《网络管理》课程实验报告五五、实验步骤、过程和结果步骤1：Sniffer的安装Sniffer通常安装在内部网络和外部网络之间（如代理服务器），也可安装在局域网内任何一台计算机上，但此时只能对局域网内部通信进行分析。

如果使用交换机或路由器方式接入Internet，可以在网络设备上配置端口镜像，并将网络设备的出口设置为目的端口，然后将安装Sniffer的计算机连接到该端口，即可对整个网络的监控。

步骤2：sniffer界面与配置网络适配器启动Sniffer，选择要监控的网卡。

为了使Sniffer能够监控多个不同的网络，可以设置多个代理。

选择New。

主界面仪表板主机列表协议列表流量列表网络连接配置步骤3：Sniffer的监控功能可以查看当前网络中的数据传输情况。

●Dashboard（仪表）：主窗口中，“Monitor”—“Dashboard”。

显示有三个盘：（1）Utilization%（利用百分比）：使用传输与端口能处理的最大带宽的比值来表示网络占用带宽的百分比。

利用率达到40%就已经相当高了。

（2）Packets/s（每秒传输的数据包）：显示网络中当前数据包的传输速率。

如果网络利用率高，但速率低，说明网络上的帧比较大。

（3）Error/s（每秒错误率）：显示当前网络中的出错率。

--------每个仪表盘下方都会显示两个数值，前一个数值表示当前值，后一个数值表示最大值。

--------如果想查看详细的传输数据，可单击仪表盘下方“Detail”（详细）按钮。

如图所示。

●Host Table（主机列表）：列表形式显示当前网络上计算机的流量信息。

选择“Monitor”—“Host Table”选项，如图。

（1）Hw Addr（硬件地址）：以MAC地址形式显示计算机。

（2）In Pkts（传入数据包）：网络上发送到此主机的数据包。

（3）Out Pkts（传出数据包）：本地主机发送到网络上的数据包（4）In Bytes（传入字节数）：网络上发送到此主机的字节数（5）Out Bytes（传出字节数）：本地主机发送到网络上的字节数---------提示：通过主机列表功能，可以查看某台计算机所传输的数据量。

如果发现某台计算机在某个时间段内发送或接收了大量的数据，例如某个用户一天内就传输了数GB的数据，则说明该用户很可能在使用BT、PPLive等P2P软件。

●Matrix（矩阵）Sniffer最常用功能之一，选择“Monitor”—“Matrix”。

显示了当前所捕获的网络中各计算机的连接情况。

单击窗口下方的”IP”标签，可以以IP地址方式显示各主机。

在窗口空白处单击鼠标右键，在快捷键中选择“Zoom”选项，可以放大显示比例。

右键单击要查看的主机IP地址，快捷键中选择“Show Select Nodes”，可以查看与那些地址连接，鼠标放在线上，可以查看流量。

提示：通过Matrix功能，管理员可以发现网络中使用BT等P2P软件或中了蠕虫病毒的用户。

如果某个用户的并发连接数特别多，并且不断地向其他计算机发送数据，这就说明该计算机可能中了蠕虫病毒。

此时，网络管理员应及时封掉该计算机所连接的交换机端口，并对该计算机查杀病毒。

●ART（Application Response Time，应用响应时间）Sniffer的ART主要用来显示网络中Web网站的连接情况，可以看到局域网中哪些计算机正在上网，浏览的是哪些网站。

●Protocol Distribution（协议分类）选择“Monitor”—“Protocol Distribution”，以不同颜色的柱形显示网络中不同协议使用情况。

●History Sample（历史采样）Sniffer的历史采样功能记录了捕获过程中各个时间段的网络利用情况。

选择“Monitor”—“History Samples”，双击“Packets/s”。

Sniffer开始记录每秒所发送的数据包数量，并且每隔15秒便记录一次，以柱形方式显示。

也可以保存记录结果。

●Global Statistics（球状统计）Sniffer的球状统计功能用来显示不同大小数据包的使用情况。

选择“Monitor”—“Global Statistics”。

步骤4：创建过滤器默认情况下，Sniffer会监控网络中所有传输的数据包，但在分析网络协议、查找网络故障时，有许多数据包并不是管理员所关心的。

Sniffer提供了过滤器，过滤规则包括第二层，第三层地址的定义和几百种协议的定义。

（1）过滤IP地址创建一个过滤器，只捕获IP地址段位192.168.40.101到192.168.40.110范围内传输的数据。

选择“Capture”—“Define Filer”，在“Settings For”列表中显示过滤器名，该过滤器对所有经过网卡的数据全部捕获。

单击“Profiles”，选择“New”，输入新过滤器名称。

“Done”完成。

在“Settings For”列表框中，选择新建的过滤器，分别在station1和station2中输入起止IP地址。

点击“确定”完成过滤器创建。

（2）过滤端口Sniffer4.8/4.9中增加了端口过滤功能，可以让Sniffer只捕获特定端口内传输的数据，可以使固定的一个或几个端口，也可以使一个端口范围。

