數、協議類型、當前和總的平均幀長等。 協議統計：如協議的網絡利用率、協議的數、協議的字節數以及每種協議中各種不同類型的幀的統計等。l 差錯統計：如錯誤的CRC校驗數、發生的碰撞數、錯誤幀數等。l 站統計：如接收和發送的幀數、開始時間、停止時間、消耗時間、站狀態等。最多可統計1024個站。l 幀長統計：如某一幀長的幀所占百分比，某一幀長的幀數等。l 當某些指標超過規定的閾值時，Sniffer可以自動顯示或采用有聲形式的告警。 Sniffer可根據網絡管理者的要求，自動將統計結果生成多種統計報告格式，并可存盤或打印輸出。 1.3 Sniff

19、er實時專家分析系統 高度復雜的網絡協議分析工具能夠監視并捕獲所有網絡上的信息數據包，并同時建立一個特有網絡環境下的目標知識庫。智能的專家技術掃描這些信息以檢測網絡異常現象，并自動對每種異常現象進行歸類。所有異常現象被歸為兩類：一類是symptom（故障征兆提示，非關鍵事件例如單一文件的再傳送），另一類是diagnosis（已發現故障的診斷，重復出現的事件或要求立刻采取行動的致命錯誤）。經過問題分離、分析且歸類后，Sniffer將實時地，自動發出一份警告、對問題進行解釋并提出相應的建議解決方案。 Sniffer與其他網絡協議分析儀最大的差別在于它的人工智能專家系統(Expert System)

20、。簡單地說，Sniffer能自動實時監視網絡，捕捉數據，識別網絡配置，自動發現網絡故障并進行告警，它能指出： 網絡故障發生的位置，以及出現在OSI第幾層。l 網絡故障的性質，產生故障的可能的原因以及為解決故障建議采取的行動。l Sniffer 還提供了專家配制功能，用戶可以自已設定專家系統判斷故障發生的觸發條件。l l 有了專家系統，您無需知道那些數據包構成網絡問題，也不必熟悉網絡協議，更不用去了解這些數據包的內容，便能輕松解決問題。 編輯本段OSI全協議七層解碼Sniffer的軟件非常豐富，可以對在各種網絡上運行的400多種協議進行解碼，如TCP/IP、Novell Netware、DECn

21、et、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網絡互聯橋/路由器的幀格式。 Sniffer可以在全部七層OSI協議上進行解碼，目前沒有任何一個系統可以做到對協議有如此透徹的分析；它采用分層方式，從最低層開始，一直到第七層，甚至對Oracle數據庫、SYBASE數據庫都可以進行協議分析；每一層用不同的顏色加以區別。 Sniffer對每一層都提供了Summary(解碼主要

22、規程要素)、Detail(解碼全部規程要素)、Hex(十六進制碼)等幾種解碼窗口。在同一時間，最多可以打開六個觀察窗口。 Sniffer還可以進行強制解碼功能(Protocl Forcing)，如果網絡上運行的是非標準協議，可以使用一個現有標準協議樣板去嘗試解釋捕獲的數據。 Sniffer提供了在線實時解碼分析和在線捕捉，將捕捉的數據存盤后進行解碼分析二種功能。 編輯本段Sniffer的商業應用Sniffer被 Network General公司注冊為商標，這家公司以出品Sniffer Pro系列產品而知名。目前最新版本為Sniffer Portable 4.9，這類產品通過網絡嗅探這一技術方

23、式，對數據協議進行捕獲和解析，能夠大大幫助故障診斷和網絡應用性能的分析鑒別。 Network General 已經被NetScout公司收購。 編輯本段Sniffer的擴展應用1、專用領域的Sniffer Sniffer被廣泛應用到各種專業領域，例如FIX (金融信息交換協議)、MultiCast(組播協議)、3G (第三代移動通訊技術)的分析系統。其可以解析這些專用協議數據，獲得完整的解碼分析。 2、長期存儲的Sniffer應用 由于現代網絡數據量驚人，帶寬越來越大。采用傳統方式的Sniffer產品很難適應這類環境，因此誕生了伴隨有大量硬盤存儲空間的長期記錄設備。例如nGenius Infi

24、nistream等。 3、易于使用的Sniffer輔助系統 由于協議解碼這類的應用曲高和寡，很少有人能夠很好的理解各類協議。但捕獲下來的數據卻非常有價值。因此在現代意義上非常流行如何把協議數據采用最好的方式進行展示，包括產生了可以把Sniffer數據轉換成Excel的BoneLight類型的應用和把Sniffer分析數據進行圖形化的開源系統PacketMap等。這類應用使用戶能夠更簡明地理解Sniffer數據。 4、無線網絡的Sniffer 傳統Sniffer是針對有線網絡中的局域網而言，所有的捕獲原理也是基于CSMA/CD的技術實現。隨著WLAN的廣泛使用，Sniffer進一步擴展到802.

