sniffer

sniffer

Sniffer,中文可以翻譯為嗅探器,也叫抓數據包軟體,是一種基於被動偵聽原理的網路分析方式。使用這種技術方式,可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。

基本介紹

  • 中文名:嗅探器
  • 外文名:Sniffer
  • 功能:監視網路
  • 適用:網際網路
簡介,技術代碼,技術原理,分類,目的,產品,技術套用,解碼,擴展套用,監控流量,

簡介

Sniffer軟體是NAI公司推出的一款一流的攜帶型網管和套用故障診斷分析軟體,不管是在有線網路還是在無線網路中,它都能夠給予網管管理人員實時的網路監視、數據包捕獲以及故障診斷分析能力。對於在現場運行快速的網路和套用問題故障診斷,基於攜帶型軟體的解決方案具備最高的性價比,卻能夠讓用戶獲得強大的網管和套用故障診斷功能。

技術代碼

#include<stdio.h>
#include<string.h>
#include<errno.h>
#include<sys/socket.h>
#include<sys/types.h>
#include<sys/ioctl.h>
#include<net/if.h>
#include<linux/in.h>
#include<unistd.h>
#include<linux/if_ether.h>
int main(intargc,char**argv) {intsock,n;charbuffer[2048];unsignedchar*iphead,*ethhead;structifreqethreq;intno=0;//
設定原始套接字方式為接收所有的數據包if((sock=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_IP)))<0){perror(“\n原始套接字建立失敗\n”);exit(1);}//設定網卡工作方式為混雜模式,
SIOCGIFFLAGS請求表示需要獲取接口標誌strncpy(ethreq.ifr_name,”eth0”,IFNAMSIZ);//InterfaceNamesizeif(ioctl(sock,SIOCGIFFLAGS,&ethreq)==-1){perror(“\n設定混雜工作模式失敗\n”);close(sock);exit(1);}//開始捕獲數據並進行簡單分析While(1){n=recvfrom(sock,buffer,2048,0,NULL,NULL);no++;printf(“\n************%dpacket%dbytes************\n”,no,n);//檢查包是否包含了至少完整的以太幀(14),IP(20)和TCP/UDP(8)包頭if(n<42){perror(“recvfrom():”);exit(0);}ethhead=buffer;printf(“DestMACaddress:%02x:%02x:%02x:%02x:%02x:%02x\n”,ethhead[0],ethhead[1],ethhead[2],ethhead[3],ethhead[4],ethhead[5]);printf(“SourceMACaddress:%02x:%02x:%02x:%02x:%02x:%02x\n”,ethhead[6],ethhead[7],ethhead[8],ethhead[9],ethhead[10],ethhead[11]);iphead=buffer+14;/*跳過Ethernetheader*/if(*iphead==0x45){/*DoublecheckforIPv4*andnooptionspresent*/printf(“Sourcehost:%d.%d.%d.%d,”,iphead[12],iphead[13],iphead[14],iphead[15]);printf(“Desthost:%d.%d.%d.%d\n”,iphead[16],iphead[17],iphead[18],iphead[19]);printf(“Sourceport:%d,Destport:%d”,(iphead[20]<<8)+iphead[21],(iphead[22]<<8)+iphead[23]);if(iphead[9]==6)printf(“TCP\n”);elseif(iphead[9]==17)printf(“UDP\n”);elseprintf(“protocolid:%d\n”,iphead[9]);}}}

