活用sniffer軟件
一直都想寫一個sniffer的應用教程,上次和J_Lee合辦的那張CISCO貼裏就保留了這一項,今天終於有空來作這件事情了。
sniffer軟件博大精,我之所窺也不過滄海一粟。所以這個教程僅僅是一個針對初學者的教程,但若是沒有必定的網絡基礎,這張貼恐怕仍然會讓你感到吃力。有興趣的朋友就跟我一塊兒來玩~
如今不少時候咱們都須要在交換環境下進行sniffer監控,所以這裏就先從定義鏡像端口作起。爲何要先定義鏡像端口才能sniffer?這和交換機工做的原理有關。交換機的工做原理與HUB有很大的不一樣,HUB組建的網絡數據交換都是經過廣播方式進行的,而交換機組建的網絡是根據交換機內部的CAM表(暫且理解爲MAC地址表)進行轉發的。也就是說前者可直接sniffer然後者不能直接sniffer。這時就要用到端口鏡像,端口鏡像的定義就是:「把被鏡像端口的進出數據報文徹底拷貝一份到鏡像端口,方便咱們進行流量觀測或者故障定位」。
仍是來作一個實驗吧,這樣理解起來快一些
假設某公司申請了一根10M的電信寬帶,忽然某一天下午,網速奇慢無比。公司裏的員工怨聲不斷,強烈要求網絡恢復通暢,這時做爲網絡管理者的你,須要立刻找出緣由:
不一樣的設備作端口鏡像的方法不一樣,CISCO的玩意兒雖好但對大部份網絡愛好者來講太專業,作教程不必定合適。所以這裏我選一款D-LINK的DES-3226S二層交換機爲例,以WEB界面說明如何進行鏡像端口的配置(Mirroring Configurations)。
如圖:
sniffer軟件博大精,我之所窺也不過滄海一粟。所以這個教程僅僅是一個針對初學者的教程,但若是沒有必定的網絡基礎,這張貼恐怕仍然會讓你感到吃力。有興趣的朋友就跟我一塊兒來玩~
如今不少時候咱們都須要在交換環境下進行sniffer監控,所以這裏就先從定義鏡像端口作起。爲何要先定義鏡像端口才能sniffer?這和交換機工做的原理有關。交換機的工做原理與HUB有很大的不一樣,HUB組建的網絡數據交換都是經過廣播方式進行的,而交換機組建的網絡是根據交換機內部的CAM表(暫且理解爲MAC地址表)進行轉發的。也就是說前者可直接sniffer然後者不能直接sniffer。這時就要用到端口鏡像,端口鏡像的定義就是:「把被鏡像端口的進出數據報文徹底拷貝一份到鏡像端口,方便咱們進行流量觀測或者故障定位」。
仍是來作一個實驗吧,這樣理解起來快一些
假設某公司申請了一根10M的電信寬帶,忽然某一天下午,網速奇慢無比。公司裏的員工怨聲不斷,強烈要求網絡恢復通暢,這時做爲網絡管理者的你,須要立刻找出緣由:
不一樣的設備作端口鏡像的方法不一樣,CISCO的玩意兒雖好但對大部份網絡愛好者來講太專業,作教程不必定合適。所以這裏我選一款D-LINK的DES-3226S二層交換機爲例,以WEB界面說明如何進行鏡像端口的配置(Mirroring Configurations)。
如圖:
進入DES-3226S二層可網管交換機
選擇login to make a setup,登錄後進入交換機主配置菜單並顯示基本信息:
選擇下面的Advanced setup------Mirroring Configurations(鏡像配置)
mirror Status選項Enabled,而後將Port 1設置爲鏡像端口,其他端口監聽模式點選爲Both(即發送與接收的數據都同時監控),這樣交換機就把2號端口至24號端口的數據隨時隨地都COPY了一份給Port 1,而後咱們在Port 1上進行監聽,Sniffer也就有了用武之地。
將網管電腦插入Port 1(鏡像端口),開啓Sniffer軟件,怎麼樣?界面夠酷吧?左、右兩幅地圖很直觀的顯示了整個LAN內的數據流向。不論是右邊的「傳輸地圖」仍是左邊的「主機列表」它們如今都是根據學習到的MAC地址進行流量標識的。
經過左邊的「主機列表餅圖」,你能夠很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E這兩臺主機的數據流量目前爲止最多。
請出「局域網MAC地址掃描器」(也能夠簡單的ARP -A或者利用下面講的IP選項),進行LAN內的MAC地址掃描,進一步知道了00-E0-4C-DD-2E-2E屬於192.168.123.117。而00-50-18-21-A5-F4這個地址屬於192.168.123.254(這個地址爲網關出口)。這樣咱們就能夠知道是誰人把網速拖慢了!
僅僅是知道是誰拖慢了網速還不夠,咱們還要進一步知道此人究竟是怎麼把網速拖慢了的。仍是在「傳輸地圖」裏,看到下面MAC/IP/IPX三個選項了麼?如今點IP選項,看出現了什麼?再也不是基於MAC地址的地圖了,已經切換成IP地址的傳輸地圖了。其中最粗的那根線:192.168.123.117=========221.10.135.114 說明了這傢伙一直在和外網的一臺主機交換數據,很明顯他是在下載文件。
再用「主機列表」中IP選項以餅圖查看:
發現192.168.123.117與221.10.135.114的通訊流量居然高達整個網絡流量的89.58%(44.20+45.38)!
發現192.168.123.117與221.10.135.114的通訊流量居然高達整個網絡流量的89.58%(44.20+45.38)!
如今故障緣由已經很明瞭,咱們只須要對192.168.123.117這臺主機進行處理就能夠恢復網絡的通暢。但在這以前,咱們能夠先利用sniffer監控一下整個網絡中都在傳些什麼內容!點擊上面的菜單中:捕獲---定義過濾器----選擇「地址」子菜單;地址類型(協議):IP;在下面的「位置1」和「位置2」中分別填入「任意的」、「任意的」,意思是對整個LAN內的主機進行監控,固然你也能夠僅僅監控兩個地址的通訊,好比前面所發現的192.168.123.117和221.10.135.114這兩臺主機,要注意雙向通訊或者單向通訊的選擇(鍵頭符號)。
還能夠在「高級」裏選擇具體對哪些IP協議進行監控,若是你對TCP/IP協議熟悉,利用這個功能能夠快速獲得本身想要的數據。
譬如咱們抓到了192.168.123.139訪問外網主機211.91.135.26在80端口的一些數據包,說明這臺主機正在流瀏網頁。
甚至能夠進一步看對方在瀏覽遠程主機上哪一個目錄下面的網頁,看到那個rm文件的地址了麼?這說明他目前正在線收看一部電影或者一首歌曲(根據前面music目錄來推斷)。
sniffer的功能還遠不止這些,不過今天就到止爲止吧,end.
相關文章
- 1. Sniffer軟件簡介
- 2. Packet Sniffer 軟件ble 抓取
- 3. packet sniffer抓包軟件使用體驗
- 4. Packet Sniffer 協議棧分析軟件使用說明
- 5. 利用sniffer抓包軟件,分析IP頭的結構
- 6. S6系統激活、軟件升級和軟件授權激活
- 7. Sniffer使用教程
- 8. 使用sniffer抓包
- 9. cc2540 Packet Sniffer使用
- 10. SmartRF Packet Sniffer 使用
- 更多相關文章...
- • XSL-FO 軟件 - XSL-FO 教程
- • ASP 引用文件 - ASP 教程
- • Composer 安裝與使用
- • IntelliJ IDEA安裝代碼格式化插件
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
