硬件环境(网吧):
100M网络环境下,92台终端数量,主交换采用D-LINK(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。光纤10M接入,华为2620做为接入网关。
软件环境:
操作系统Windows2003 Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI协议分析软件-Sniffer Portable 4.75(本文选用网络上较容易下载到的版本做为测试)
环境要求:
1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。(监控所有流经此网卡的数据)
2、Snffier pro 475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本
网络拓扑:
图 |
监控目的:通过Sniffer Pro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时,我们将数据包捕获后,通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。
以DES-3226S二层交换机为例,我们来通过WEB方式配置端口镜像(也可用CLI命令行模式配置)。如果您的设备不支持WEB方式配置,请参考相关用户手册。
1.DES-3226S默认登陆IP为:10.90.90.90 因此,需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。
如图(1)所示:
图1 |
3.如图(2)所示,主界面上方以图形方式模拟交换机界面,其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。
图2 |
图3 |
此时所有的端口数据都将复制一份到Port-1。(如图4)
图4 |
Sniffer Pro 安装过程与其它应用软件没有什么太大的区别,在安装过程中需要注意的是:
①Sniffer Pro 安装大约占用70M左右的硬盘空间。
②安装完毕Sniffer Pro后,会自动在网卡上加载Sniffer Pro 特殊的驱动程序(如图5)。
③安装的最后将提示填入相关信息及序列号,正确填写完毕,安装程序需要重新启动计算机。
④对于英文不好的管理员可以下载网上的汉化补丁。
图5 |
具体位于:File->Select Settings->New
名称自定义、选择所在网卡下拉菜单,点击确定即可。(如图6)
图6 |
下面以图文的方式介绍,如何查询网关(路由、代理:219.*.238.65)流量,这也是最为常用、重要的查询之一。
1. 扫描IP-MAC对应关系。这样做是为了在查询流量时,方便判断具体流量终端的位置,MAC地址不如IP地址方便。
选择菜单栏中Tools->Address Book 点击左边的放大镜(autodiscovery 扫描)在弹出的窗口中输入您所要扫描的IP地址段,本例输入:219.*.238.64-219.*.238.159点击OK,系统会自动扫描IP- MAC对应关系。扫描完毕后,点击DataBase->Save Address Book 系统会自动保存对应关系,以备以后使用。(如图7)
图7 |
图8 |
图9 |
219.*.238.65(网关)流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP(Address Book)的工作,右边将会以网卡物理地址-MAC地址的方式显示,现在转换为IP地址形式(或计算机名),现在很容易定位终端所在位置。流量以3D柱形图的方式动态显示,其中最左边绿色柱形图与网关流量最大,其它依次减小。本图中219.*.238.93与网关流量最大,且与其它终端流量差距悬殊,如果这个时候网络出现问题,可以重点检查此IP是否有大流量相关的操作。
如图(10)所示,网关与内网间的所有流量都在这里动态的显示。
图10 |
绿色线条状态为:正在通讯中
暗蓝色线条状态为:通信中断
线条的粗细与流量的大小成正比
如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小(包括接收、发送)、并自动计算流量占当前网络的百分比。
PIE:饼图的方式显示TOP 10的流量占用百分比。
Detail:将Protocol(协议类型)、From Host(原主机)、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。
1.为了进一步分析219.*.238.93的异常情况,我们切换至基于IP层的流量统计图中看看。
点击菜单栏中的Monitor->Host Table,选择Host Table界面左下角的MAC-IP-IPX中的IP。
图11 |
图12 |
图13 |
图14 |
图15 |
现在,协议类型大部分都转换为bitcom,这样我们就可以断定,此终端正在用bitcomet做大量上传、下载行为。
1.什么是端口镜像?
把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
交换机的工作原理与HUB有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部CAM表(通常也称IP-MAC表)进行数据转发,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
①Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
②Monitoring Port 监控端口
③panning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
④PAN Port 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。