一直都想寫(xiě)一個(gè)sniffer的應(yīng)用教程，上次和J_Lee合辦的那張CISCO貼里就保留了這一項(xiàng)，今天終于有空來(lái)做這件事情了。
sniffer軟件博大精，我之所窺也不過(guò)滄海一粟。因此這個(gè)教程僅僅是一個(gè)針對(duì)初學(xué)者的教程，但如果沒(méi)有一定的網(wǎng)絡(luò)基礎(chǔ)，這張貼恐怕仍然會(huì)讓你感到吃力。有興趣的朋友就跟我一起來(lái)玩~
現(xiàn)在很多時(shí)候我們都需要在交換環(huán)境下進(jìn)行sniffer監(jiān)控，因此這里就先從定義鏡像端口做起。為什么要先定義鏡像端口才能sniffer？這和交換機(jī)工作的原理有關(guān)。交換機(jī)的工作原理與HUB有很大的不同，HUB組建的網(wǎng)絡(luò)數(shù)據(jù)交換都是通過(guò)廣播方式進(jìn)行的，而交換機(jī)組建的網(wǎng)絡(luò)是根據(jù)交換機(jī)內(nèi)部的CAM表（暫且理解為MAC地址表）進(jìn)行轉(zhuǎn)發(fā)的。也就是說(shuō)前者可直接sniffer而后者不能直接sniffer。這時(shí)就要用到端口鏡像，端口鏡像的定義就是：“把被鏡像端口的進(jìn)出數(shù)據(jù)報(bào)文完全拷貝一份到鏡像端口，方便我們進(jìn)行流量觀(guān)測(cè)或者故障定位”。
還是來(lái)做一個(gè)實(shí)驗(yàn)吧，這樣理解起來(lái)快一些
假設(shè)某公司申請(qǐng)了一根10M的電信寬帶，突然某一天下午，網(wǎng)速奇慢無(wú)比。公司里的員工怨聲不斷，強(qiáng)烈要求網(wǎng)絡(luò)恢復(fù)通暢，這時(shí)作為網(wǎng)絡(luò)管理者的你，需要馬上找出原因：
不同的設(shè)備做端口鏡像的方法不同，CISCO的玩意兒雖好但對(duì)大部份網(wǎng)絡(luò)愛(ài)好者來(lái)說(shuō)太專(zhuān)業(yè)，做教程不一定合適。因此這里我選一款D-LINK的DES-3226S二層交換機(jī)為例，以WEB界面說(shuō)明如何進(jìn)行鏡像端口的配置（Mirroring Configurations）。
如圖：
進(jìn)入DES-3226S二層可網(wǎng)管交換機(jī) 選擇login to make a setup，登陸后進(jìn)入交換機(jī)主配置菜單并顯示基本信息:

　選擇下面的Advanced setup------Mirroring Configurations（鏡像配置）

mirror Status選項(xiàng)Enabled，然后將Port 1設(shè)置為鏡像端口，其余端口監(jiān)聽(tīng)模式點(diǎn)選為Both（即發(fā)送與接收的數(shù)據(jù)都同時(shí)監(jiān)控），這樣交換機(jī)就把2號(hào)端口至24號(hào)端口的數(shù)據(jù)隨時(shí)隨地都COPY了一份給Port 1，然后我們?cè)赑ort 1上進(jìn)行監(jiān)聽(tīng)，Sniffer也就有了用武之地。
將網(wǎng)管電腦插入Port 1（鏡像端口），開(kāi)啟Sniffer軟件，怎么樣？界面夠酷吧？左、右兩幅地圖很直觀(guān)的顯示了整個(gè)LAN內(nèi)的數(shù)據(jù)流向。不管是右邊的“傳輸?shù)貓D”還是左邊的“主機(jī)列表”它們現(xiàn)在都是根據(jù)學(xué)習(xí)到的MAC地址進(jìn)行流量標(biāo)識(shí)的。

