Sniffer技術和網絡管理

摘要:分析了Sniffer技術的工作原理，探討其在網絡管理中的應用，根據實際工作經驗總結了利用Sniffer技術進行網絡安全和網絡管理的基本方法。

關鍵詞:網絡管理;Sniffer;數據包捕獲

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)27-7613-02

Sniffer Technology and LAN Administration

HUANG Yan-lei

(Information Educational Technology Center， Foshan University， Foshan 528000， China)

Abstract: This paper analyses the principle of the sniffer technology， discusses the effective application of this technology in LAN administration， and presents some methods of network security and management based on this technology.

Key words: LAN administration; sniffer; packet capture

隨著校園網絡規模的不斷擴大，網絡設備和網絡用戶的不斷增加，網絡的安全性和管理的及時有效性成為影響網絡效能和保障網絡安全運行的重要問題，使得網絡在增加應用自由度的同時，對安全和管理提出了更高要求。網絡管理的目的在于監視和控制一個復雜的計算機網絡，通過某種方式對網絡狀態進行調整，使網絡中的各種資源得到高效的利用，當網絡出現故障時能及時作出報告和處理，并協調、保持網絡的高效運行等。網絡管理的功能主要包括:1) 配置管理:掌握和控制網絡的狀態，包括網絡內各個設備的狀態及其連接關系。2) 性能管理:主要考察網絡運行的好壞。性能管理使網絡系統管理員能夠監視網絡運行的參數，如吞吐率、響應時間、網絡的可用性等，隨時了解網絡狀況，分析可能產生瓶頸的因素，及時調整網絡的負載結構。3) 安全管理:是對網絡資源及其重要信息訪問的約束和控制，包括驗證網絡用戶的訪問權限和優先級、檢測和記錄未授權用戶企圖進行的不應有的操作。4) 故障管理:檢測、定位和排除網絡硬件和軟件中的故障。當出現故障時，能確認故障，并記錄故障，找出故障的位置并盡可能排除這些故障。同時，分析故障產生的原因，防止今后發生類似的問題。5) 信息統計:收集、分析網絡的歷史資料，識別網絡工作的長期趨勢，為網絡的擴展提供參考。

我校校園網建網較早，經歷過幾次升級改造，網絡頗具規模，網絡管理的任務較重。我們在日常的工作中，使用了網絡分析軟件Sniffer pro來幫助進行網絡管理和維護，并取得了較理想的效果。

1 Sniffer的工作原理

Sniffer(嗅探器)技術在網絡安全領域具有雙重的作用，一方面常被黑客作為網絡攻擊工具，從而造成密碼被盜、敏感數據被竊等安全事件;另一方面又在協助網絡管理員監測網絡狀況、診斷網絡故障、排除網絡隱患等方面有著不可替代的作用。Sniffer技術是校園網必不可少的網絡管理工具。

計算機網絡是由眾多局域網組成的，這些局域網一般是以太網的結構，即共享式的連接。這種共享式的連接有一個很明顯的特點:發送數據時物理上采用的是廣播方式。當主機根據MAC地址發送數據包時，盡管發送端主機告知目標主機的地址，但并不意味著一個網絡內的其它主機不能監聽到發送端和接收端之間傳遞的數據。因此從理論上說，當采用共享式連接時，位于同一網段的每臺主機都可以截獲在網絡中傳輸的所有數據。

正常情況下，局域網內同一網段的所有網卡雖然都具有訪問在物理媒體上傳輸的所有數據的能力，但通常一個網卡只響應以下兩種數據幀:

1) 數據幀的目標MAC地址與網卡自身的MAC地址一致;2) 數據幀的目標MAC地址為廣播地址。

只有當接收到上面兩種類型的數據幀時，網卡才會通過CPU產生一個硬件中斷，然后再由操作系統負責處理該中斷，對幀中所包含的數據做進一步處理。也就是說，雖然網絡上所有主機都可以“監聽”到所有的數據，但對不屬于自己的報文不予響應，只是簡單地忽略掉這些數據。

但是，如果網絡中的某臺主機不愿意忽略掉不屬于自己的數據幀，只需將網卡設置為混雜(Promiscuous)模式，對接收到的每一個幀都產生一個硬件中斷，以提醒操作系統處理經過該網卡的每一個數據包，這樣網卡就可以捕獲網絡上所有的數據了。如果一臺主機的網卡被配置為混雜模式，那么該主機及其相關的軟件就構成了一個嗅探器。

Sniffer工作在網絡環境中的底層，它會攔截所有正在網絡上傳送的數據，通過借助相應的軟件進行處理。Sniffer可以實時分析這些數據的內容，進而可以幫助網絡管理員分析整個網絡的狀態、性能或故障。正因如此，在檢測網絡故障時，Sniffer對管理員來說是一種不可或缺的強力工具。

2 Sniffer技術在網絡管理中的應用

Sniffer軟件為用戶提供了功能完備的網絡管理工具，憑借先進的性能，Sniffer可以幫助用戶主動監測網絡，在瓶頸造成故障之前，將其完滿解決。它能夠自動幫助網絡專業人員維護網絡，查找故障，協助擴展多拓撲結構，多協議網絡，極大地簡化發現、解決網絡問題的過程。