25、11A/B/G/N的無線網絡分析能力。無線網絡相比傳統網絡無論從捕獲的原理和接入的方式都發生了較大改變。這也是Sniffer技術發展趨勢中非常重要的部分. 編輯本段用Sniffer監控網絡流量隨著互聯網多層次性、多樣性的發展，網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用，擴展成為運行大量在線游戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和復雜性，因此，這些應用對我們的網絡服務質量要求更為嚴格和苛刻。 目前，大多數網吧的網絡設備不具備高端網絡設備的智能性、交互性等擴展性能，當網吧出現掉線、網絡卡、遭受內部病毒攻擊、流量超限等情況時，很多網絡管理員顯的心有于而力不足

26、。畢竟，靠網絡管理員的經驗和一些簡單傳統的排查方法：無論從時間上面還是準確性上面都存在很大的誤差，同時也影響了工作效率和正常業務的運行。 Sniffer Pro 著名網絡協議分析軟件。本文利用其強大的流量圖文系統Host Table來實時監控網絡流量。在監控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實上，很多網吧管理員都有過相關監控網絡經驗：在網絡出現問題、或者探查網絡情況時，使用P2P終結者、網絡執法官等網絡監控軟件。這樣的軟件有一個很大優點：不要配置端口鏡像就可以進行流量查詢（其實sniffer pro也可以變通的工作在這樣的環境下）。這種看起來很快捷的方法，仍然存

27、在很多弊端：由于其工作原理利用ARP地址表，對地址表進行欺騙，因此可能會衍生出很多節外生枝的問題，如掉線、網絡變慢、ARP廣播巨增等。這對于要求正常的網絡來說，是不可思議的。 在這里，我們將通過軟件解決方案來完成以往只有通過更換高級設備才能解決的網絡解決方案，這對于很多管理員來說，將是個夢寐以求的時刻。 硬件環境（網吧）： 100M網絡環境下，92臺終端數量，主交換采用D-LINK（友訊）DES-3226S二層交換機(支持端口鏡像功能)，級聯普通傻瓜型交換機。光纖10M接入，華為2620做為接入網關。 軟件環境： 操作系統Windows2003 Server企業標準版（Sniffer Pro4

28、.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI協議分析軟件-Sniffer Portable 4.75（本文選用網絡上較容易下載到的版本做為測試） 環境要求： 1、如果需要監控全網流量，安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機，網卡接入端需要位于主交換鏡像端口位置。（監控所有流經此網卡的數據） 2、Snffier pro 475僅支持10M、100M、10/100M網卡，對于千M網卡，請安裝SP5補丁，或4.8及更高的版本 監控目的：通過Sniffer Pro實時監控，及時發現網絡環境中

29、的故障（例如病毒、攻擊、流量超限等非正常行為）。對于很多企業、網吧網絡環境中，網關（路由、代理等）自身不具備流量監控、查詢功能，本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括：網內任意終端流量實時查詢、網內終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時，我們將數據包捕獲后，通過Sniffer Pro的專家分析系統幫助我們更進一步分析數據包，以助更好的分析、解決網絡異常問題。 步驟一：配置交換機端口鏡像（Mirroring Configurations） 以DES-3226S二層交換機為例，我們來通過WEB方式配置端口鏡像（也可用CLI命令行模式配置）。

30、如果您的設備不支持WEB方式配置，請參考相關用戶手冊。 1.DES-3226S默認登陸IP為：0 因此，需要您配置本機IP為相同網段才可通過瀏覽器訪問WEB界面。 2.使用鼠標點擊上方紅色字體：“Login”,如果您是第一次配置，輸入默認用戶名稱、密碼:admin 自動登陸管理主界面。 3.如圖（2）所示，主界面上方以圖形方式模擬交換機界面，其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。    圖1   圖24.如圖（3）：鼠標點擊左下方菜單中的advanced setup->Mirroring Confi

