活用sniffer軟件---體驗做網管的快感

2019-11-04 20:13:53

字體：大中小

來源：轉載

供稿：網友

一直都想寫一個sniffer的應用教程，上次和J_Lee合辦的那張CISCO貼里就保留了這一項，今天終于有空來做這件事情了。

sniffer軟件博大精，我之所窺也不過滄海一粟。因此這個教程僅僅是一個針對初學者的教程，但假如沒有一定的網絡基礎，這張貼恐怕仍然會讓你感到吃力。有愛好的朋友就跟我一起來玩~

現在很多時候我們都需要在交換環境下進行sniffer監控，因此這里就先從定義鏡像端口做起。為什么要先定義鏡像端口才能sniffer？這和交換機工作的原理有關。交換機的工作原理與HUB有很大的不同，HUB組建的網絡數據交換都是通過廣播方式進行的，而交換機組建的網絡是根據交換機內部的CAM表（暫且理解為MAC地址表）進行轉發的。也就是說前者可直接sniffer而后者不能直接sniffer。這時就要用到端口鏡像，端口鏡像的定義就是：“把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口，方便我們進行流量觀測或者故障定位”。

還是來做一個實驗吧，這樣理解起來快一些

假設某公司申請了一根10M的電信寬帶，忽然某一天下午，網速奇慢無比。公司里的員工怨聲不斷，強烈要求網絡恢復通暢，這時作為網絡治理者的你，需要馬上找出原因：

不同的設備做端口鏡像的方法不同，CISCO的玩意兒雖好但對大部份網絡愛好者來說太專業，做教程不一定合適。因此這里我選一款D-LINK的DES-3226S二層交換機為例，以WEB界面說明如何進行鏡像端口的配置（Mirroring Configurations）。

如圖：

活用sniffer軟件---體驗做網管的快感（圖一）
(點擊查看原圖)

進入DES-3226S二層可網管交換機

選擇login to make a setup，登陸后進入交換機主配置菜單并顯示基本信息:

活用sniffer軟件---體驗做網管的快感（圖二）
(點擊查看原圖)

　選擇下面的Advanced setup------Mirroring Configurations（鏡像配置）

活用sniffer軟件---體驗做網管的快感（圖三）
(點擊查看原圖)

mirror Status選項Enabled，然后將Port 1設置為鏡像端口，其余端口監聽模式點選為Both（即發送與接收的數據都同時監控），這樣交換機就把2號端口至24號端口的數據隨時隨地都COPY了一份給Port 1，然后我們在Port 1上進行監聽，Sniffer也就有了用武之地。

活用sniffer軟件---體驗做網管的快感（圖四）
(點擊查看原圖)

將網管電腦插入Port 1（鏡像端口），開啟Sniffer軟件，怎么樣？界面夠酷吧？左、右兩幅地圖很直觀的顯示了整個LAN內的數據流向。不管是右邊的“傳輸地圖”還是左邊的“主機列表”它們現在都是根據學習到的MAC地址進行流量標識的。

活用sniffer軟件---體驗做網管的快感（圖五）
(點擊查看原圖)

通過左邊的“主機列表餅圖”，你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E這兩臺主機的數據流量目前為止最多。

活用sniffer軟件---體驗做網管的快感（圖六）
(點擊查看原圖)

請出“局域網MAC地址掃描器”（也可以簡單的ARP -A或者利用下面講的ip選項），進行LAN內的MAC地址掃描,進一步知道了00-E0-4C-DD-2E-2E屬于192.168.123.117。而00-50-18-21-A5-F4這個地址屬于192.168.123.254（這個地址為網關出口）。這樣我們就可以知道是誰人把網速拖慢了！

活用sniffer軟件---體驗做網管的快感（圖七）

僅僅是知道是誰拖慢了網速還不夠，我們還要進一步知道此人到底是怎么把網速拖慢了的。還是在“傳輸地圖”里，看到下面MAC/IP/IPX三個選項了么？現在點IP選項，看出現了什么？不再是基于MAC地址的地圖了，已經切換成IP地址的傳輸地圖了。其中最粗的那根線：192.168.123.117=========221.10.135.114 說明了這家伙一直在和外網的一臺主機交換數據，很明顯他是在下載文件。

活用sniffer軟件---體驗做網管的快感（圖八）
(點擊查看原圖)

　再用“主機列表”中IP選項以餅圖查看：

發現192.168.123.117與221.10.135.114的通信流量竟然高達整個網絡流量的89.58%（44.20+45.38)！

活用sniffer軟件---體驗做網管的快感（圖九）
(點擊查看原圖)

　現在故障原因已經很明了，我們只需要對192.168.123.117這臺主機進行處理就可以恢復網絡的通暢。但在這之前，我們可以先利用sniffer監控一下整個網絡中都在傳些什么內容！點擊上面的菜單中：捕捉---定義過濾器----選擇“地址”子菜單；地址類型（協議）：IP；在下面的“位置1”和“位置2”中分別填入“任意的”、“任意的”，意思是對整個LAN內的主機進行監控，當然你也可以僅僅監控兩個地址的通信，比如前面所發現的192.168.123.117和221.10.135.114這兩臺主機,要注重雙向通信或者單向通信的選擇（鍵頭符號）。

活用sniffer軟件---體驗做網管的快感（圖十）
(點擊查看原圖)