一直都想寫一個sniffer的應用教程,上次和J_Lee合辦的那張CISCO貼里就保留了這一項,今天終于有空來做這件事情了。 選擇login to make a setup,登陸后進入交換機主配置菜單并顯示基本信息:
sniffer軟件博大精,我之所窺也不過滄海一粟。因此這個教程僅僅是一個針對初學者的教程,但如果沒有一定的網(wǎng)絡基礎,這張貼恐怕仍然會讓你感到吃力。有興趣的朋友就跟我一起來玩~
現(xiàn)在很多時候我們都需要在交換環(huán)境下進行sniffer監(jiān)控,因此這里就先從定義鏡像端口做起。為什么要先定義鏡像端口才能sniffer?這和交換機工作的原理有關(guān)。交換機的工作原理與HUB有很大的不同,HUB組建的網(wǎng)絡數(shù)據(jù)交換都是通過廣播方式進行的,而交換機組建的網(wǎng)絡是根據(jù)交換機內(nèi)部的CAM表(暫且理解為MAC地址表)進行轉(zhuǎn)發(fā)的。也就是說前者可直接sniffer而后者不能直接sniffer。這時就要用到端口鏡像,端口鏡像的定義就是:“把被鏡像端口的進出數(shù)據(jù)報文完全拷貝一份到鏡像端口,方便我們進行流量觀測或者故障定位”。
還是來做一個實驗吧,這樣理解起來快一些
假設某公司申請了一根10M的電信寬帶,突然某一天下午,網(wǎng)速奇慢無比。公司里的員工怨聲不斷,強烈要求網(wǎng)絡恢復通暢,這時作為網(wǎng)絡管理者的你,需要馬上找出原因:
不同的設備做端口鏡像的方法不同,CISCO的玩意兒雖好但對大部份網(wǎng)絡愛好者來說太專業(yè),做教程不一定合適。因此這里我選一款D-LINK的DES-3226S二層交換機為例,以WEB界面說明如何進行鏡像端口的配置(Mirroring Configurations)。
如圖:
進入DES-3226S二層可網(wǎng)管交換機
選擇下面的Advanced setup------Mirroring Configurations(鏡像配置)
mirror Status選項Enabled,然后將Port 1設置為鏡像端口,其余端口監(jiān)聽模式點選為Both(即發(fā)送與接收的數(shù)據(jù)都同時監(jiān)控),這樣交換機就把2號端口至24號端口的數(shù)據(jù)隨時隨地都COPY了一份給Port 1,然后我們在Port 1上進行監(jiān)聽,Sniffer也就有了用武之地。
將網(wǎng)管電腦插入Port 1(鏡像端口),開啟Sniffer軟件,怎么樣?界面夠酷吧?左、右兩幅地圖很直觀的顯示了整個LAN內(nèi)的數(shù)據(jù)流向。不管是右邊的“傳輸?shù)貓D”還是左邊的“主機列表”它們現(xiàn)在都是根據(jù)學習到的MAC地址進行流量標識的。
通過左邊的“主機列表餅圖”,你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E這兩臺主機的數(shù)據(jù)流量目前為止最多。
請出“局域網(wǎng)MAC地址掃描器”(也可以簡單的ARP -A或者利用下面講的IP選項),進行LAN內(nèi)的MAC地址掃描,進一步知道了00-E0-4C-DD-2E-2E屬于192.168.123.117。而00-50-18-21-A5-F4這個地址屬于192.168.123.254(這個地址為網(wǎng)關(guān)出口)。這樣我們就可以知道是誰人把網(wǎng)速拖慢了!
僅僅是知道是誰拖慢了網(wǎng)速還不夠,我們還要進一步知道此人到底是怎么把網(wǎng)速拖慢了的。還是在“傳輸?shù)貓D”里,看到下面MAC/IP/IPX三個選項了么?現(xiàn)在點IP選項,看出現(xiàn)了什么?不再是基于MAC地址的地圖了,已經(jīng)切換成IP地址的傳輸?shù)貓D了。其中最粗的那根線:192.168.123.117=========221.10.135.114 說明了這家伙一直在和外網(wǎng)的一臺主機交換數(shù)據(jù),很明顯他是在下載文件。
再用“主機列表”中IP選項以餅圖查看:
發(fā)現(xiàn)192.168.123.117與221.10.135.114的通信流量竟然高達整個網(wǎng)絡流量的89.58%(44.20+45.38)!
現(xiàn)在故障原因已經(jīng)很明了,我們只需要對192.168.123.117這臺主機進行處理就可以恢復網(wǎng)絡的通暢。但在這之前,我們可以先利用sniffer監(jiān)控一下整個網(wǎng)絡中都在傳些什么內(nèi)容!點擊上面的菜單中:捕獲---定義過濾器----選擇“地址”子菜單;地址類型(協(xié)議):IP;在下面的“位置1”和“位置2”中分別填入“任意的”、“任意的”,意思是對整個LAN內(nèi)的主機進行監(jiān)控,當然你也可以僅僅監(jiān)控兩個地址的通信,比如前面所發(fā)現(xiàn)的192.168.123.117和221.10.135.114這兩臺主機,要注意雙向通信或者單向通信的選擇(鍵頭符號)。
還可以在“高級”里選擇具體對哪些IP協(xié)議進行監(jiān)控,如果你對TCP/IP協(xié)議熟悉,利用這個功能可以快速得到自己想要的數(shù)據(jù)。
譬如我們抓到了192.168.123.139訪問外網(wǎng)主機211.91.135.26在80端口的一些數(shù)據(jù)包,說明這臺主機正在流瀏網(wǎng)頁。
甚至可以進一步看對方在瀏覽遠程主機上哪個目錄下面的網(wǎng)頁,看到那個rm文件的地址了么?這說明他目前正在線收看一部電影或者一首歌曲(根據(jù)前面music目錄來推斷)。
sniffer的功能還遠不止這些,不過今天就到止為止吧,end.
