没有合适的资源?快使用搜索试试~ 我知道了~
活用sniffer软件 体验做网管的乐趣
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 155 浏览量
2023-11-29
14:50:11
上传
评论
收藏 5.95MB PDF 举报
温馨提示
试读
52页
sniffer 软件博大精,我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程,但如果没有一定的网络基础,恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩~现在很多时候我们都需要在交换环境下进行 sniffer 监控,因此这里就先从定义镜像端口做起。为什么要先定义镜像端口才能 sniffer?这和交换机工作的原理有关。交换机的工作原理与 HUB 有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部的 CAM 表(暂且理解为 MAC 地址表)进行转发的。也就是说前者可直接 sniffer 而后者不能直接 sniffer。这时就要用到端口镜像,端口镜像的定义就是:―把被镜像端口的进出数据报文完全拷贝一份到镜像端口,方便我们进行流量观测或者故障定位
资源推荐
资源详情
资源评论
活用 sniffer 软件 体验做网管的快感
sniffer 软件博大精,我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程,但如果
没有一定的网络基础,恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩~
现在很多时候我们都需要在交换环境下进行 sniffer 监控,因此这里就先从定义镜像端口做起。为什么
要先定义镜像端口才能 sniffer?这和交换机工作的原理有关。交换机的工作原理与 HUB 有很大的不同,HUB
组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部的 CAM 表(暂且理
解为 MAC 地址表)进行转发的。也就是说前者可直接 sniffer 而后者不能直接 sniffer。这时就要用到端口镜
像,端口镜像的定义就是:―把被镜像端口的进出数据报文完全拷贝一份到镜像端口,方便我们进行流量观
测或者故障定位‖。
还是来做一个实验吧,这样理解起来快一些
假设某公司申请了一根 10M 的电信宽带,突然某一天下午,网速奇慢无比。公司里的员工怨声不断,
强烈要求网络恢复通畅,这时作为网络管理者的你,需要马上找出原因:
不同的设备做端口镜像的方法不同,CISCO 的玩意儿虽好但对大部份网络爱好者来说太专业,做教程
不一定合适。因此这里我选一款 D-LINK 的 DES-3226S 二层交换机为例,以 WEB 界面说明如何进行镜像
端口的配置(Mirroring Configurations) 。
如图:
进入 DES-3226S 二层可网管交换机
选择 login to make a setup,登陆后进入交换机主配置菜单并显示基本信息:
选择下面的 Advanced setup------Mirroring Configurations(镜像配置)
mirror Status 选项 Enabled,然后将 Port 1 设置为镜像端口,其余端口监听模式点选为 Both(即发送与接
收的数据都同时监控),这样交换机就把 2 号端口至 24 号端口的数据随时随地都 COPY 了一份给 Port 1,
然后我们在 Port 1 上进行监听,Sniffer 也就有了用武之地。
将网管电脑插入 Port 1(镜像端口),开启 Sniffer 软件,怎么样?界面够酷吧?左、右两幅地图很直观的显
示了整个 LAN 内的数据流向。不管是右边的―传输地图‖还是左边的―主机列表‖它们现在都是根据学习到的
MAC 地址进行流量标识的。
通过左边的―主机列表饼图‖,你可以很清楚的看到 00-50-18-21-A5-F4 和 00-E0-4C-DD-2E-2E 这两台主
机的数据流量目前为止最多。
请出―局域网 MAC 地址扫描器‖(也可以简单的 ARP -A 或者利用下面讲的 IP 选项),进行 LAN 内的
MAC 地址扫描,进一步知道了 00-E0-4C-DD-2E-2E 属于 192.168.123.117。而 00-50-18-21-A5-F4 这个地址属
于 192.168.123.254(这个地址为网关出口)。这样我们就可以知道是谁人把网速拖慢了!
仅仅是知道是谁拖慢了网速还不够,我们还要进一步知道此人到底是怎么把网速拖慢了的。还是在―传输
地图‖里,看到下面 MAC/IP/IPX 三个选项了么?现在点 IP 选项,看出现了什么?
不再是基于 MAC 地址的地图了,已经切换成 IP 地址的传输地图了。其中最粗的那根
线:192.168.123.117=========221.10.135.114 说明了这家伙一直在和外网的一台主机交换数据,很明显他
是在下载文件。
再用―主机列表‖中 IP 选项以饼图查看:
发现 192.168.123.117与 221.10.135.114的通信流量竟然高达整个网络流量的 89.58%(44.20+45.38)!
剩余51页未读,继续阅读
资源评论
Rocky006
- 粉丝: 6353
- 资源: 1332
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功