用Sniffer进行局域网管理备课讲稿

第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。

为了解决网络问题需要对网络中的数据进行相应的捕获和分析，Sniffer就是这样一种类型的软件。

它能够针对网络工作中的各种数据进行相应的捕获和分析。

从本章开始，本书将对Sniffer这类网络工具的功能和使用方法进行介绍。

1.1局域网安全概述局域网是日常使用中最常见的一种网络结构，同时也是组成网络的基本单位。

由于Sniffer必须在局域网中使用，所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。

目前的局域网基本上都采用以广播为技术基础的以太网。

在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截获。

因此，只要使用软件在接入以太网上的任一节点进行侦听，就可以捕获在这个以太网上传输的所有数据包。

如果使用相应的算法对截获的数据包进行解包分析，就可以获得相应的关键信息，这是以太网固有的安全隐患。

针对这一安全隐患，可以使用多种软件达到截获数据包并进行分析的目的。

Sniffer就是这样的一种软件。

这也是本书的一个意义：认识这种安全隐患技术，从而达到避免这种安全隐患，维护网络安全的目的。

针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。

1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施。

其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

网络分段可分为物理分段和逻辑分段两种方式。

物理分段是以硬件设备将网络划分成不同的网络地址段。

在出现问题时可以通过物理手段来断开网络以避免更大的损失。

第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。

在实际的网络工程应用中，这两种方式经常混合使用以便达到更好的效果。

通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段就可以了。

好，我们继续看第二个monitor功能，Host table，我们叫他主机列表这是非常好用的一个功能，有什么用呢？第一看流量最大的TOP10主机，第二看广播量有多少，当时我发现冲击波、振荡波的时候，就是看这个host table，发现有大量的全子网广播第三可以快速过滤单一主机流量。

第四通过过滤功能可以看到单一业务主机的流量分布，当然也可以通过镜像接口去实现我们一个一个来看。

首先TOP10主机，我们可以点击各列的标题来排序，方便我们分析，比如收发包情况。

大家可以试一下。

第二广播量有多少我们点击broadcast或multicast的标题，查看广播量，有一点要注意，不要忘记看MAC层的广播和组播，因为MAC的广播不一定有IP头，比如ARP，同样IP的广播在MAC也可能是单播，比如子网广播。

MAC层的广播是目的MAC为48个1，MAC层的组播为目的MAC第一个字节最低位是1。

（范老师有板书，我的本子上有，懒得画了）IP的广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。

172.16.33.255叫子网广播，广播给172.16.33.0这个子网，可以跨路由器。

172.16.255.255叫全子网广播，广播给172.16.0.0这个主网，可以跨路由器。

大家以前学网络的时候，老师会给一个概念，说路由器是三层设备，隔离广播，对吧，我也是这样给同学介绍的，但我在后面会告诉同学，并不是所有广播都隔离。

事实上只有255.255.255.255这类本地广播，路由器才不转发，对于子网广播和全子网广播，路由器是转发的，这是为什么呢？我们来看4个255的广播，在MAC的封装中，对应的目的MAC是广播，而子网广播和全子网广播，对应的目的MAC是单播，所以路由器会转发。

（范老师在演示）所以我们注意到，路由器隔离的广播是目的MAC为全1的广播，对于目的MAC是单播的上层广播，路由器是不能隔离的。

sniffer 教程
Sniffer是一个网络流量分析工具，用于截获和分析网络数据包。

它可以用于网络管理、网络安全监测、漏洞分析等目的。

下面是一些关于使用Sniffer的基本教程：
1. 安装Sniffer软件：首先，您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。

安装过程通常与常规软件安装类似，您只需按照安装向导的指示进行操作。

2. 启动Sniffer：安装完成后，在您的计算机上找到Sniffer 的快捷方式或应用程序图标，双击打开Sniffer。

3. 设置网络接口：在Sniffer界面上，您需要选择要监测的网络接口。

通常，您可以选择您的计算机上的网络接口（如以太网、Wi-Fi等）。

选择要监测的网络接口后，单击“开始”或类似的按钮以开始捕获网络数据包。

4. 监测网络流量：一旦Sniffer开始捕获网络数据包，它将显示经过所选网络接口的流量。

您可以在Sniffer界面上查
看捕获的数据包，并从中提取关键信息，如源地址、目的地址、协议类型等。

5. 分析网络流量：Sniffer还提供了一些分析工具，如过滤器、统计数据、图形化界面等，以帮助您分析捕获的网络流量。

您可以使用这些工具来过滤特定类型的数据包，生成统计报告，可视化网络流量数据等。

需要注意的是，使用Sniffer工具需要具备一定的网络知识和技能，以有效地利用捕获的数据包进行分析。

此外，出于安全和合法性的考虑，在使用Sniffer时，请确保遵守相关法律和规定，并仅在授权范围内使用该工具。

实验一sniffer软件的使用
一、实验目的：
通过实验操作掌握Sniffer软件的安装与基本功能的使用，对监控软件原理有一定的了解，能够熟练使用sniffer软件实现常用的监控功能。

二、实验要求
根据第2章介绍的Sniffer软件的功能和步骤来完成实验，在掌握基本功能的基础上，实现日常监控应用，给出实验总结报告
三、实验设备及软件
2台磁盘格式配置为NTFS的Windows xp操作系统的计算机，局域网环境，Sniffer软件。

四、实验预习
1. 网络监控软件的主要目标有哪些？
2. Sniffer的工作原理是什么？
五、实验步骤（参照教材第十章内容）
1. 安装Sniffer软件
2. 对默认状态下的报文进行捕获解析
3. 设置捕获条件并对其数据进行分析
4. 使用Sniffer pro监控网络流量
5. 使用sniffer监控“广播风暴”
六、实验报告要求
1. 参照实验步骤简单将实验过程写出来。