31、gurations （高級配置鏡像配置） 5.將Mirror Status 選擇為Enable（默認為關閉狀態，開啟），本例中將Port-1端口設置為監聽端口:Target Port=Port-1，其余端口選擇為Both，既：監聽雙向數據（Rx接收 Tx發送），選擇完畢后，點擊Apply應用設置。 此時所有的端口數據都將復制一份到Port-1。（如圖4）    圖3   圖4接下來，我們就可以在Port-1端口，接入計算機并安裝配置Sniffer Pro。 步驟二：Sniffer Pro 安裝、啟動、配置 Sniffer Pro 安裝過程與其它應用軟件沒

32、有什么太大的區別，在安裝過程中需要注意的是： Sniffer Pro 安裝大約占用70M左右的硬盤空間。 安裝完畢Sniffer Pro后，會自動在網卡上加載Sniffer Pro 特殊的驅動程序（如圖5）。 安裝的最后將提示填入相關信息及序列號，正確填寫完畢，安裝程序需要重新啟動計算機。 對于英文不好的管理員可以下載網上的漢化補丁。 我們來啟動Sniffer Pro。第一次啟動Sniffer Pro時,需要選擇程序從那一個網絡適配器接收數據，我們指定位于端口鏡像所在位置的網卡。 具體位于：File->Select Settings->New 名稱自定義、選擇所在網卡下拉菜單，點擊

33、確定即可。(如圖6)    圖5   圖6這樣我們就進入了Sniffer Pro的主界面。 步驟三：新手上路，查詢網關流量 下面以圖文的方式介紹，如何查詢網關（路由、代理：219.*.238.65）流量，這也是最為常用、重要的查詢之一。 1 掃描IP-MAC對應關系。這樣做是為了在查詢流量時，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。 選擇菜單欄中Tools->Address Book 點擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.

34、159點擊OK，系統會自動掃描IP-MAC對應關系。掃描完畢后，點擊DataBase->Save Address Book 系統會自動保存對應關系，以備以后使用。(如圖7) 2.查看網關流量。點擊Monitor->Host Table，選擇Host table界面左下角的MAC-IP-IPX中的MAC。（為什么選擇MAC？在網絡中，所有終端的對外數據，例如使用QQ、瀏覽網站、上傳、下載等行為，都是各終端與網關在數據鏈路層中進行的）(如圖8)    圖7   圖83.找到網關的IP地址->選擇single station->bar

35、(本例中網關IP為219.*.238.65) 如圖(9)所示： 219.*.238.65（網關）流量TOP-10 此圖為實時流量圖。在此之前如果我們沒有做掃描IP（Address Book）的工作，右邊將會以網卡物理地址-MAC地址的方式顯示，現在轉換為IP地址形式（或計算機名），現在很容易定位終端所在位置。流量以3D柱形圖的方式動態顯示，其中最左邊綠色柱形圖與網關流量最大，其它依次減小。本圖中219.*.238.93與網關流量最大，且與其它終端流量差距懸殊，如果這個時候網絡出現問題，可以重點檢查此IP是否有大流量相關的操作。 如果要查看219.*.238.65（網關）與內部所有流量通信圖，我

36、們可以點擊左邊菜單中，排列第一位的->MAP按鈕 如圖(10)所示,網關與內網間的所有流量都在這里動態的顯示。    圖9   圖10需要注意的是： 綠色線條狀態為：正在通訊中 暗藍色線條狀態為：通信中斷 線條的粗細與流量的大小成正比 如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小（包括接收、發送）、并自動計算流量占當前網絡的百分比。 其它主要功能： PIE：餅圖的方式顯示TOP 10的流量占用百分比。 Detail：將Protocol(協議類型)、From Host（原主機）、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。 第四步：基于IP層流量 1.為了進一步分析219.*.238.93的異常情況，我們切換至基于IP層的流量統計圖中看看。 點擊菜單欄中的Monitor->Host Table，選擇Host Table界面左下角的MAC-IP-IPX中的IP。 2.找到IP：219.*.238.93地址（可以用鼠標點擊IP Addr排序，以方便查找）->選擇single station->bar （如圖11所示） 3.我們