技術原理

在講述Sniffer的概念之前,首先需要講述區域網路設備的一些基本概念。
數據在網路上是以很小的稱為幀(Frame)的單位傳輸的,幀由幾部分組成,不同的部分執行不同的功能。幀通過特定的稱為網路驅動程式的軟體進行成型,然後通過網卡傳送到網線上,通過網線到達它們的目的機器,在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀,並告訴作業系統幀已到達,然後對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會帶來安全方面的問題。
每一個在區域網路(LAN)上的工作站都有其硬體地址(MAC地址),這些地址惟一地表示了網路上的機器(這一點與Internet地址系統比較相似)。當用戶傳送一個數據包時,這些數據包就會傳送到LAN上所有可用的機器。
如果使用Hub/即基於共享網路的情況下,網路上所有的機器都可以“聽”到通過的流量,但對不屬於自己的數據包則不予回響(換句話說,工作站A不會捕獲屬於工作站B的數據,而是簡單地忽略這些數據)。如果某個工作站的網路接口處於混雜模式(關於混雜模式的概念會在後面解釋),那么它就可以捕獲網路上所有的數據包和幀。
但是現代網路常常採用交換機作為網路連線設備樞紐,在通常情況下,交換機不會讓網路中每一台主機偵聽到其他主機的通訊,因此Sniffer技術在這時必須結合網路連線埠鏡像技術進行配合。而衍生的安全技術則通過ARP欺騙來變相達到交換網路中的偵聽。
Sniffer程式是一種利用乙太網的特性把網路適配卡(NIC,一般為乙太網卡)置為雜亂(promiscuous)模式狀態的工具,一旦網卡設定為這種模式,它就能接收傳輸在網路上的每一個信息包。
普通的情況下,網卡只接收和自己的地址有關的信息包,即傳輸到本地主機的信息包。要使Sniffer能接收並處理這種方式的信息,系統需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情況下,網路硬體和TCP/IP堆疊不支持接收或者傳送與本地計算機無關的數據包,所以,為了繞過標準的TCP/IP堆疊,網卡就必須設定為我們剛開始講的混雜模式。一般情況下,要激活這種方式,核心必須支持這種偽設備Bpfilter,而且需要root許可權來運行這種程式,所以sniffer需要root身份安裝,如果只是以本地用戶的身份進入了系統,那么不可能嗅探到root的密碼,因此不能運行Sniffer。
也有基於無線網路、廣域網路(DDN, FR)甚至光網路(POS、Fiber Channel)的監聽技術,這時候略微不同於乙太網絡上的捕獲概念,其中通常會引入TAP (測試介入點)這類的硬體設備來進行數據採集。

分類

Sniffer分為軟體和硬體兩種,軟體的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等,其優點是易於安裝部署,易於學習使用,同時也易於交流;缺點是無法抓取網路上所有的傳輸,某些情況下也就無法真正了解網路的故障和運行情況。硬體的Sniffer通常稱為協定分析儀,一般都是商業性的,價格也比較昂貴,但會具備支持各類擴展的鏈路捕獲能力以及高性能的數據實時捕獲分析的功能。
基於以太網路嗅探的Sniffer只能抓取一個物理網段內的包,就是說,你和監聽的目標中間不能有路由或其他禁止廣播包的設備,這一點很重要。所以,對一般撥接的用戶來說,是不可能利用Sniffer來竊聽到其他人的通信內容的。

目的

當一個黑客成功地攻陷了一台主機,並拿到了root許可權,而且還想利用這台主機去攻擊同一(物理)網段上的其他主機時,他就會在這台主機上安裝Sniffer軟體,對乙太網設備上傳送的數據包進行偵聽,從而發現感興趣的包。如果發現符合條件的包,就把它存到一個Log檔案中去。通常設定的這些條件是包含字“username”或“password”的包,這樣的包裡面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某台主機的密碼,他就會立刻進入這台主機。
如果Sniffer運行在路由器上或有路由功能的主機上,就能對大量的數據進行監控,因為所有進出網路的數據包都要經過路由器。
Sniffer屬於第M層次的攻擊。就是說,只有在攻擊者已經進入了目標系統的情況下,才能使用Sniffer這種攻擊手段,以便得到更多的信息。
Sniffer除了能得到口令或用戶名外,還能得到更多的其他信息,比如一個重要的信息、在網上傳送的金融信息等等。Sniffer幾乎能得到任何在乙太網上傳送的數據包。

