用Sniffer进行局域网管理备课讲稿

第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。

为了解决网络问题需要对网络中的数据进行相应的捕获和分析，Sniffer就是这样一种类型的软件。

它能够针对网络工作中的各种数据进行相应的捕获和分析。

从本章开始，本书将对Sniffer这类网络工具的功能和使用方法进行介绍。

1.1局域网安全概述局域网是日常使用中最常见的一种网络结构，同时也是组成网络的基本单位。

由于Sniffer必须在局域网中使用，所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。

目前的局域网基本上都采用以广播为技术基础的以太网。

在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截获。

因此，只要使用软件在接入以太网上的任一节点进行侦听，就可以捕获在这个以太网上传输的所有数据包。

如果使用相应的算法对截获的数据包进行解包分析，就可以获得相应的关键信息，这是以太网固有的安全隐患。

针对这一安全隐患，可以使用多种软件达到截获数据包并进行分析的目的。

Sniffer就是这样的一种软件。

这也是本书的一个意义：认识这种安全隐患技术，从而达到避免这种安全隐患，维护网络安全的目的。

针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。

1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施。

其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

网络分段可分为物理分段和逻辑分段两种方式。

物理分段是以硬件设备将网络划分成不同的网络地址段。

在出现问题时可以通过物理手段来断开网络以避免更大的损失。

第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。

在实际的网络工程应用中，这两种方式经常混合使用以便达到更好的效果。

通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段就可以了。

好，我们继续看第二个monitor功能，Host table，我们叫他主机列表这是非常好用的一个功能，有什么用呢？第一看流量最大的TOP10主机，第二看广播量有多少，当时我发现冲击波、振荡波的时候，就是看这个host table，发现有大量的全子网广播第三可以快速过滤单一主机流量。

第四通过过滤功能可以看到单一业务主机的流量分布，当然也可以通过镜像接口去实现我们一个一个来看。

首先TOP10主机，我们可以点击各列的标题来排序，方便我们分析，比如收发包情况。

大家可以试一下。

第二广播量有多少我们点击broadcast或multicast的标题，查看广播量，有一点要注意，不要忘记看MAC层的广播和组播，因为MAC的广播不一定有IP头，比如ARP，同样IP的广播在MAC也可能是单播，比如子网广播。

MAC层的广播是目的MAC为48个1，MAC层的组播为目的MAC第一个字节最低位是1。

（范老师有板书，我的本子上有，懒得画了）IP的广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。

172.16.33.255叫子网广播，广播给172.16.33.0这个子网，可以跨路由器。

172.16.255.255叫全子网广播，广播给172.16.0.0这个主网，可以跨路由器。

大家以前学网络的时候，老师会给一个概念，说路由器是三层设备，隔离广播，对吧，我也是这样给同学介绍的，但我在后面会告诉同学，并不是所有广播都隔离。

事实上只有255.255.255.255这类本地广播，路由器才不转发，对于子网广播和全子网广播，路由器是转发的，这是为什么呢？我们来看4个255的广播，在MAC的封装中，对应的目的MAC是广播，而子网广播和全子网广播，对应的目的MAC是单播，所以路由器会转发。

（范老师在演示）所以我们注意到，路由器隔离的广播是目的MAC为全1的广播，对于目的MAC是单播的上层广播，路由器是不能隔离的。

sniffer 教程
Sniffer是一个网络流量分析工具，用于截获和分析网络数据包。

它可以用于网络管理、网络安全监测、漏洞分析等目的。

下面是一些关于使用Sniffer的基本教程：
1. 安装Sniffer软件：首先，您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。

安装过程通常与常规软件安装类似，您只需按照安装向导的指示进行操作。

2. 启动Sniffer：安装完成后，在您的计算机上找到Sniffer 的快捷方式或应用程序图标，双击打开Sniffer。

3. 设置网络接口：在Sniffer界面上，您需要选择要监测的网络接口。

通常，您可以选择您的计算机上的网络接口（如以太网、Wi-Fi等）。

选择要监测的网络接口后，单击“开始”或类似的按钮以开始捕获网络数据包。

4. 监测网络流量：一旦Sniffer开始捕获网络数据包，它将显示经过所选网络接口的流量。

您可以在Sniffer界面上查
看捕获的数据包，并从中提取关键信息，如源地址、目的地址、协议类型等。

5. 分析网络流量：Sniffer还提供了一些分析工具，如过滤器、统计数据、图形化界面等，以帮助您分析捕获的网络流量。

您可以使用这些工具来过滤特定类型的数据包，生成统计报告，可视化网络流量数据等。

需要注意的是，使用Sniffer工具需要具备一定的网络知识和技能，以有效地利用捕获的数据包进行分析。

此外，出于安全和合法性的考虑，在使用Sniffer时，请确保遵守相关法律和规定，并仅在授权范围内使用该工具。

实验一sniffer软件的使用
一、实验目的：
通过实验操作掌握Sniffer软件的安装与基本功能的使用，对监控软件原理有一定的了解，能够熟练使用sniffer软件实现常用的监控功能。

二、实验要求
根据第2章介绍的Sniffer软件的功能和步骤来完成实验，在掌握基本功能的基础上，实现日常监控应用，给出实验总结报告
三、实验设备及软件
2台磁盘格式配置为NTFS的Windows xp操作系统的计算机，局域网环境，Sniffer软件。

四、实验预习
1. 网络监控软件的主要目标有哪些？
2. Sniffer的工作原理是什么？
五、实验步骤（参照教材第十章内容）
1. 安装Sniffer软件
2. 对默认状态下的报文进行捕获解析
3. 设置捕获条件并对其数据进行分析
4. 使用Sniffer pro监控网络流量
5. 使用sniffer监控“广播风暴”
六、实验报告要求
1. 参照实验步骤简单将实验过程写出来。

2．对于加密数据sniffer Pro还有没有作用？
3. sniffer pro能监控的协议中，数据量比较大的是那些？。

软件使用指南在日常的局域网维护中，对于一款软件，不仅要知道其表面的功能，更要深入了解其工作原理，这样才能更有效地挖掘软件更高级的应用及功能，以此来解决网络中的疑难故障。

下面结合一些日常网络故障实例，介绍一下Sniffer在局域网维护中的综合应用。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。

Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。

以下以Sniffer 4.7.5汉化版本为例，介绍一下Snffer在局域网维护中的具体应用。

一、Sniffer软件的安装在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。

运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。

二、Sniffer软件的使用打开Sniffer软件后，会出现主界面(如图1)，显示一些机器列表和Sniffer软件目前的运行情况，上面是软件的菜单，下面有一些快捷工具菜单，左侧还有一排快捷菜单按钮。

由于使用的是汉化版软件，因此部分词语汉化不是太准确。

1、获取网络中的机器列表Sniffer软件运行后，首先要搜索网络中的机器。

在"工具”菜单中找到"地址簿”选项并运行，在"地址簿”中的左侧工具菜单中，可以找到一个"放大镜”的图标，这是"自动搜索”的按钮。

运行"自动搜索”功能后，在IP地址段中输入网络的开始IP地址和结束地址，然后系统会自动搜索。

搜索完成后，会出现一个如图1的机器列表。

2、保存机器列表Sniffer搜索网络中所有的机器列表后，可以在"数据库”菜单中选择"保存地址簿”选项，将当前的机器列表保存，以备日后使用。