14·(總0094)Sniffer研究與應(yīng)用2014年第2期文章編號(hào):1003-5850(2014)02-001403Sniffer研究與應(yīng)用楊亞仿1,吳昊2(1.廣西中醫(yī)藥大學(xué)信息網(wǎng)絡(luò)中心,南寧530001;2廣西師范學(xué)院師園學(xué)院,南寧530226)摘要:網(wǎng)絡(luò)管理的基本職責(zé)是能快速定位網(wǎng)絡(luò)故障并加以排除,同時(shí)應(yīng)該了解網(wǎng)絡(luò)的基本流量特征和分布狀況有助于網(wǎng)絡(luò)的整體規(guī)劃和流量策略調(diào)整,以應(yīng)對(duì)各種網(wǎng)絡(luò)應(yīng)用需求。 Sniffer同時(shí)具備了上述兩種功能,介紹了它的工作原理和部署方法,并分析了如何使用 Sniffer進(jìn)行異常流量檢測(cè)、流量評(píng)估和網(wǎng)絡(luò)流量特征的長(zhǎng)期監(jiān)控。關(guān)鍵詞:網(wǎng)絡(luò)管理, Sniffer,異常流量檢測(cè),網(wǎng)絡(luò)流量特征中圖分類號(hào):TP393;TP3l文獻(xiàn)標(biāo)識(shí)碼:AApplication and research of SnifferYANG Ya-fang, Wu Hao(1. Center of Netuork, Guangxi University of Chinese Medicine, Nanning 530001,China2. Shiyuan College of Guangxi Teachers Education University, Nanning 530226, China)Abstract: The basic responsibility of Network management is quickly locating the network fault andsolve the fault. At the same time it should know the basic flow characteristics and distribution of networkstatus, which can help to plan network and then strategy adjustment, and coping with all kinds of networkapplication requirements. Sniffer has the two function above. This paper introduces its working principleand deployment method, and introduces the method of using sniffer, including abnormal traffic detectinflow evaluation and long-term monitoring network traffic characteristicsKey words: network manage, Sniffer, abnormal traffic detection, network traffic character引言劃。這些都要求網(wǎng)絡(luò)管理人員能充分了解網(wǎng)絡(luò)的基本流量特征和整體運(yùn)行狀況。隨著科學(xué)技術(shù)的發(fā)展,網(wǎng)絡(luò)的應(yīng)用已經(jīng)如同水和Sniffer可以翻譯為網(wǎng)絡(luò)嗅探器,它工作在網(wǎng)絡(luò)底電一樣,它靜悄悄地滲透到了人們生活與工作中的方層,通過對(duì)網(wǎng)絡(luò)上傳輸?shù)母鞣N信息進(jìn)行嗅探偵聽,從方面面網(wǎng)絡(luò)購物已經(jīng)普及,網(wǎng)絡(luò)辦公也已經(jīng)實(shí)現(xiàn),岡而可以監(jiān)控檢測(cè)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包信息。