Sniffer研究与应用

14·(总0094)Sniffer研究与应用2014年第2期文章编号:1003-5850(2014)02-001403Sniffer研究与应用杨亚仿1,吴昊2(1.广西中医药大学信息网络中心,南宁530001;2广西师范学院师园学院,南宁530226)摘要:网络管理的基本职责是能快速定位网络故障并加以排除,同时应该了解网络的基本流量特征和分布状况有助于网络的整体规划和流量策略调整,以应对各种网络应用需求。 Sniffer同时具备了上述两种功能,介绍了它的工作原理和部署方法,并分析了如何使用 Sniffer进行异常流量检测、流量评估和网络流量特征的长期监控。关键词:网络管理, Sniffer,异常流量检测,网络流量特征中图分类号:TP393;TP3l文献标识码:AApplication and research of SnifferYANG Ya-fang, Wu Hao(1. Center of Netuork, Guangxi University of Chinese Medicine, Nanning 530001,China2. Shiyuan College of Guangxi Teachers Education University, Nanning 530226, China)Abstract: The basic responsibility of Network management is quickly locating the network fault andsolve the fault. At the same time it should know the basic flow characteristics and distribution of networkstatus, which can help to plan network and then strategy adjustment, and coping with all kinds of networkapplication requirements. Sniffer has the two function above. This paper introduces its working principleand deployment method, and introduces the method of using sniffer, including abnormal traffic detectinflow evaluation and long-term monitoring network traffic characteristicsKey words: network manage, Sniffer, abnormal traffic detection, network traffic character引言划。这些都要求网络管理人员能充分了解网络的基本流量特征和整体运行状况。随着科学技术的发展,网络的应用已经如同水和Sniffer可以翻译为网络嗅探器,它工作在网络底电一样,它静悄悄地渗透到了人们生活与工作中的方层,通过对网络上传输的各种信息进行嗅探侦听,从方面面网络购物已经普及,网络办公也已经实现,冈而可以监控检测网络中传输的数据包信息。该技术络的管理和应用地位亦逐步提升。网络管理最基本目前已被广泛应用于网络故障诊断、协议分析、流量的要求是能快速定位网络故障并加以排除,但网络的评估和应用性能分析等各个领域。状态是时刻变化的,如同城市人口和交通流量,充满着弹性,为了随时应对突发状况,网络管理员应具备1 Sniffer简介长远目光,能对现有网络进行流量评估、性能分析和简介优化调整,能根据特定的网络应用流量要求进行流量Sniffer是一种基于被动侦听原理的网络分析技策略的调整,最重要的是能够对网络架构有远景规术,能够快速定位网络故障,并能捕获网络故障数据中国煤化工*收稿日期:2013-12-19,修回日期:2014-01-12CNMHG*作者简介:杨亚仿,男,1984年生,硕士研究生,研究方向:信息管理系统硏发和校园网管理建设。第27卷第2期电脑开发与应用(总0095)15包,帮助网管人员分析和处理故障数据包,有效提高和网络故障等。此种方式的优点是能保存网络的历网络管理水平。ISS为 Sniffer有过这样的定义: Sniffer史流量数据,通过长期稳定的历史流量记录分析可以是利用计算机的网络接口截获目的地址为其他计算优化网络架构,调整网络流量策略。机的数据报文的一种工具。软件 Sniffer则比较灵活,可以安装在笔记本电Sniffer具有如下特点脑中,与网络的关键节点连接则检测核心流量数据,①高性能的网络流量捕获能力,能够记录网络链了解网络整体状况,与三层或-二层交换机连接则可以路上的网络流量信息监测检查某个网段的运行状态。网络上流行的 Sniffer②流量的高级统计分析能力,能以协议、数据包软件很多,有商用版的,也有免费版的,其中最常见的大小等来统计流量分布;是 Sniffer pro和 Tcpdump③强大的协议解码能力和专家分析能力,能够解2 Sniffer应用析各种数据包;④ Sniffer通常运行在路由器或有路由功能的主Sniffer最广泛的应用是分析网络异常流量产生机上,以方便截获数据。的原因,进行故障定位与排除,但它更重要的功能是⑤sifr既可以是硬件,也可以是软件,实现了对网络应用进行流量评估,对网络流量特征数据进Sniffer技术的硬件或软件就成为一个 Sniffer(即网络行长期监控,帮助网络管理人员了解网络整体状况,嗅探器)。对网络架构优化调整1.2工作原理2.1网络异常流量检测以太网中的数据通讯是基于广播方式发送的,以网络流量的产生归根于网络中的各种应用,在分帧为单位传输,同一物理网络的所有主机的网卡都能析网络流量时,首要关注的是产生最多流量的计算接收到这些以太网帧。