通過(guò)左邊的“主機(jī)列表餅圖”，你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E這兩臺(tái)主機(jī)的數(shù)據(jù)流量目前為止最多。
請(qǐng)出“局域網(wǎng)MAC地址掃描器”（也可以簡(jiǎn)單的ARP -A或者利用下面講的IP選項(xiàng)），進(jìn)行LAN內(nèi)的MAC地址掃描,進(jìn)一步知道了00-E0-4C-DD-2E-2E屬于192.168.123.117。而00-50-18-21-A5-F4這個(gè)地址屬于192.168.123.254（這個(gè)地址為網(wǎng)關(guān)出口）。這樣我們就可以知道是誰(shuí)人把網(wǎng)速拖慢了！ 僅僅是知道是誰(shuí)拖慢了網(wǎng)速還不夠，我們還要進(jìn)一步知道此人到底是怎么把網(wǎng)速拖慢了的。還是在“傳輸?shù)貓D”里，看到下面MAC/IP/IPX三個(gè)選項(xiàng)了么？現(xiàn)在點(diǎn)IP選項(xiàng)，看出現(xiàn)了什么？不再是基于MAC地址的地圖了，已經(jīng)切換成IP地址的傳輸?shù)貓D了。其中最粗的那根線(xiàn)：192.168.123.117=========221.10.135.114 說(shuō)明了這家伙一直在和外網(wǎng)的一臺(tái)主機(jī)交換數(shù)據(jù)，很明顯他是在下載文件。
再用“主機(jī)列表”中IP選項(xiàng)以餅圖查看：
發(fā)現(xiàn)192.168.123.117與221.10.135.114的通信流量竟然高達(dá)整個(gè)網(wǎng)絡(luò)流量的89.58%（44.20+45.38)！

　現(xiàn)在故障原因已經(jīng)很明了，我們只需要對(duì)192.168.123.117這臺(tái)主機(jī)進(jìn)行處理就可以恢復(fù)網(wǎng)絡(luò)的通暢。但在這之前，我們可以先利用sniffer監(jiān)控一下整個(gè)網(wǎng)絡(luò)中都在傳些什么內(nèi)容！點(diǎn)擊上面的菜單中：捕獲---定義過(guò)濾器----選擇“地址”子菜單；地址類(lèi)型（協(xié)議）：IP；在下面的“位置1”和“位置2”中分別填入“任意的”、“任意的”，意思是對(duì)整個(gè)LAN內(nèi)的主機(jī)進(jìn)行監(jiān)控，當(dāng)然你也可以?xún)H僅監(jiān)控兩個(gè)地址的通信，比如前面所發(fā)現(xiàn)的192.168.123.117和221.10.135.114這兩臺(tái)主機(jī),要注意雙向通信或者單向通信的選擇（鍵頭符號(hào)）。

還可以在“高級(jí)”里選擇具體對(duì)哪些IP協(xié)議進(jìn)行監(jiān)控，如果你對(duì)TCP/IP協(xié)議熟悉，利用這個(gè)功能可以快速得到自己想要的數(shù)據(jù)。
譬如我們抓到了192.168.123.139訪(fǎng)問(wèn)外網(wǎng)主機(jī)211.91.135.26在80端口的一些數(shù)據(jù)包，說(shuō)明這臺(tái)主機(jī)正在流瀏網(wǎng)頁(yè)。

甚至可以進(jìn)一步看對(duì)方在瀏覽遠(yuǎn)程主機(jī)上哪個(gè)目錄下面的網(wǎng)頁(yè)，看到那個(gè)rm文件的地址了么？這說(shuō)明他目前正在線(xiàn)收看一部電影或者一首歌曲（根據(jù)前面music目錄來(lái)推斷）。
? sniffer的功能還遠(yuǎn)不止這些，不過(guò)今天就到止為止吧，end.

轉(zhuǎn)載于:https://blog.51cto.com/aloofcn/258969

總結(jié)

以上是生活随笔為你收集整理的sniffer使用查网络故障的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。