產品

網路的安全性和高可用性是建立在有效的網路管理基礎之上的,網路管理包括配置管理、故障管理、性能管理、安全管理和計費管理五大部分。對於企業計算機網路來說,網路故障管理主要側重於實時的監控,而網路性能管理更看中歷史分析。
Sniffer網路分析儀是一個網路故障、性能和安全管理的有力工具,它能夠自動地幫助網路專業人員維護網路,查找故障,極大地簡化了發現和解決網路問題的過程,廣泛適用於Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等網路。
網路安全的保障與維護
1. 對異常的網路攻擊的實時發現與告警;
2. 對高速網路的捕獲與偵聽;
3. 全面分析與解碼網路傳輸的內容;
面向網路鏈路運行情況的監測
1. 各種網路鏈路的運行情況;
2. 各種網路鏈路的流量及阻塞情況;
3. 網上各種協定的使用情況;
4. 網路協定自動發現;
5. 網路故障監測;
面向網路上套用情況的監測
1. 任意網段套用流量、流向;
2. 任意伺服器套用流量、流向;
3. 任意工作站套用流量、流向;
4. 典型應用程式回響時間;
5. 不同網路協定所占頻寬比例;
6. 不同套用流量、流向的分布情況及拓撲結構
強大的協定解碼能力,用於對網路流量的深入解析
1. 對各種現有網路協定進行解碼;
2. 對各種套用層協定進行解碼;
3. Sniffer協定開發包(PDK)可以讓用戶簡單方便地增加用戶自定義的協定;
網路管理、故障報警及恢復
運用強大的專家分析系統幫助維護人員在最短時間內排除網路故障
根據用戶習慣,Sniffer可提供實時數據或圖表方式顯示統計結果,統計內容包括:
網路統計:如當前和平均網路利用率、總的和當前的幀數及位元組數、總站數和激活的站數、協定類型、當前和總的平均幀長等。
協定統計:如協定的網路利用率、協定的數、協定的位元組數以及每種協定中各種不同類型的幀的統計等。
差錯統計:如錯誤的CRC校驗數、發生的碰撞數、錯誤幀數等。
站統計:如接收和傳送的幀數、開始時間、停止時間、消耗時間、站狀態等。最多可統計1024個站。
幀長統計:如某一幀長的幀所占百分比,某一幀長的幀數等。
當某些指標超過規定的閾值時,Sniffer可以自動顯示或採用有聲形式的告警。
Sniffer可根據網路管理者的要求,自動將統計結果生成多種統計報告格式,並可存檔或列印輸出。
Sniffer實時專家分析系統
高度複雜的網路協定分析工具能夠監視並捕獲所有網路上的信息數據包,並同時建立一個特有網路環境下的目標知識庫。智慧型的專家技術掃描這些信息以檢測網路異常現象,並自動對每種異常現象進行歸類。所有異常現象被歸為兩類:一類是symptom(故障徵兆提示,非關鍵事件例如單一檔案的再傳送),另一類是diagnosis(已發現故障的診斷,重複出現的事件或要求立刻採取行動的致命錯誤)。經過問題分離、分析且歸類後,Sniffer將實時地,自動發出一份警告、對問題進行解釋並提出相應的建議解決方案。
Sniffer與其他網路協定分析儀最大的差別在於它的人工智慧專家系統(Expert System)。簡單地說,Sniffer能自動實時監視網路,捕捉數據,識別網路配置,自動發現網路故障並進行告警,它能指出:
網路故障發生的位置,以及出現在OSI第幾層。
網路故障的性質,產生故障的可能的原因以及為解決故障建議採取的行動。
Sniffer 還提供了專家配製功能,用戶可以自已設定專家系統判斷故障發生的觸發條件。
有了專家系統,您無需知道那些數據包構成網路問題,也不必熟悉網路協定,更不用去了解這些數據包的內容,便能輕鬆解決問題。

技術套用

解碼

Sniffer的軟體非常豐富,可以對在各種網路上運行的400多種協定進行解碼,如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網路互聯橋/路由器的幀格式。
Sniffer可以在全部七層OSI協定上進行解碼,目前沒有任何一個系統可以做到對協定有如此透徹的分析;它採用分層方式,從最低層開始,一直到第七層,甚至對Oracle資料庫、SYBASE資料庫都可以進行協定分析;每一層用不同的顏色加以區別。
Sniffer對每一層都提供了Summary(解碼主要規程要素)、Detail(解碼全部規程要素)、Hex(十六進制碼)等幾種解碼視窗。在同一時間,最多可以打開六個觀察視窗。
Sniffer還可以進行強制解碼功能(Protocl Forcing),如果網路上運行的是非標準協定,可以使用一個現有標準協定樣板去嘗試解釋捕獲的數據。
Sniffer提供了線上實時解碼分析和線上捕捉,將捕捉的數據存檔後進行解碼分析二種功能。
當信息以明文的形式在網路上傳輸時,便可以使用網路監聽的方式來進行攻擊。將網路接口設定在監聽模式,便可以將網上傳輸的源源不斷的信息截獲。Sniffer技術常常用於網路故障診斷、協定分析、套用性能分析和網路安全保障等各個領域。
Sniffer被 Network General公司註冊為商標,這家公司以出品Sniffer Pro系列產品而知名。目前最新版本為Sniffer Portable 4.9,這類產品通過網路嗅探這一技術方式,對數據協定進行捕獲和解析,能夠大大幫助故障診斷和網路套用性能的分析鑑別。
Network General 已經被NetScout公司收購。