該技術(shù)絡(luò)的管理和應(yīng)用地位亦逐步提升。網(wǎng)絡(luò)管理最基本目前已被廣泛應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、流量的要求是能快速定位網(wǎng)絡(luò)故障并加以排除,但網(wǎng)絡(luò)的評(píng)估和應(yīng)用性能分析等各個(gè)領(lǐng)域。狀態(tài)是時(shí)刻變化的,如同城市人口和交通流量,充滿著彈性,為了隨時(shí)應(yīng)對(duì)突發(fā)狀況,網(wǎng)絡(luò)管理員應(yīng)具備1 Sniffer簡(jiǎn)介長(zhǎng)遠(yuǎn)目光,能對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行流量評(píng)估、性能分析和簡(jiǎn)介優(yōu)化調(diào)整,能根據(jù)特定的網(wǎng)絡(luò)應(yīng)用流量要求進(jìn)行流量Sniffer是一種基于被動(dòng)偵聽原理的網(wǎng)絡(luò)分析技策略的調(diào)整,最重要的是能夠?qū)W(wǎng)絡(luò)架構(gòu)有遠(yuǎn)景規(guī)術(shù),能夠快速定位網(wǎng)絡(luò)故障,并能捕獲網(wǎng)絡(luò)故障數(shù)據(jù)中國煤化工*收稿日期:2013-12-19,修回日期:2014-01-12CNMHG*作者簡(jiǎn)介:楊亞仿,男,1984年生,碩士研究生,研究方向:信息管理系統(tǒng)硏發(fā)和校園網(wǎng)管理建設(shè)。第27卷第2期電腦開發(fā)與應(yīng)用(總0095)15包,幫助網(wǎng)管人員分析和處理故障數(shù)據(jù)包,有效提高和網(wǎng)絡(luò)故障等。此種方式的優(yōu)點(diǎn)是能保存網(wǎng)絡(luò)的歷網(wǎng)絡(luò)管理水平。ISS為 Sniffer有過這樣的定義: Sniffer史流量數(shù)據(jù),通過長(zhǎng)期穩(wěn)定的歷史流量記錄分析可以是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算優(yōu)化網(wǎng)絡(luò)架構(gòu),調(diào)整網(wǎng)絡(luò)流量策略。機(jī)的數(shù)據(jù)報(bào)文的一種工具。軟件 Sniffer則比較靈活,可以安裝在筆記本電Sniffer具有如下特點(diǎn)腦中,與網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)連接則檢測(cè)核心流量數(shù)據(jù),①高性能的網(wǎng)絡(luò)流量捕獲能力,能夠記錄網(wǎng)絡(luò)鏈了解網(wǎng)絡(luò)整體狀況,與三層或-二層交換機(jī)連接則可以路上的網(wǎng)絡(luò)流量信息監(jiān)測(cè)檢查某個(gè)網(wǎng)段的運(yùn)行狀態(tài)。網(wǎng)絡(luò)上流行的 Sniffer②流量的高級(jí)統(tǒng)計(jì)分析能力,能以協(xié)議、數(shù)據(jù)包軟件很多,有商用版的,也有免費(fèi)版的,其中最常見的大小等來統(tǒng)計(jì)流量分布;是 Sniffer pro和 Tcpdump③強(qiáng)大的協(xié)議解碼能力和專家分析能力,能夠解2 Sniffer應(yīng)用析各種數(shù)據(jù)包;④ Sniffer通常運(yùn)行在路由器或有路由功能的主Sniffer最廣泛的應(yīng)用是分析網(wǎng)絡(luò)異常流量產(chǎn)生機(jī)上,以方便截獲數(shù)據(jù)。的原因,進(jìn)行故障定位與排除,但它更重要的功能是⑤sifr既可以是硬件,也可以是軟件,實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行流量評(píng)估,對(duì)網(wǎng)絡(luò)流量特征數(shù)據(jù)進(jìn)Sniffer技術(shù)的硬件或軟件就成為一個(gè) Sniffer(即網(wǎng)絡(luò)行長(zhǎng)期監(jiān)控,幫助網(wǎng)絡(luò)管理人員了解網(wǎng)絡(luò)整體狀況,嗅探器)。