科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络嗅探教程:为什么要部署使用Sniffer PRO软件

网络嗅探教程:为什么要部署使用Sniffer PRO软件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

尽管Snffer PRO集众多优秀功能于一身,但对软件部署却有一定的要求。首先Snffer PRO只能嗅探到所在链路上“流经”的数据包,……本文是网络嗅探教程的一篇评论性文章,适合初学者阅读。

作者:banker 来源:51CTO.com   2008年9月24日

关键字: 网络嗅探 Sniffer 攻击防范 局域网攻击

  • 评论
  • 分享微博
  • 分享邮件

  作为一个网络管理人员,几乎无时无刻不面对着网络问题。我的朋友有一次打趣道:“我见过一个技艺颇为高深的人,他解决网络问题,别人只需要告诉他有什么现象,他立刻就能指出问题所在!”。我听了哈哈大笑,见他说话的时候一脸粉丝相,便想要挫挫他。回应说:“恩,改天你让他过来解决我网络的问题吧!”

  后来,我反复回想这段对话。更觉得不无道理。我们知道,很多有经验的网络管理员在排除网络故障时不需要进行任何分析,就能指出问题的所在。当你告诉他网速慢、业务运行不流畅时,不假思索,他就能立即指问题在那个终端交换机或者路由器出了问题。当你告诉他在一个时段内,财务数据依靠网络不能正常运行,他甚至能立即指出是有台服务器的网卡出现“间歇性罢工”。

  实际上,这种近乎神奇的直觉并不是来无踪去无影的神机妙算。相反,它正是建立在对网络环境熟悉、问题积累程度的基础之上。很多网络管理员都具备这种“素质”—这就是经验。

  但是,在网络业务日益膨胀的今天,企业对于网络的依赖,无论是业务种类的增加还是业务对网络吸附性都是前所未有的。以往依靠“经验”来分析解决问题,无论从准确性还是效率上都无法适应目前的新形式。依靠经验,你可能可以解决一些问题,但仍然无法在错综复杂的网络中找到问题的解决思路,仅仅是头痛医头脚痛医脚。

  解决问题的思路,往往要比问题本身更重要。一个“工具”就是一个解决问题的思路。在这里我们使用Snffer PRO做为检测网络故障的工具。事实上,除了Snffer PRO外,很多朋友还使用例如:网络执法官、P2P终结者、聚生网管等其它网络检测工具,这里简单比较一下它们的区别:

图1

  尽管Snffer PRO集众多优秀功能于一身,但对软件部署却有一定的要求。首先Snffer PRO只能嗅探到所在链路上“流经”的数据包,如果Snffer PRO被安装在交换网络中普通PC位置上不做任何设置,那么它仅仅能捕获本机数据。因此,Snffer PRO的部署位置决定它所能嗅探到的数据包。它能嗅探到的数据包,又决定它所能分析的网络环境。

  在以往HUB为中心的共享式网络中Snffer PRO的部署非常简单,只需要将它安置在你需要的网段中任意位置即可。但是随着LAN的发展,HUB也在近几年迅速的消声灭迹,网络也由以往共享式演变成以交换机为中心的交换式网络,因此在交换环境下的Snffer 软件部署又有了新的内容。目前大多使用SPAN和TAP。

  SPAN(Switch Port Analysis):我们经常说的端口镜像大多指SPAN。SPAN技术可以把交换机上我们想要监控的端口的数据镜像到被称为MIRROR端口上,MIRROR端口连接安装有Snffer PRO程序或者专用嗅探硬件设备。

  TAP:除了SPAN外,我们还可以选择TAP方式来部署Sniffer,在没有专用TAP设备时,HUB是一个不错的TAP折中方案。使用这种方式部署Sniffer,HUB将做为广播设备被放置在需要嗅探的中心接点位置上。这种方式之所以被称为折中“方案”或者“廉价方案”是因为HUB本身属于共享设备从而对现有高速网络的影响。另外,当需要变动嗅探环境时,HUB的部署位置也需要变动,需要中断网络。

  总体来讲:SPAN的方式使用简单、灵活,可以监控同一交换机上的多个VLAN环境或者多条链路。而TAP方式由于不需要硬件设备功能支持也倍受喜爱,这就是我们常常见到很多协议分析人员随身携带HUB的原因。

  下图为简单的Sniffer PRO部署图例,可以做为参考。

图2

  想要更详细了解SPAN和TAP,可以查看《TAP 技术与镜像技术正反两方面的评述》一文。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章