擴展套用

1、專用領域的Sniffer
Sniffer被廣泛套用到各種專業領域,例如FIX (金融信息交換協定)、MultiCast(組播協定)、3G (第三代移動通訊技術)的分析系統。其可以解析這些專用協定數據,獲得完整的解碼分析。
2、長期存儲的Sniffer套用
由於現代網路數據量驚人,頻寬越來越大。採用傳統方式的Sniffer產品很難適應這類環境,因此誕生了伴隨有大量硬碟存儲空間的長期記錄設備。例如nGenius Infinistream等。
3、易於使用的Sniffer輔助系統
由於協定解碼這類的套用曲高和寡,很少有人能夠很好的理解各類協定。但捕獲下來的數據卻非常有價值。因此在現代意義上非常流行如何把協定數據採用最好的方式進行展示,包括產生了可以把Sniffer數據轉換成Excel的BoneLight類型的套用和把Sniffer分析數據進行圖形化的開源系統PacketMap等。這類套用使用戶能夠更簡明地理解Sniffer數據。
4、無線網路的Sniffer
傳統Sniffer是針對有線網路中的區域網路而言,所有的捕獲原理也是基於CSMA/CD的技術實現。隨著WLAN的廣泛使用,Sniffer進一步擴展到802.11A/B/G/N的無線網路分析能力。無線網路相比傳統網路無論從捕獲的原理和接入的方式都發生了較大改變。這也是Sniffer技術發展趨勢中非常重要的部分.

監控流量

隨著網際網路多層次性、多樣性的發展,網咖已由過去即時通信、瀏覽網頁、電子郵件等簡單的套用,擴展成為運行大量線上遊戲、線上視頻音頻、互動教學、P2P等技術套用。套用特點也呈現出多樣性和複雜性,因此,這些套用對我們的網路服務質量要求更為嚴格和苛刻。
目前,大多數網咖的網路設備不具備高端網路設備的智慧型性、互動性等擴展性能,當網咖出現掉線、網路卡、遭受內部病毒攻擊、流量超限等情況時,很多網路管理員顯得心有餘而力不足。畢竟,靠網路管理員的經驗和一些簡單傳統的排查方法:無論從時間上面還是準確性上面都存在很大的誤差,同時也影響了工作效率和正常業務的運行。
Sniffer Pro 著名網路協定分析軟體。本文利用其強大的流量圖文系統Host Table來實時監控網路流量。在監控軟體上,我們選擇了較為常用的NAI公司的sniffer pro,事實上,很多網咖管理員都有過相關監控網路經驗:在網路出現問題、或者探查網路情況時,使用P2P終結者網路執法官網路監控軟體。這樣的軟體有一個很大優點:不要配置連線埠鏡像就可以進行流量查詢(其實sniffer pro也可以變通的工作在這樣的環境下)。這種看起來很快捷的方法,仍然存在很多弊端:由於其工作原理利用ARP地址表,對地址表進行欺騙,因此可能會衍生出很多節外生枝的問題,如掉線、網路變慢、ARP廣播巨增等。這對於要求正常的網路來說,是不可思議的。
在這裡,我們將通過軟體解決方案來完成以往只有通過更換高級設備才能解決的網路解決方案,這對於很多管理員來說,將是個夢寐以求的時刻。
硬體環境(網咖):
100M網路環境下,92台終端數量,主交換採用D-LINK(友訊)DES-3226S二層交換機(支持連線埠鏡像功能),級聯普通傻瓜型交換機。光纖10M接入,華為2620做為接入網關。
作業系統Windows2003 Server企業標準版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI協定分析軟體-Sniffer Portable 4.75(本文選用網路上較容易下載到的版本做為測試)
環境要求:
1、如果需要監控全網流量,安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機,網卡接入端需要位於主交換鏡像連線埠位置。(監控所有流經此網卡的數據)
2、Snffier pro 475僅支持10M、100M、10/100M網卡,對於千M網卡,請安裝SP5補丁,或4.8及更高的版本
監控目的:通過Sniffer Pro實時監控,及時發現網路環境中的故障(例如病毒、攻擊、流量超限等非正常行為)。對於很多企業、網咖網路環境中,網關路由、代理等)自身不具備流量監控、查詢功能,本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括:網內任意終端流量實時查詢、網內終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時,我們將數據包捕獲後,通過Sniffer Pro的專家分析系統幫助我們更進一步分析數據包,以助更好的分析、解決網路異常問題。
步驟一:配置交換機連線埠鏡像(Mirroring Configurations)
以DES-3226S二層交換機為例,我們來通過WEB方式配置連線埠鏡像(也可用CLI命令行模式配置)。如果您的設備不支持WEB方式配置,請參考相關用戶手冊。
1.DES-3226S默認登入IP為:10.90.90.90 因此,需要您配置本機IP為相同網段才可通過瀏覽器訪問WEB界面。
2.使用滑鼠點擊上方紅色字型:“Login”,如果您是第一次配置,輸入默認用戶名稱、密碼:admin 自動登入管理主界面。
3.如圖所示,主界面上方以圖形方式模擬交換機界面,其中綠色燈亮起表示此連線埠正在使用。下方文字列出交換機的一些基本信息。