2．对于加密数据sniffer Pro还有没有作用？
3. sniffer pro能监控的协议中，数据量比较大的是那些？。

软件使用指南在日常的局域网维护中，对于一款软件，不仅要知道其表面的功能，更要深入了解其工作原理，这样才能更有效地挖掘软件更高级的应用及功能，以此来解决网络中的疑难故障。

下面结合一些日常网络故障实例，介绍一下Sniffer在局域网维护中的综合应用。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。

Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。

以下以Sniffer 4.7.5汉化版本为例，介绍一下Snffer在局域网维护中的具体应用。

一、Sniffer软件的安装在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。

运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。

二、Sniffer软件的使用打开Sniffer软件后，会出现主界面(如图1)，显示一些机器列表和Sniffer软件目前的运行情况，上面是软件的菜单，下面有一些快捷工具菜单，左侧还有一排快捷菜单按钮。

由于使用的是汉化版软件，因此部分词语汉化不是太准确。

1、获取网络中的机器列表Sniffer软件运行后，首先要搜索网络中的机器。

在"工具”菜单中找到"地址簿”选项并运行，在"地址簿”中的左侧工具菜单中，可以找到一个"放大镜”的图标，这是"自动搜索”的按钮。

运行"自动搜索”功能后，在IP地址段中输入网络的开始IP地址和结束地址，然后系统会自动搜索。

搜索完成后，会出现一个如图1的机器列表。

2、保存机器列表Sniffer搜索网络中所有的机器列表后，可以在"数据库”菜单中选择"保存地址簿”选项，将当前的机器列表保存，以备日后使用。

前言:范老师现在是Sniffer中国技术服务中心的技术总监，是中国唯一的Sniffer大师（SCM），他有丰富的经验和经典案例，讲课讲得不错。

我是范老师的学生，我2005年学习了Sniffer，发现收获很大，但我不能透露我的单位，因为我想范老师不会允许我把他的讲课内容公开。

以下内容是我根据上课录音编写的，基本上是范老师的原话。

我整理了一个星期才整理出来，因为范老师在上课时有很多笔书，整理起来很困难，有人会问，为什么不把录音共享出来，主要是课程中很多实验，只有录音，作用不大，我把他整理成文字，看起来会方便一些，当我全部整理完，估计可以出书了，版权费给谁呢？哈哈我希望大家喜欢，如果反应良好，我把后面的内容也贴出来，很辛苦的，大家要珍惜。

大家不要放映，精华内容都在注释里。

大家有什么问题，可以发E-mail给范老师，fanweidao@，记住如果他问你是谁，你说是北京移动或广东移动或工商银行随便一个省分行的，因为这些单位的学生特别多，他肯定搞不清楚。

哈哈，对不起了！范老师，我只是想帮你推广Sniffer.大家好!欢迎大家参加Sniffer的认证课程！先自我介绍一下！我叫范伟导，这是我的邮件，我现在没有工作（同学们：自由职业者）可以这么说。

介绍一下我的经历：毕业后我在一个台资电脑厂工作了一年，做硬件的。

后来到了日本三洋工作，作X400的软件开发，做ERP，用RPG开发，做了4年后来到了神州数码，作CISCO网络，原来在技术中心做实施，后来在培训中心做讲师，一共做了5年。

现在我是CISCO和Sniffer的授权讲师，不过现在我不想做CISCO了，想做Sniffer，因为我觉得网络分析是一个很好的技术方向。

等一下我还会跟大家聊一聊我们该往哪一个方向发展。

先看一下我们这个课程，这个课程事实上是两门课，第一门我们介绍怎样用Sniffer来做网络故障诊断，还有网络管理的一些方法和思路，第二门课我们介绍如何做应用的分析，这是Sniffer的新课程，我个人觉得非常好，以前的几个班学员也很喜欢。

闻名业界的Sniffer网络管理解决方案----作为被誉为业界降低网络故障的首选解决方案，Sniffer网络分析仪为用户提供了屡获大奖的网络管理工具，凭借先进的性能，Sniffer可以帮助用户主动监测网络，在瓶颈造成故障之前，将其完满解决。

Sniffer网络分析仪是一个排除网络故障和对网络性能进行有效管理的可靠工具，它能够自动帮助网络专业人员维护网络，查找故障，协助扩展多拓朴结构、多协议的网络，极大地简化了发现及解决网络问题的过程。

----Sniffer网络分析仪作为业界用于企业网络故障和性能管理领域最为智能和强大的工具系列，目前，已在世界上得到了广泛的应用，《财富》排名前1000家企业中有80%选择其作为网络信息安全解决方案，分析、维护、开发他们的网络产品，其中包括Cisco、3COM、Lucent及AT&T。

伴随着1998年NAI进入中国，Sniffer也来到了广大中国用户面前。

现在，越来越多的中国企事业单位采用了Sniffer的安全解决方案，其中包括：中国人民银行、中国建设银行、中国工商银行等。

Sniffer网络分析仪的基本性能----专家分析系统Sniffer能够监视并捕获所有网络上的信息数据包，同时建立一个特有网络环境下的目标知识库。

经过将问题分离、分析和归类，Sniffer可实时、自动地发出警告，解释问题的性质并提出解决方案。

Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(Expert System)，有了Sniffer的专家系统，用户无需知道那些数据包构成的网络问题，也不必熟悉网络协议，更不用去了解这些数据包的内容，便能轻松解决问题。

此外，Sniffer 还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。

Sniffer能够自动实时监视网络、捕捉数据、识别网络配置，自动发现网络故障并进行告警，它能指出网络故障发生的位置，出现在OSI的第几层，网络故障的性质，产生故障的可能原因以及为解决故障建议采取的行动。