對(duì)網(wǎng)絡(luò)架構(gòu)優(yōu)化調(diào)整1.2工作原理2.1網(wǎng)絡(luò)異常流量檢測(cè)以太網(wǎng)中的數(shù)據(jù)通訊是基于廣播方式發(fā)送的,以網(wǎng)絡(luò)流量的產(chǎn)生歸根于網(wǎng)絡(luò)中的各種應(yīng)用,在分幀為單位傳輸,同一物理網(wǎng)絡(luò)的所有主機(jī)的網(wǎng)卡都能析網(wǎng)絡(luò)流量時(shí),首要關(guān)注的是產(chǎn)生最多流量的計(jì)算接收到這些以太網(wǎng)幀。網(wǎng)卡有4種工作模式:廣播模機(jī)、產(chǎn)生最多流量的協(xié)議,以及這些流量的流向。式、多播模式、直接模式和混雜模式( Promiscuous在故障分析中備受關(guān)注的是異常流量的產(chǎn)生,非Mode),網(wǎng)卡缺省工作模式為廣播模式和直接模式。網(wǎng)正常網(wǎng)絡(luò)應(yīng)用產(chǎn)生的流量稱為異常流量,其產(chǎn)生的主卡收到傳輸來的數(shù)據(jù)幀網(wǎng)卡內(nèi)的單片程序先判斷目要原因有病毒引起、網(wǎng)絡(luò)攻擊引起、不當(dāng)?shù)木W(wǎng)絡(luò)配置的MAC地址,根據(jù)工作模式判斷是否接收,并在接收和網(wǎng)絡(luò)應(yīng)用程序的BUG等。關(guān)注產(chǎn)生最多網(wǎng)絡(luò)流量后產(chǎn)生中斷信號(hào)并通知CPU,否則就丟棄不管門的計(jì)算機(jī)是發(fā)現(xiàn)網(wǎng)絡(luò)異常流量非常有效的手段,對(duì)異Sniffer通過將網(wǎng)卡設(shè)置為混雜模式,在這種工作常流量分析可以按如下步驟進(jìn)行模式下,網(wǎng)卡不對(duì)目的地址進(jìn)行判斷,而是直接對(duì)遇①找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī);到的每一個(gè)數(shù)據(jù)幀都產(chǎn)生一個(gè)硬件中斷提醒操作系②分析該主機(jī)的網(wǎng)絡(luò)流向,即這些網(wǎng)絡(luò)流量是發(fā)統(tǒng)進(jìn)行處理,因此可以通過軟件編程實(shí)現(xiàn)相應(yīng)的捕獲給誰的;和分析,掌握數(shù)據(jù)報(bào)文中每個(gè)字段的含義,從而實(shí)現(xiàn)③查看異常網(wǎng)絡(luò)流量的內(nèi)容,即對(duì)數(shù)據(jù)包進(jìn)行捕對(duì)網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)報(bào)文的監(jiān)聽分析。獲解碼并加以分析1.3 Sniffer部署位置常用的 Sniffer軟件都能提供上述功能,其中尤為了正確捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包, Sniffer應(yīng)部署在以 Sniffer pro功能最強(qiáng)大,且提供了多種圖形化的對(duì)合適的網(wǎng)絡(luò)節(jié)點(diǎn)中。