亚洲欧美国产精品专区久久,国产一区美女,国模一区二区三区

一直都想寫一個sniffer的應用教程，上次和J_Lee合辦的那張CISCO貼里就保留了這一項，今天終于有空來做這件事情了。
sniffer軟件博大精，我之所窺也不過滄海一粟。因此這個教程僅僅是一個針對初學者的教程，但如果沒有一定的網絡基礎，這張貼恐怕仍然會讓你感到吃力。有興趣的朋友就跟我一起來玩~
現在很多時候我們都需要在交換環境下進行sniffer監控，因此這里就先從定義鏡像端口做起。為什么要先定義鏡像端口才能sniffer？這和交換機工作的原理有關。交換機的工作原理與HUB有很大的不同，HUB組建的網絡數據交換都是通過廣播方式進行的，而交換機組建的網絡是根據交換機內部的CAM表（暫且理解為MAC地址表）進行轉發的。也就是說前者可直接sniffer而后者不能直接sniffer。這時就要用到端口鏡像，端口鏡像的定義就是：“把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口，方便我們進行流量觀測或者故障定位”。
還是來做一個實驗吧，這樣理解起來快一些
假設某公司申請了一根10M的電信寬帶，突然某一天下午，網速奇慢無比。公司里的員工怨聲不斷，強烈要求網絡恢復通暢，這時作為網絡管理者的你，需要馬上找出原因：
不同的設備做端口鏡像的方法不同，CISCO的玩意兒雖好但對大部份網絡愛好者來說太專業，做教程不一定合適。因此這里我選一款D-LINK的DES-3226S二層交換機為例，以WEB界面說明如何進行鏡像端口的配置（Mirroring Configurations）。
如圖：

進入DES-3226S二層可網管交換機

選擇login to make a setup，登陸后進入交換機主配置菜單并顯示基本信息:

　選擇下面的Advanced setup------Mirroring Configurations（鏡像配置）

mirror Status選項Enabled，然后將Port 1設置為鏡像端口，其余端口監聽模式點選為Both（即發送與接收的數據都同時監控），這樣交換機就把2號端口至24號端口的數據隨時隨地都COPY了一份給Port 1，然后我們在Port 1上進行監聽，Sniffer也就有了用武之地。

將網管電腦插入Port 1（鏡像端口），開啟Sniffer軟件，怎么樣？界面夠酷吧？左、右兩幅地圖很直觀的顯示了整個LAN內的數據流向。不管是右邊的“傳輸地圖”還是左邊的“主機列表”它們現在都是根據學習到的MAC地址進行流量標識的。

通過左邊的“主機列表餅圖”，你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E這兩臺主機的數據流量目前為止最多。

請出“局域網MAC地址掃描器”（也可以簡單的ARP -A或者利用下面講的IP選項），進行LAN內的MAC地址掃描,進一步知道了00-E0-4C-DD-2E-2E屬于192.168.123.117。而00-50-18-21-A5-F4這個地址屬于192.168.123.254（這個地址為網關出口）。這樣我們就可以知道是誰人把網速拖慢了！

僅僅是知道是誰拖慢了網速還不夠，我們還要進一步知道此人到底是怎么把網速拖慢了的。還是在“傳輸地圖”里，看到下面MAC/IP/IPX三個選項了么？現在點IP選項，看出現了什么？不再是基于MAC地址的地圖了，已經切換成IP地址的傳輸地圖了。其中最粗的那根線：192.168.123.117=========221.10.135.114 說明了這家伙一直在和外網的一臺主機交換數據，很明顯他是在下載文件。

　再用“主機列表”中IP選項以餅圖查看：
發現192.168.123.117與221.10.135.114的通信流量竟然高達整個網絡流量的89.58%（44.20+45.38)！

　現在故障原因已經很明了，我們只需要對192.168.123.117這臺主機進行處理就可以恢復網絡的通暢。但在這之前，我們可以先利用sniffer監控一下整個網絡中都在傳些什么內容！點擊上面的菜單中：捕獲---定義過濾器----選擇“地址”子菜單；地址類型（協議）：IP；在下面的“位置1”和“位置2”中分別填入“任意的”、“任意的”，意思是對整個LAN內的主機進行監控，當然你也可以僅僅監控兩個地址的通信，比如前面所發現的192.168.123.117和221.10.135.114這兩臺主機,要注意雙向通信或者單向通信的選擇（鍵頭符號）。