Sniffer--會「抓毒」的網絡分析儀

形成網絡宕機的緣由不少，而網絡流量問題是其中最爲常見的故障，也是最主要的緣由。所以，如何可以快速、準確診斷出形成網絡流量問題的緣由，是確保網絡高可用性的重要保證。美國網絡聯盟（NAI）的主打產品之一 Sniffer目前已成爲企業首選的網絡故障和性能 管理的工具系列，它可以自動地幫助網絡 管理人員維護網絡、查找故障，有效簡化了發現及解決網絡問題的過程。

在去年年初，國家 安全試點項目863計劃S219項目中，做爲試點單位的農行上海分行就選擇了 Sniffer。由於，一旦發生 安全問題，網絡流量一般也會發生異常，經過網絡流量 分析圖，能夠幫助用戶及時找出引起異常流量的癥結所在。

　　在CodeRedⅡ肆虐的時候， Sniffer就曾經神奇地配合用戶及時地發現了問題。這個用戶是國內某大型企業，其網絡主幹爲 ATM網，在去年8月，其網絡性能忽然急劇降低，致使企業的網上應用所有陷於癱瘓。可是網管人員沒法肯定引發網絡癱瘓的緣由，導致整個網絡連最基本的鏈接也沒法恢復。這時候，他們請來了 Sniffer的工程師。工程師首先利用Dashboard功能，對網絡的總體流量情況進行監控（如圖所示），發現該用戶的總體網絡帶寬佔用率並不高，只有10%左右，網絡中的絕對流量也不大，但網絡中的數據包卻很是多，甚至超過了 Sniffer的缺省定義警惕值。從數值 分析中他發現，這些數據包中數目最多的是64個字節如下的小數據包，所以，工程師初步判定，這些太多的小數據包多是引發網絡癱瘓的主要緣由。爲了肯定究竟是哪些計算機在生成這些數據包，技術人員又調用了 Sniffer的另一個流量監控功能HostTable，在監控中，他很快發現了用戶網絡中發包最多的計算機的網絡流量都有一個共同特色，即他們收到的數據包很是少，有的甚至爲零。可是，這些計算機卻在拼命地發數據包，很不正常，而這也正是當時爆發的CodeRedⅡ病毒的特徵，由於感染了CodeRed病毒的計算機會往網絡中發送大量的數據包，最終致使網絡的癱瘓。由此，工程師已經十分肯定，形成這個用戶網絡的癱瘓緣由就是因爲那些感染了CodeRed病毒的計算機引發的。

　　爲了進一步肯定CodeRed病毒的特徵，工程師又用 Sniffer的Capture功能進行了抓包，並將數據包進行解碼 分析，發現CodeRed就是經過發送特定的HttpGet請求，利用微軟IIS的漏洞進行傳播的，這些請求在傳播過程當中產生大量的數據包，使得網絡路由器和交換機陷於癱瘓。

目前，「會抓毒」的 Sniffer不只可以面向局域網和廣域網，同時還支持無線局域網和移動通訊的網絡監視和故障解決。它具備便攜式、分佈式、光網絡、無線網絡等多種形式，採起軟硬件相結合，以便於用戶使用。

　　今年5月，美國網絡聯盟又和ISS達成一個全面合做 協議，它將把ISS的RealSecure***檢測技術與 Sniffer先進的網絡故障隔離和性能 管理技術相結合，在網絡 管理系統中提供一流的網絡***檢測方案，這種產品預計陸續在今年年末和明年推出 本文出自 51CTO.COM技術博客