网卡有4种工作模式:广播模机、产生最多流量的协议,以及这些流量的流向。式、多播模式、直接模式和混杂模式( Promiscuous在故障分析中备受关注的是异常流量的产生,非Mode),网卡缺省工作模式为广播模式和直接模式。网正常网络应用产生的流量称为异常流量,其产生的主卡收到传输来的数据帧网卡内的单片程序先判断目要原因有病毒引起、网络攻击引起、不当的网络配置的MAC地址,根据工作模式判断是否接收,并在接收和网络应用程序的BUG等。关注产生最多网络流量后产生中断信号并通知CPU,否则就丢弃不管門的计算机是发现网络异常流量非常有效的手段,对异Sniffer通过将网卡设置为混杂模式,在这种工作常流量分析可以按如下步骤进行模式下,网卡不对目的地址进行判断,而是直接对遇①找出产生网络流量最大的主机;到的每一个数据帧都产生一个硬件中断提醒操作系②分析该主机的网络流向,即这些网络流量是发统进行处理,因此可以通过软件编程实现相应的捕获给谁的;和分析,掌握数据报文中每个字段的含义,从而实现③查看异常网络流量的内容,即对数据包进行捕对网络流动数据报文的监听分析。获解码并加以分析1.3 Sniffer部署位置常用的 Sniffer软件都能提供上述功能,其中尤为了正确捕获网络中的数据包, Sniffer应部署在以 Sniffer pro功能最强大,且提供了多种图形化的对合适的网络节点中。比分析和统计结果报告,其 Hosttable功能分析网络硬件 Sniffer一般配有相应的管理软件,其效率流量最大的主机,Matx功能分析该主机的网络流高、功能强,但是价格昂贵,部署后不方便移动,应放向,专家列表的 Decode功能查看数据包具体内容在路由器、防火墙或核心交换机等设备上,通过对交22网络应用流量评估换机的网络出口进行端口镜像,监听和分析镜像后的Sniffer提的讨滤功能可以定制捕获特定的网络网络数据包,从而达到管理和监测网络全局状态的目应用数据包中国煤化工程序的流量特的,而且能随时掌握网络的状态,及时发现入侵信息征。根据其数CNMHG应用如下几类16·(总0096)Sniffer研究与应用2014年第2期①交易处理型。建立在大量的客户端与服务器包和最大包是最多的。因为目前网络中最多的是之间的交互基础之上,客户端不断地发起请求,服务TCPP协议,其3次握手的确认数据包都是小包,而器对请求进行下达并进行响应,此类应用产生的网络在数据传输时一般是大包,但是不同的网络中包大流量可能不大,但交互的数据包会很多,是面向连接小分布是不同,这取决于其实际应用情况。网络中的的应用,对网络的要求是低延迟,高响应,典型应用是小包占用比率过高会造成网络性能严重下降,如某些电子商务,如淘宝,京东等。病毒,能不断发出HTPP请求(大量的TCP确认包)②文件传输。主要进行数据传输,因此交互请求建立连接。因此网络管理人员应了解本网络正常情并不多,但会产生大量的网络流量,因此网络的带宽况下的包大小分布状况直接影响传输速度,如FTP,网络下载等。③协议分布。协议的分布表示网络中各种应用③流传输应用。也是进行数据传输,但不同的是流量分布的实际体现。随着目前网络中BS架构的应在传输两端没有请求交互,而且主要是对实时性要求用不断增多,HTTP协议流是网络中流量最大的,还较髙的数据,同时流量的大小相对稳定,对网络要求有流媒体应用、FT和Emai等都会在网络中产生大稳定的带宽,也不能有较大的延迟,如视频监控,网络量的流量。当某个协议的流量岀现异常増大时,应査电话等。看其增多原因是否正常。分析协议分布,主要是了解通过对网络应用进行流量评估是为了了解其流各种应用流量产生何种规模的流量,有助于对网络流量特征,评估其对网络系统造成的影响,从而调整流量进行评估,更改流量策略量策略,保证网络应用的正常运行。如网络视频会议协议分布、包大小分布和网络利用率是网络中最往往需要稳定的、较髙的网络带宽才能保证通讯质量基本也是最重要的流量信息,应进行长期监控,从而和画面的流畅,此时可以通过分析历史视频会议数据形成网络的基准,这些数据对于网络的应用规划、性包进行流量评估,分析其在稳定通讯时的传输带宽能调整和及时发现异常都有重要的意义值通过调整本地流量策略,避免其他网络流量对它3总结的影响,保证视频通讯能顺利进行。2.3网络流量特征网络管理的基本要求是故障定位与排除,长远目网络流量特征主要包括网络利用率,包大小分布标是能熟悉网络流量特征进行网络架构的规划调整和协议分布等数据,通过 Sniffer工具可以轻松查看 Sniffer的强大之处在于能同时提供上述两种功能,此这些数据,而且它能提供各种长期的统计分析报告,外 Sniffer也可能被黑客利用而成为窃取私密数据的从而帮助了解网络运行的整体状况。工具,网络管理员既要能充分利用其故障诊断和数①网络利用率。网络利用率是网络中实际的网据统计分析功能,也要有意识地防止被 Sniffer.络流量同网络理论带宽的比率,是网络运行状况的重要参数。很多实际经验表明,网络利用率如同交通参考文献运输利用率,一般不要超过20%~30%,否则链路通道会被占用,数据丢包率也会增大,造成服务质量下1于承斌 SnifferPro及其在网络管理与维护中的应用U泰降。很多病毒通过发送大量的数据包占用网络带宽山医学院学报,2008,29(3):205-207.2]陈正权 Sniffer工具在校园网管理中的应用J宁波职业技造成网络利用率异常升高,最终影响网络正常运行术学院学报,2010,14(5):53-56网络管理员应该对网络流量进行长期的监控分析,图李去,王巧浅析网络Sm面u内江师范学院学报,以得到正常的网络利用率数据,从而能够快速发现2004,19(6):46-49利用率异常。4]胡道元网络安全[M]北京:清华大学出版社,2004:17-2②2包大小分布。网络中传输的数据包的大小是(5陈千sif中国煤化工们研究计算机不一样的,lp包最小为40B,最大1500B,以太网的程与设计CNMHG帧最小64B,最大1518B。一般来讲,网络中最小的