5.將Mirror Status 選擇為Enable(默認為關閉狀態,開啟),本例中將Port-1連線埠設定為監聽連線埠:Target Port=Port-1,其餘連線埠選擇為Both,既:監聽雙向數據(Rx接收 Tx傳送),選擇完畢後,點擊Apply套用設定。4.如圖(3):滑鼠點擊左下方選單中的advanced setup->Mirroring Configurations (高級配置—鏡像配置)
此時所有的連線埠數據都將複製一份到Port-1。
步驟二:Sniffer Pro 安裝、啟動、配置接下來,我們就可以在Port-1連線埠,接入計算機並安裝配置Sniffer Pro。
Sniffer Pro 安裝過程與其它套用軟體沒有什麼太大的區別,在安裝過程中需要注意的是:
①Sniffer Pro 安裝大約占用70M左右的硬碟空間。
②安裝完畢Sniffer Pro後,會自動在網卡上載入Sniffer Pro 特殊的驅動程式。
③安裝的最後將提示填入相關信息及序列號,正確填寫完畢,安裝程式需要重新啟動計算機。
④對於英文不好的管理員可以下載網上的漢化補丁。
我們來啟動Sniffer Pro。第一次啟動Sniffer Pro時,需要選擇程式從那一個網路適配器接收數據,我們指定位於連線埠鏡像所在位置的網卡。
具體位於:File->Select Settings->New
名稱自定義、選擇所在網卡下拉選單,點擊確定即可。

步驟三:新手上路,查詢網關流量這樣我們就進入了Sniffer Pro的主界面。
下面以圖文的方式介紹,如何查詢網關(路由、代理:219.*.238.65)流量,這也是最為常用、重要的查詢之一。
1. 掃描IP-MAC對應關係。這樣做是為了在查詢流量時,方便判斷具體流量終端的位置,MAC地址不如IP位址方便。
選擇選單欄中Tools->Address Book 點擊左邊的放大鏡(autodiscovery 掃描)在彈出的視窗中輸入您所要掃描的IP位址段,本例輸入:219.*.238.64-219.*.238.159點擊OK,系統會自動掃描IP-MAC對應關係。掃描完畢後,點擊DataBase->Save Address Book 系統會自動保存對應關係,以備以後使用。
2.查看網關流量。點擊Monitor->Host Table,選擇Host table界面左下角的MAC-IP-IPX中的MAC。(為什麼選擇MAC?在網路中,所有終端的對外數據,例如使用QQ、瀏覽網站、上傳、下載等行為,都是各終端與網關在數據鏈路層中進行的)
如圖所示:3.找到網關的IP位址->選擇single station->bar (本例中網關IP為219.*.238.65)
219.*.238.65(網關)流量TOP-10 此圖為實時流量圖。在此之前如果我們沒有做掃描IP(Address Book)的工作,右邊將會以網卡物理地址-MAC地址的方式顯示,現在轉換為IP位址形式(或計算機名),現在很容易定位終端所在位置。流量以3D柱形圖的方式動態顯示,其中最左邊綠色柱形圖與網關流量最大,其它依次減小。本圖中219.*.238.93與網關流量最大,且與其它終端流量差距懸殊,如果這個時候網路出現問題,可以重點檢查此IP是否有大流量相關的操作。
如果要查看219.*.238.65(網關)與內部所有流量通信圖,我們可以點擊左邊選單中,排列第一位的->MAP按鈕
如圖所示,網關與區域網路間的所有流量都在這裡動態的顯示。

