Ｓｎｉｆｆｅｒ在網絡管理中的應用

摘要：Sniffer技術被廣泛應用于網絡管理。我們可以通過它進行數(shù)據(jù)包分析，從而了解網絡的當前狀況，以便找出所關心的潛在問題。

關鍵詞：Sniffer；網管管理；QQ

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)12-2pppp-0c

The Application of Sniffer to Network Management

WANG Xiao-liang

(Zhejiang Chunhui Middle School，Shangyu 312300，China)

Abstract:Sniffer is widely used in the network management.We can analyse the data packet with sniffer and then find the problem which we care about.

Key words:Sniffer;Network Management;QQ

前段時間，筆者所在單位出于管理的需要，要求網絡中心對本單位內的QQ等即時通訊工具進行一定的限制。

QQ是國內用戶占用率較高的一款即時通訊工具，登錄方式多樣。如何限制QQ用戶的登錄就成了網絡管理員需要面對的問題。筆者經過反復修正，最終形成了一套行之有效的方案。

第一步、“全城戒嚴”——在數(shù)據(jù)包必經之路架設Sniffer環(huán)境

Sniffer(嗅探器) 就是利用計算機的網絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術。它能夠監(jiān)聽到所有經過本計算機網卡的數(shù)據(jù)包。

在Windows操作系統(tǒng)下，只要安裝了Sniffer Pro，就可以把一臺計算機變成一臺嗅探器。Sniffer Pro可以偵聽到所有到達網卡的數(shù)據(jù)幀。

根據(jù)這種特征，然后結合單位網絡，筆者在數(shù)據(jù)包必經之路上架設Sniffer環(huán)境。如下圖所示。

由于單位客戶機的數(shù)據(jù)包都要通過交換機的Ehternet 6/0/24端口，所以把Sniffer放在同一個交換機的不同端口。然后對交換機進行設置，讓所有經過 Ethernet 6/0/24的數(shù)據(jù)包復制一份給Ethernet 6/0/23 。這樣嗅探器就可以截獲本單位的所有數(shù)據(jù)包。

這一步需要對交換機進行設置。不同的交換機命令格式不同。現(xiàn)以華為8508核心交換為例。命令格式如下：

mirroring-group 1 inbound Ethernet6/0/24 mirrored-to Ethernet6/0/23

第二步、“火眼金金”——找出QQ數(shù)據(jù)包的特征

經過第一步的設置后，雖然數(shù)據(jù)包都經過了Sniffer，但并不是所有的數(shù)據(jù)包都是QQ數(shù)據(jù)包。我們還需要找出QQ數(shù)據(jù)包的特征。

經過網絡資料的搜索與本地QQ數(shù)據(jù)包格式的比對，QQ的數(shù)據(jù)包采用一種叫TCPF協(xié)議。TCPF協(xié)議有兩個特征：

(1)包的第0字節(jié)是TCPF包標識：0x02。

(2)所有的TCPF包都以0x03作為包尾。在包頭和包尾中間的包數(shù)據(jù)則不同類型的包有所不同。

根據(jù)以上規(guī)律，在SnifferPro中進行如下設置。

通過對SnifferPro的設置，我們開始過濾數(shù)據(jù)包，把符合配型條件的數(shù)據(jù)包（也就是疑似QQ數(shù)據(jù)包）留下來。如下圖所示。

上圖顯示的是一個被截獲的QQ數(shù)據(jù)包。數(shù)據(jù)包中有明顯TCPF協(xié)議的痕跡。從這個數(shù)據(jù)包的IP包頭中可以讀出，這個數(shù)據(jù)包來自58.61.33.240。那么這個IP地址就是需要進行屏蔽的。

第三步、“攔住去路”——在防火墻中設置屏蔽信息

通過Sniffer的配型比對后，可以截獲很多疑似數(shù)據(jù)包，但并不是每個都是QQ數(shù)據(jù)包。需要人工進行比對，查看數(shù)據(jù)包的最后一個字節(jié)是否為0x03，然后篩選出使用了TCPF協(xié)議的數(shù)據(jù)包。接下來就是在防火墻上進行屏蔽。由于防火墻產品種類較多，具體設置方式各異，下面以華為SecPath500F為例進行說明。

[Secpath500F]dis acl 3001

rule 901 deny ip destination 219.133.0.0 0.0.255.255 (624978 times matched)

rule 902 deny ip destination 58.251.62.0 0.0.0.255 (9949 times matched)

rule 1002 deny ip destination 58.23.130.4 0 (300 times matched)

rule 1003 deny ip destination 58.60.9.41 0 (68 times matched)

rule 1004 deny ip destination 58.60.9.62 0 (82 times matched)

rule 1005 deny ip destination 58.60.9.63 0 (30 times matched)

rule 1006 deny ip destination 58.60.9.64 0 (124 times matched)

rule 1007 deny ip destination 58.60.9.66 0 (127 times matched)

rule 1008 deny ip destination 58.60.13.251 0 (764 times matched)

由于QQ的登錄方式多樣，被屏蔽的IP地址中有普通登錄服務器、代理服務器、VIP服務器等。另外QQ軟件更新較快，服務器列表經常變動，所以需要定時進行嗅探數(shù)據(jù)包以獲得最新的IP地址。

通過嗅探器來截獲QQ數(shù)據(jù)包似乎有點大材小用的味道。在實際應用中，Sniffer還可以用來檢測網絡利用率、協(xié)議分布等，它功能強大，是網絡管理員的好幫手。

參考文獻：

[1]Andre S.Tanenbaum，潘愛民.計算機網絡(第4版).清華大學出版社，2004.

[2]Douglas E.Comer，著.徐良賢，唐英，王勛，譯.計算機網絡與因特網.機械工業(yè)出版社，2000.

[3]http://www.cnpaf.net/class/sniffer/ (中國協(xié)議分析網).

收稿日期：2008-01-28

作者簡介：汪小梁（1981-），浙江上虞春暉中學工作，主要研究方向：網絡與教育教學的結合與應用。