Sniffer监控网络流量.docVIP

Sniffer 监控网络流量 步骤一：将交换机做镜像，或者将要监控的网络设备和监控主机设置在同一HUB中。 步骤二：Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：Sniffer Pro 安装大约占用70M左右的硬盘空间。安装完毕Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动程序（如图5）。安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。对于英文不好的管理员可以下载网上的汉化补丁。 图5 我们来启动Sniffer Pro。第一次启动Sniffer Pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：File-Select Settings-New名称自定义、选择所在网卡下拉菜单，点击确定即可。(如图6) 图6 这样我们就进入了Sniffer Pro的主界面。 步骤三：新手上路，查询网关流量下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。1．?扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。选择菜单栏中Tools-Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP- MAC对应关系。扫描完毕后，点击DataBase-Save Address Book 系统会自动保存对应关系，以备以后使用。(如图7) 图7 2.查看网关流量。点击Monitor-Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）(如图8) 图8 3.找到网关的IP地址-选择single station-bar (本例中网关IP为219.*.238.65) 图9 如图(9)所示：219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。 如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的-MAP按钮如图(10)所示,网关与内网间的所有流量都在这里动态的显示。 图10 需要注意的是：绿色线条状态为：正在通讯中暗蓝色线条状态为：通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。 其它主要功能：PIE：饼图的方式显示TOP 10的流量占用百分比。Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。 第四步：基于IP层流量1.为了进一步分析219.*.238.93的异常情况，我们切换至基于IP层的流量统计图中看看。点击菜单栏中的Monitor-Host Table，选择Host Table界面左下角的MAC-IP-IPX中的IP。 2.找到IP：219.*.238.93地址（可以用鼠标点击IP Addr排序，以方便查找）-选择single station-bar （如图11所示） 图11 3.我们切换至Traffic Map来看看它与所有IP的通信流量图。（图12） 图12 我们可以从219.*.238.93的通信图中看到，与它建立IP连接的情况。图中IP连接数目非常大，这对于普通应用终端来讲，显然不是一种正常的业务连接。我们猜测，该终端可能正在进行有关P2P类的操作，比如正在使用P2P类软件进行BT下载、或者正在观看P2P类在线视频等。 为了进一步的证明我们的猜测，我们去看看219.*.228.93的流量协议分布情况。 4.如图（13）所示：Protocol类型绝大部分为