[计算机]sniffer 入门.docVIP

1.1 简介假设现在是下午4点，你正坐在书桌旁，桌上摊开了3本书。你正在努力工作着，试图找出过去的8个小时中，你公司的文件服务器性能突然下降的原因。在你公司的200名用户中，有将近100人已经打电话到公司投诉，抱怨连接速度太慢，总是处于等待状态。你现在压力很大，因为今天公司的首席执行官（CEO）也打电话过来了。公司的主要文件服务器（NetWare 5服务器）在过去一年中一直运行得很顺利，没有出现过任何问题。你检查了系统控制器、CPU使用率和缓存，确定它们都在正常工作范围内。你甚至还更新并注册了查毒程序，然后运行，以确保没有病毒。你现在只得求助于所有你一年前收起来的参考书。你拂去书上的灰尘，开始了苦读，准备用整夜的时间来找出问题的所在。 如果能够很容易就找到问题所在就好了，就像打开台式机，运行一个应用程序来检查你的服务器与端口的连接。但是如果根据分析的结果，你发现可能是因为网卡太旧、设备震动或者错误操作所产生的问题，那么究竟是哪个影响了网络的连接呢？你甚至会惊讶地发现在你的内部网上，有些人“可能”正在向你的服务器发送“死亡之Ping”（Ping of Death），或者进行其他类型的拒绝式服务（Denial of Service，DoS）攻击。你怎样才能指出这些问题呢？非常简单，答案是——使用Network Associates公司的Sniffer Pro产品，这些就都可以实现了。 1.2 了解网络分析???? 信息的电子分发日益重要，系统间交换的数据的复杂程度也在以极快的速度增加。今天的计算机网络负载着各种数据、声音与影像传输。网络应用程序要求随时有效，不能够被中断或者堵塞。 随着公司内的信息系统的发展，人们开始使用越来越多的网络设备，导致网络系统覆盖了很多领域。要这样的网络系统尽可能有效地运行是很重要的，因为故障停机时间既令资源不够有效地使用，也会增加公司的开支。 网络分析是一种技术范畴，网络工程师与设计人员可以用它来研究网络的性质，包括可连接性、容量与性能。网络分析可以用来估计当前网络的容量，了解它的性能，或者为将来使用的应用程序及其版本更新做出规划。 进行网络分析最好的一种工具是网络分析程序，比如Sniffer Pro。网络分析程序是一种设备，它可以为你提供非常好的思路，允许你逐个数据包查看通过网络的实际数据，从而了解网络的实际情况。典型的网络分析程序能理解很多协议，这使它可以显示网络上主机间进行的会话。 网络分析程序通常提供下述能力： ? 捕获并解码网络上的数据 ? 分析具有专门的协议的网络活动 ? 生成并显示关于网络活动的统计结果 ? 进行网络能力的类型分析。 网络分析基本知识 你记得客户有多少次对你说网速太慢吗？或者程序设计人员说过多少次有网络问题？即使它并不是网络问题，但你怎样才能证明它不是呢？这就是网络分析涉及的内容了。 一个网络分析程序就是一个故障检修工具，可以用来发现并解决网络交流问题、规划网络容量，并进行网络优化。网络分析程序能捕获所有通过你的网络流量，并把它们翻译出来进行解码，还可以翻译正在使用的不同协议。解码后的数据以一种容易理解的格式显示。网络分析程序还可以只捕获与过滤器定义的选择标准相符的流量数据。这就使技术人员可以仅仅捕获与当前问题相关的数据。一个典型的网络分析程序可以在三个窗格中显示解码后的数据： ? 概要：显示一个帧所含最高级协议的概略性介绍，以及捕获时间、来源与目的地址。 ? 详细：提供帧中各层次的详细说明。 ?? Hex：以十六进制形式显示捕获的原始数据。 一个网络专家可以很容易地使用这类界面分析数据。图1.1中给出了一个三窗格显示的例子。 网络分析程序可以更深入地提供建立显示过滤器的功能，这样网络专家就可以很快发现他在找什么了。 高级的网络分析程序提供类型分析能力。这种特性允许网络分析程序查看上千个数据包，然后发现问题。网络分析程序还可以提供这些问题可能出现的原因，以及如何解决问题的线索。 图1.1 ?Sniffer Pro解码屏幕的三窗格显示 ? Sniffe Pro有一种众所周知的特性——高级功能，它可以分析网络中的帧，根据协议与标准的数据再进行比较，然后发现网络中的潜在问题。Sniffer Pro的高级功能还提供出问题的可能原因以及可能的解决方法。你将在第3章中“深入了解Sniffer Pro界面”中，了解这一功能的有关内容。 故障检修方法 成功检修故障的关键是要知道在正常情况下网络是如何进行工作的。这帮助网络专家迅速地发现不正常情况。使用网络故障检修策略，就可以系统地发现并解决问题，而且把对用户的影响降至最低。但不幸的是，有时甚至经验丰富的网络专家也没能掌握故障检修的基本概念，花几分钟来评估症状就可以在解决错误问题时节省好几个小时。 一种好的解决问题的方法包括以下步