綠色線條狀態為:正在通訊中需要注意的是:
暗藍色線條狀態為:通信中斷
線條的粗細與流量的大小成正比
如果將滑鼠移動至線條處,程式顯示出流量雙方位置、通訊流量的大小(包括接收、傳送)、並自動計算流量占當前網路的百分比。
其它主要功能:
PIE:餅圖的方式顯示TOP 10的流量占用百分比。
Detail:將Protocol(協定類型)、From Host(原主機)、in/out packets/bytes(接收、傳送位元組數、包數)等欄位信息以二維表格的方式顯示。
第四步:基於IP層流量
1.為了進一步分析219.*.238.93的異常情況,我們切換至基於IP層的流量統計圖中看看。
點擊選單欄中的Monitor->Host Table,選擇Host Table界面左下角的MAC-IP-IPX中的IP。
2.找到IP:219.*.238.93地址(可以用滑鼠點擊IP Addr排序,以方便查找)->選擇single station->bar (如圖11所示)
3.我們切換至Traffic Map來看看它與所有IP的通信流量圖。

為了進一步的證明我們的猜測,我們去看看219.*.228.93的流量協定分布情況。我們可以從219.*.238.93的通信圖中看到,與它建立IP連線的情況。圖中IP連線數目非常大,這對於普通套用終端來講,顯然不是一種正常的業務連線。我們猜測,該終端可能正在進行有關P2P類的操作,比如正在使用P2P類軟體進行BT下載、或者正在觀看P2P類線上視頻等。
4.如圖所示:Protocol類型絕大部分為Othen.我們知道在Sniffer Pro中Othen表示未能識別出來協定,如果提前定義了協定類型,這裡將會直接顯現出來。
如圖通過選單欄下的Tools->Options->Protocols,在第19欄中定義14405(bitcomet的默認監聽連線埠),取名為bitcom。

現在我們再次查看219.*.238.93協定分布情況.
現在,協定類型大部分都轉換為bitcom,這樣我們就可以斷定,此終端正在用bitcomet做大量上傳、下載行為。
注意:很多P2P類軟體並沒有固定的使用連線埠,且連線埠也可以自定義,因此使用本方法雖然不失為一種檢測P2P流量的好方法,但並不能完全保證其準確性。
好了,使用Sniffer Pro監控網關流量,就到這裡結束了。實際上我們可以用同樣的方法監控網路內的任何一台終端。後續,我們將繼續連載使用Sniffer Pro監控網路的其它新手教程,例如:利用Sniffer pro做網路的預警機制、利用Sniffer pro分析病毒、通過包分析結合專家系統發現網路記憶體在的“未知問題”,以後我們將陸續做更深一步的探討和分析。
概念解釋:
1.什麼是連線埠鏡像?
交換機一個或多個連線埠(VLAN)的數據鏡像到一個或多個連線埠的方法。
2.為什麼需要連線埠鏡像 ?
交換機的工作原理與HUB有很大的不同,HUB組建的網路數據交換都是通過廣播方式進行的,而交換機組建的網路是根據交換機內部CAM表(通常也稱IP-MAC表)進行數據轉發,因此需要通過配置交換機來把一個或多個連線埠(VLAN)的數據轉發到某一個連線埠來實現對網路的監聽。
3.連線埠鏡像通常有以下幾種別名:
①Port Mirroring 通常指允許把一個連線埠的流量複製到另外一個連線埠,同時這個連線埠不能再傳輸數據。
②Monitoring Port 監控連線埠
③panning Port 通常指允許把所有連線埠的流量複製到另外一個連線埠,同時這個連線埠不能再傳輸數據。
④PAN Port 在 Cisco 產品中,SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 連線埠不支持傳輸數據。

相關詞條

熱門詞條

聯絡我們