（3）过滤网络协议创建一个过滤器，只捕获网络中使用FTP协议传输的数据，来查看有多少人在通过FTP下载文件。

创建一个新过滤器，名FTP。

选择FTP过滤器，切换到“Advanced”，依次展开“Available”—“Protocols”—“IP”—“TCP”,选中“FTP”复选框。

（4）设置缓冲器缓冲器用来临时保存Sniffer捕获的数据，它占用内存。

当缓冲器满了后，Sniffer就停止捕获，而缓冲器中的数据在重新捕获或关闭Sniffer时自动保存。

4.7默认大小为8MB。

4.9的为64MB可以调整缓冲器大小和保存路径。

（5）过滤器的使用“Capture”—“Select Filter”，选择我们要选择的过滤器。

步骤5：Sniffer的使用（1）捕获数据通过Sniffer进行网络和协议分析，首先捕获网络中的数据。

●“capture”—“start”，显示“Expert”窗口，开始捕获。

●如要查看当前捕获的各种数据，单击对话框左侧的“Service”、“Connection”等选项，在右侧即可以显示相应数据的概要信息。

单击“Objects”，可以显示当前监视对象的详细信息。

●当捕获到一定的数据，可以停止捕获进行分析。

“capture”—“stop”。

（2）查看分析捕获的数据“capture”—“display”，查看所有捕获的内容。

选择下方的“Decode（解码）”，窗口分成三部分：总结、详细资料和Hex窗格的内容，可以查看所捕获的每个帧的详细信息。

所捕获的数据的各部分的含义如下：●DLC：在DLC区域中显示了捕获的帧的来源信息，包括Source Addess（源地址）、DestAddress（目标地址）、帧大小（以字节记）及Ethertype（以太类型）。

这里以太型值为0800，表示IPv4协议。

上面的地址显示的是网卡的MAC地址。

●IP：如果捕获HTTP，则IP区域中显示了IP文件头的详细信息。

各项内容含义如下：--Version（版本）：版本号为4，代表IPv4--Header length（服务类型值）：该值为00，会看到Tos下面一直到总长的部分都是0.这里可以提供服务质量（QoS）信息。

每个二进制位的意义都不同，这取决于最初的设定，例如，正常延迟设定为0，低延迟则为1--Total length（总长度）：显示该数据包的总长度。

--Identification：该数值是文件头的标识部分，当数据包被划分成几段传送时，发送数据的主机可以用这个数值来重新组装数据。

--Flag（标记）：数据报的“标记”功能，0表示分段，1表示未分段。

--Fragment offset（分段差距）：分段差距为0个字节。

可以设定0代表最后一段，或设定1代表更多区段属于数据包的哪个部分。

--Time to live（保存时间）：TTL值的大小，说明一个数据包可以保存多久。

--Protocol（协议）：显示协议值，在Sniffer中代表TCP协议。

文件头的协议部分只说明要使用的下一个上层协议是什么，在这里是TCP。

--Header checksum（校验和）：这里显示校验和的值，并且已经做了标记，表明这个数值正确。

--Source address（源地址）：数据的来源地址。

--Destination（目标地址）：数据访问的目的地址。

--UDP：IP文件头，下面是TCP或UDP文件头，这里为UDP文件头，包括：。

Source port（源端口）：显示了使用的UDP协议的源端口。

Destinations（目的端口）：显示UDP协议的目的端口。

Length（长度）：表示IP文件头的长度。

Checksum：显示了UDP协议的校验和。

Byeps of date：表示有多少个字节的数据。

--ARP：。

Hardware type（硬件类型）：这是一个16个比特字段，用来定义运行ARP的网络的类型。

以太网是类型1，ARP可使用在任何网络上。

Protocol type：16比特字段，用来定义协议类型。

对IPv4来说，值为0800。

ARP可用于任何高层协议。

Length of Protocol address（协议长度）：8比特，定义以字节为单位的逻辑地址长度。

IPv4协议的这个值是4。

Opcode（操作）：16字节的字段，定义分组类型。

ARP请求第1步，ARP回答第2步。

Sender’s Hardware address（发送站硬件地址）：可变长字段。

以太网这个值为6字节长。

Sender’s Protocol address（发送站协议地址）：可变长字段，定义发送站的逻辑（如，IP）地址的长度。

对于IP协议来说是4字节。

Target Hardware address：目标站的物理地址。

Target Protocol address：4字节。

--ICMP：Internet控制报文协议，允许报告20种以上不同的网络状况。

首先要创建一个新的ICMP过滤器，即在“Advanced”中选中IP列表中的ICMP。

Type=8（Echo）：ICMP Echo有两种类型，8为请求，0为响应。

Coad：不常用，常设为0。

Checksum：ICMP是使用自己的校验和确保数据在传输过程中没有中断。

Identifier与Sequence number：这些数字由发送方式生成，用来将响应与请求匹配在一起。

--Hex：“Decode”窗口最下方为“Hex窗格”，这里显示的内容最直观，但也难以理解。