比分析和統(tǒng)計(jì)結(jié)果報(bào)告,其 Hosttable功能分析網(wǎng)絡(luò)硬件 Sniffer一般配有相應(yīng)的管理軟件,其效率流量最大的主機(jī),Matx功能分析該主機(jī)的網(wǎng)絡(luò)流高、功能強(qiáng),但是價(jià)格昂貴,部署后不方便移動(dòng),應(yīng)放向,專家列表的 Decode功能查看數(shù)據(jù)包具體內(nèi)容在路由器、防火墻或核心交換機(jī)等設(shè)備上,通過對(duì)交22網(wǎng)絡(luò)應(yīng)用流量評(píng)估換機(jī)的網(wǎng)絡(luò)出口進(jìn)行端口鏡像,監(jiān)聽和分析鏡像后的Sniffer提的討濾功能可以定制捕獲特定的網(wǎng)絡(luò)網(wǎng)絡(luò)數(shù)據(jù)包,從而達(dá)到管理和監(jiān)測(cè)網(wǎng)絡(luò)全局狀態(tài)的目應(yīng)用數(shù)據(jù)包中國煤化工程序的流量特的,而且能隨時(shí)掌握網(wǎng)絡(luò)的狀態(tài),及時(shí)發(fā)現(xiàn)入侵信息征。根據(jù)其數(shù)CNMHG應(yīng)用如下幾類16·(總0096)Sniffer研究與應(yīng)用2014年第2期①交易處理型。建立在大量的客戶端與服務(wù)器包和最大包是最多的。因?yàn)槟壳熬W(wǎng)絡(luò)中最多的是之間的交互基礎(chǔ)之上,客戶端不斷地發(fā)起請(qǐng)求,服務(wù)TCPP協(xié)議,其3次握手的確認(rèn)數(shù)據(jù)包都是小包,而器對(duì)請(qǐng)求進(jìn)行下達(dá)并進(jìn)行響應(yīng),此類應(yīng)用產(chǎn)生的網(wǎng)絡(luò)在數(shù)據(jù)傳輸時(shí)一般是大包,但是不同的網(wǎng)絡(luò)中包大流量可能不大,但交互的數(shù)據(jù)包會(huì)很多,是面向連接小分布是不同,這取決于其實(shí)際應(yīng)用情況。網(wǎng)絡(luò)中的的應(yīng)用,對(duì)網(wǎng)絡(luò)的要求是低延遲,高響應(yīng),典型應(yīng)用是小包占用比率過高會(huì)造成網(wǎng)絡(luò)性能嚴(yán)重下降,如某些電子商務(wù),如淘寶,京東等。病毒,能不斷發(fā)出HTPP請(qǐng)求(大量的TCP確認(rèn)包)②文件傳輸。主要進(jìn)行數(shù)據(jù)傳輸,因此交互請(qǐng)求建立連接。因此網(wǎng)絡(luò)管理人員應(yīng)了解本網(wǎng)絡(luò)正常情并不多,但會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量,因此網(wǎng)絡(luò)的帶寬況下的包大小分布狀況直接影響傳輸速度,如FTP,網(wǎng)絡(luò)下載等。③協(xié)議分布。協(xié)議的分布表示網(wǎng)絡(luò)中各種應(yīng)用③流傳輸應(yīng)用。也是進(jìn)行數(shù)據(jù)傳輸,但不同的是流量分布的實(shí)際體現(xiàn)。隨著目前網(wǎng)絡(luò)中BS架構(gòu)的應(yīng)在傳輸兩端沒有請(qǐng)求交互,而且主要是對(duì)實(shí)時(shí)性要求用不斷增多,HTTP協(xié)議流是網(wǎng)絡(luò)中流量最大的,還較髙的數(shù)據(jù),同時(shí)流量的大小相對(duì)穩(wěn)定,對(duì)網(wǎng)絡(luò)要求有流媒體應(yīng)用、FT和Emai等都會(huì)在網(wǎng)絡(luò)中產(chǎn)生大穩(wěn)定的帶寬,也不能有較大的延遲,如視頻監(jiān)控,網(wǎng)絡(luò)量的流量。當(dāng)某個(gè)協(xié)議的流量岀現(xiàn)異常増大時(shí),應(yīng)査電話等。看其增多原因是否正常。分析協(xié)議分布,主要是了解通過對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行流量評(píng)估是為了了解其流各種應(yīng)用流量產(chǎn)生何種規(guī)模的流量,有助于對(duì)網(wǎng)絡(luò)流量特征,評(píng)估其對(duì)網(wǎng)絡(luò)系統(tǒng)造成的影響,從而調(diào)整流量進(jìn)行評(píng)估,更改流量策略量策略,保證網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。