让网管员更灵敏

企业的运营越来越离不开网络，因此需要网络必须保持良好的状态，这也对网络管理人员提出了更高的要求。网络管理人员必须能够及时发现网络出现的各种问题。此外，目前对网络的攻击日益增加，网络管理人员对此也要保持高度的警惕。

网管的好助手

Sniffer网络分析仪是一个排除网络故障和对网络性能进行有效管理的可靠工具，它能够自动帮助网络专业人员维护网络，查找故障，协助扩展多拓朴结构、多协议的网络，简化了发现及解决网络问题的过程。

对于在中小企业局域网，或者校园网环境下，往往没有条件或者还没有配置Sniffer网络分析仪、IDS等一系列软、硬件网络安全管理工具，是否就无法实现既高效又廉价的安全解决方案呢？我们在自己校园局域网环境下，通过运用Sniffer Portable软件实现了快速准确分析网络故障的目标，并且也运用这一方法多次缓解了冲击波和震荡波等蠕虫病毒对网络通信安全的冲击。

计算机网络是共享通信通道的，共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（嗅探）。通常在局域网环境中，我们都是通过交换环境的网关上网的，在交换环境中使用IRIS、NetXray或者NAI Sniffer、ARPSniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。黑客通常利用ARP欺骗的方式来实现捕捉交换网络中其他用户的通信信息。但是我们进行嗅探的目的是通过系统管理员的身份合理管理网络，分析和预测网络故障。

美国网络联盟公司（Network Associates, Inc.）的Sniffer能够自动地帮助网络管理人员维护网络，查找故障，协助扩展多拓扑结构、多协议的网络，从而有效简化了发现及解决网络问题的过程。Sniffer 技术解决方案包括以下2款主要产品：Sniffer Portable（便携式分析套件）、Sniffer Distributed（分布式分析套件）。此外还有Sniffer Reporter、Sniffer Wireless、Sniffer Voice、Sniffer Mobile和Sniffer Pulse等。Sniffer的功能非常多，包括帮助用户在建网前，分析网络带宽的需求，确定相应的网络设备购买计划，对网络的日常管理与监控，寻找网络故障点并排除故障。

应用方便

网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网络的调制解调器之间等。目前最常见的交换机在第三层（网络层），根据数据包目标地址进行转发，而不太采取集线器的广播方式，从理论上讲，通过交换设备对网络进行分段后，Sniffer将无法透过边界而窥探另一边的数据包。所以，在多网段以太网环境下简单地放置一个嗅探器将不会起到什么作用。将嗅探器放置于被攻击主机（终端、服务器或者交换设备）或网络附近，这样将捕获到很多非正常数据包，可以用于寻找攻击源。还有一个比较好的方法就是放在网关上。Sniffer设置在路由器，或有路由器功能的主机上，就能对大量的数据进行监控。

1．观察网络的运行

例如，在我们的主交换机上进行如下配置，提供一个镜像端口，对局域网数据通信进行监听：

port mirroring dst-ports et.10.14 src-ports gi.5.1

并通过在镜像端口架设一台安装了Sniffer的主机，源源不断进行侦听局域网和网关的数据流，并且进行分析和记录。运行Sniffer后，启用监视器的矩阵模式（Monitor－Matrix），并查看当前局域网IP传输地图（Traffic Map），这样就可以对一段时间内的局域网内部和对外数据流进行图形化统计。

根据图1，我们可以对一段时间内的局域网内部和对外数据进行图形化统计。图1直观地反映了在选择监视器的矩阵模式下，局域网目前激活的连接情况，以及分别以IP地址、MAC地址及IPX进行监听的实时传输地图。正常局域网连接状态是离散和不规律的，每一个连接的响应时间也是不一致。这说明目前网络通信的状态是正常稳定的，没有异常连接或者异常流量产生，局域网出口也比较畅通。

2．检查对网络的攻击

图2反映了局域网有异常主机发起攻击性连接的状态。可以看出，明显地在局域网有用户发送大量异常数据扫描远程主机，并且侵占了局域网出口带宽，造成局域网对外通信中断或者时断时续，外网进入的流量和进程几乎完全阻断。随后，我们切换至Outline模式，读取这台主机的数据包类型及大小。

在侦听到的2000个点对点会话连接中，一台主机在十余秒时间内发起了999个连接请求，扫描互联网。随后，我们切换至Outline模式，读取这台主机的数据包类型及大小。

双击Host1进行按源地址排序，在侦听到的2000个点对点会话连接中，一台主机在十余秒时间内发起了999个连接线程，扫描互联网。直观的反映出这台主机在不停发送大小为132字节的数据，目的地址特征是随机生成的相连地址，远程主机几乎都没有回应。这时就可以明确知道造成局域网缓慢的原因，是由于这台主机蠕虫病毒发作，这一症状和感染冲击波及变种蠕虫一致。为了进一步确定异常流量和连接的特征，又用Sniffer的Capture功能进行了抓包，选择“停止并捕获”（Stop and Display），并将数据包进行解码分析，发现异常主机启动一个攻击传播线程，不断的随机生成攻击地址，尝试连接至其他主机的135端口（DCOM RPC漏洞），这些请求在传播过程中产生大量的数据包，使得网络路由器和交换机陷于瘫痪。

以上侦听和分析消耗时间不到半分钟，就已经找到局域网数千台主机之中一台造成网络拥塞的主机地址了。这种分析方式，远远优于交换机或者路由器所提供的数据分析统计功能，例如著名厂商的路由器统计的数据，就没有这种方式直观高效，也不能做到快速保存事件日志。

在实践过程中，我们还成功查获了多次局域网用户使用黑客软件攻击事件。当有局域网异常情况发生，在无法及时赶到现场分析判断故障时，我们首先采用Sniffer pro进行侦听。对于当时异常的连接和数据包进行记录，均能够及时发现攻击源和确定攻击方式，为快速有效排查网络故障起到了决定性作用。这种方法，也帮助我们成功发现了一种木马程序变种在局域网扩散传播的事件，并且提取了该木马程序的源文件及找到了清除的方法。

Sniffer在解决局域网安全问题和规划网络设计、测试硬件和软件环境等方面还有很多应用。Sniffer不仅能通过对流量的异常分析，发现并抓住病毒，它还可以用于寻找冲突的网络地址，确定网络变慢（重传）的原因，确定响应时间慢的原因，以及实时监控统计和报警，生成报表和图形日志，优化网络结构，分析设备和软件性能。对于Sniffer的众多功能，还需要继续研究和实践，以适应在各种网络环境下的运行维护和安全管理的应用。