分析当前网络流量,找出网络中潜在的问题,确保网络稳定正常地运行,是每位网管员的职责。要做到这一点,单凭丰富的经验是不够的。这里为大家推荐一款网络治理的利器——哑巴监视器(下载地址)。它提供了强大的嗅探侦听、统计分析、发包测试、进程监控等功能,能让我们轻松地分析出问题所在,从而对症下药,及时地排除网络故障。
需要首先说明的是,哑巴监视器要在1024x768像素分辨率下才能显示出完整界面,所以运行前要对屏幕的分辨率进行设置。
一、嗅探设置
1.项目简介
运行程序,在主界面的工具栏中点击“设置”按钮.进入“嗅探设置”界面。在这里,我们可以看到如下几个项目(如图1)。
(1)ip包方向及IP过滤:可以指定要过滤的IP包。包括本机、本局域网或自定义的IP范围。需要注重的是,只有选择“自定义IP地址”,才会出现IP地址过滤项。
(2)协议过滤:可以选择包类型,如TCP、UDP或ICMP包等。假如此处选择的不是TCP协议,那么在下文中提到的“常用服务或端口过滤”下拉菜单中,不会出现“选择常用服务”项,因为这些服务都是基于TCP协议的。
(3)常用服务或端口过滤:可以对指定的常用服务或者端口进行过滤,默认是选择所有服务及端口。
(4)最大数据包长度:可以设定要嗅探的IP包的最大长度,范围是0~65535;考虑到系统资源有限,软件特意在嗅探设置中增加捕捉IP包数目的限制,范围是0~10000。
(5)IP包数据格式:包括ASCII码、十六进制、十进制、字符格式(含有乱码)四种。字符格式(含有乱码)一项是为输出部分中文信息而设置的,因为ASCII码格式不能显示中文汉字。具体选择哪种格式.要根据嗅探的实际目的来确定。一般选择为ASCIl码即可。
(6)自动刷新间隔:可答应设定的最长时间为9秒,最短是2秒。设定时只需拖动滑动条即可。
2.设置实战
为了让初次接触该软件的朋友对设置过程有个更直观的熟悉,下面我们将以查看自己所在的局域网内有哪些机器正在浏览网页为例,说说设置过程。
第一步:在“IP包方向及IP过滤”项选择“本局域网的所有IP包”。
第二步:在“协议过滤”里选择“TCP”。
第三步:在“常用服务或端口过滤”里选“选择常用服务”,然后在下面出现的相关项目中勾选“HTTP(网页浏览)”项(如图2),其他使用默认设置即可。完成设置后单击“确定”按钮,返回主界面。
二、嗅探与分析
单击工具栏上的“开始”按钮开始嗅探。稍后结果会出现在列表中。单击某一行可以在下方的“IP包结构分析”、“IP包数据内容”等栏中查看到IP包里的具体内容。在“上层敏感数据说明”中则可以看到该用户目前正在浏览的网站和浏览器信息(如图3)。假如要查看某一数据对应的源主机名或目标主机名,可以右击该行,然后选择相应的命令。
假如要对IP包里的数据进行排序,可以单击列表头部的相应项目来进行,如点击“源IP地址”,会按照源IP地址升序排列,再次单击则按降序排列。另外,单击工具栏上的“分析报告”按钮,可以对当前的嗅探结果进一步分析,比如哪个IP发送数据包最多,哪个IP接受数据包最多,哪个端口用得最多等。
三、网络测试
我们可以构造3种类型的数据包对网络进行测试:TCP、UDP和ICMP。方法很简单,只要在工具栏中单击“包发送器”,在弹出窗口中设置好数据包的类型、目标IP地址及端口号,再单击“发送”按钮即可。