如網(wǎng)絡(luò)視頻會(huì)議協(xié)議分布、包大小分布和網(wǎng)絡(luò)利用率是網(wǎng)絡(luò)中最往往需要穩(wěn)定的、較髙的網(wǎng)絡(luò)帶寬才能保證通訊質(zhì)量基本也是最重要的流量信息,應(yīng)進(jìn)行長(zhǎng)期監(jiān)控,從而和畫面的流暢,此時(shí)可以通過分析歷史視頻會(huì)議數(shù)據(jù)形成網(wǎng)絡(luò)的基準(zhǔn),這些數(shù)據(jù)對(duì)于網(wǎng)絡(luò)的應(yīng)用規(guī)劃、性包進(jìn)行流量評(píng)估,分析其在穩(wěn)定通訊時(shí)的傳輸帶寬能調(diào)整和及時(shí)發(fā)現(xiàn)異常都有重要的意義值通過調(diào)整本地流量策略,避免其他網(wǎng)絡(luò)流量對(duì)它3總結(jié)的影響,保證視頻通訊能順利進(jìn)行。2.3網(wǎng)絡(luò)流量特征網(wǎng)絡(luò)管理的基本要求是故障定位與排除,長(zhǎng)遠(yuǎn)目網(wǎng)絡(luò)流量特征主要包括網(wǎng)絡(luò)利用率,包大小分布標(biāo)是能熟悉網(wǎng)絡(luò)流量特征進(jìn)行網(wǎng)絡(luò)架構(gòu)的規(guī)劃調(diào)整和協(xié)議分布等數(shù)據(jù),通過 Sniffer工具可以輕松查看 Sniffer的強(qiáng)大之處在于能同時(shí)提供上述兩種功能,此這些數(shù)據(jù),而且它能提供各種長(zhǎng)期的統(tǒng)計(jì)分析報(bào)告,外 Sniffer也可能被黑客利用而成為竊取私密數(shù)據(jù)的從而幫助了解網(wǎng)絡(luò)運(yùn)行的整體狀況。工具,網(wǎng)絡(luò)管理員既要能充分利用其故障診斷和數(shù)①網(wǎng)絡(luò)利用率。網(wǎng)絡(luò)利用率是網(wǎng)絡(luò)中實(shí)際的網(wǎng)據(jù)統(tǒng)計(jì)分析功能,也要有意識(shí)地防止被 Sniffer.絡(luò)流量同網(wǎng)絡(luò)理論帶寬的比率,是網(wǎng)絡(luò)運(yùn)行狀況的重要參數(shù)。很多實(shí)際經(jīng)驗(yàn)表明,網(wǎng)絡(luò)利用率如同交通參考文獻(xiàn)運(yùn)輸利用率,一般不要超過20%~30%,否則鏈路通道會(huì)被占用,數(shù)據(jù)丟包率也會(huì)增大,造成服務(wù)質(zhì)量下1于承斌 SnifferPro及其在網(wǎng)絡(luò)管理與維護(hù)中的應(yīng)用U泰降。很多病毒通過發(fā)送大量的數(shù)據(jù)包占用網(wǎng)絡(luò)帶寬山醫(yī)學(xué)院學(xué)報(bào),2008,29(3):205-207.2]陳正權(quán) Sniffer工具在校園網(wǎng)管理中的應(yīng)用J寧波職業(yè)技造成網(wǎng)絡(luò)利用率異常升高,最終影響網(wǎng)絡(luò)正常運(yùn)行術(shù)學(xué)院學(xué)報(bào),2010,14(5):53-56網(wǎng)絡(luò)管理員應(yīng)該對(duì)網(wǎng)絡(luò)流量進(jìn)行長(zhǎng)期的監(jiān)控分析,圖李去,王巧淺析網(wǎng)絡(luò)Sm面u內(nèi)江師范學(xué)院學(xué)報(bào),以得到正常的網(wǎng)絡(luò)利用率數(shù)據(jù),從而能夠快速發(fā)現(xiàn)2004,19(6):46-49利用率異常。4]胡道元網(wǎng)絡(luò)安全[M]北京:清華大學(xué)出版社,2004:17-2②2包大小分布。網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的大小是(5陳千sif中國煤化工們研究計(jì)算機(jī)不一樣的,lp包最小為40B,最大1500B,以太網(wǎng)的程與設(shè)計(jì)CNMHG幀最小64B,最大1518B。一般來講,網(wǎng)絡(luò)中最小的