2.1 Sniffer技術在網絡管理中的應用位置

根據Sniffer技術的原理，它在網絡底層工作運行，監聽同一物理子網的數據報文信息。可以將Sniffer放置在網絡的各處，形成一個入侵警報系統;也可以在網絡中一些重要和關鍵的節點上運行Sniffer，以隨時掌握網絡的狀態，及時發現入侵信息和網絡故障。Sniffer一般放在網關、路由器、防火墻等關鍵設備上，使監聽效果最好。

通常情況下，Sniffer只適合于在廣播型的局域網中工作，但Sniffer無法嗅探到跨路由或交換機以外的數據包，即Sniffer不能直接嗅探到所在網絡之外其他計算機的數據包。

2.2 Sniffer技術在網絡管理中完成的功能

我們在檢測網絡故障及維護網絡正常通信的過程中，經常需要借助Sniffer提供的某些功能。利用這些功能，可以實時監控網絡流量，分析網絡故障，分析網絡協議的工作原理及過程，捕獲非法數據、入侵檢測等。

1) 專家分析系統

Sniffer能夠監視并捕獲所有網絡上的信息數據包，同時建立一個特有網絡環境下的目標知識庫，經過將問題分離、分析和歸類，Sniffer可以實時自動地發出警告，解釋問題的性質并提出解決方案。Sniffer與其他網絡分析軟件的最大不同就在于它的專家分析系統。

2) 網絡實時監控和告警

Sniffer以表格、圖形等形式，從各個方面動態顯示網絡通信和網絡運行狀況，如協議分布、流量分布、帶寬利用率、錯誤率等，快速確定網絡的運行情況以及有效協議和工作站的統計數據。Sniffer提供多種數據報告，以便將來的查詢和分析，并可根據預先設定的閥值發出警報，并以多種方式通知網絡管理員。

利用這個特性可以分析網絡中的許多異常情況。例如:當一臺計算機正受到其它計算機的攻擊時，進入該計算機的數據流量會異常的高;當網絡中某一臺計算機因為網絡設置引起通信的不穩定，那么該計算機的不可達報文會非常多;當一臺計算機對其它計算機發起攻擊時，從它發出的數據報文會非常多，其網絡流量也會異常。

3) 實時網絡包捕獲

實時網絡包捕獲是Sniffer 的另一重要功能，它捕捉真實的數據包并“解碼”，以便作進一步的分析。捕捉的范圍既可以是網段中的所有數據包，也可以是某兩對節點間的通信數據包，或者是某個特定協議的數據包。Sniffer能通過設置過濾條件來縮小捕獲或觀測的數據的范圍，實時捕獲用戶定義的網絡數據包，并給出一個詳細的逐包的統計信息。通過對這些動態數據報文的捕獲和分析，可以診斷出網絡中大量的模糊問題，有效地監視網絡活動，完善網絡管理功能。

由于Sniffer工作在網絡環境中的數據鏈路層，它捕獲的數據包嚴格地講應稱為“幀”，它在結構上符合數據鏈路層的相關標準。在以太網上，捕獲的數據包符合IEEE802.3標準，如圖1所示。

4) 對協議進行解析

Sniffer可以對捕獲到的數據包進行詳細分析，將截獲的數據包轉換成易于識別的格式，對數據進一步分析可以了解該類協議的工作過程及協議內容。網絡協議是網絡的基礎，是網絡的語言，但網絡協議太抽象了，很難深入和真正掌握。Sniffer可以在全部七層協議上進行解碼分析，采用類似剝洋蔥的方式，從最低層開始，一直到七層，甚至對數據庫都可以進行協議分析，每一層使用不同的顏色加以區別。Sniffer的這種功能，提供了一種直觀的手段，有助于網絡管理員加深對網絡知識的掌握，提高自身水平。教師在進行計算機網絡課程的教學與實驗中，也可以充分利用Sniffer的這個功能給學生提供比較直觀的印象，有助于加深學生對網絡知識的掌握。圖2為用Sniffer軟件捕獲的ARP幀的直觀形式。

5) 網絡安全

網絡安全是一個系統的概念，有效的安全策略和方案的制定，是網絡信息安全的首要目標。傳統上一般采用防火墻作為安全的第一道防線，而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經無法滿足對安全的需要，在這種情況下，入侵檢測系統(Intrusion Detection System，簡稱IDS)成為了安全市場上新的熱點，不僅愈來愈多地受到人們的關注，而且已經開始在各種不同的環境中發揮其關鍵作用。

入侵檢測即通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從而發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統由探測器、分析器、用戶接口等部分組成，其中探測器負責采集數據，分析器則主要是設定一系列規則，對探測器送來的數據進行分析，用戶接口負責與用戶的交互。顯然，用Sniffer捕獲數據包可以作為入侵檢測系統信息的重要來源。

6) 報文發送

通過設置目的地址、發送次數、發送延遲和報文大小，形成報文并發送，可實現網絡流量模擬。利用這個功能，我們可以探察網絡，進行通信仿真，測量響應時間，并有助于路由器及各種網絡設備仿真軟件的開發。

當網絡出現故障，不能立即排除時，可以捕獲、存儲網絡故障時的數據包，并在之后進行回放，模擬當時的網絡狀態，以便對故障進行定位和排除。

7) 報告生成

Sniffer可以幫助創建圖形報告，該報告建立在Sniffer所收集的RMON和類似RMON2的數據基礎之上。這些易于生成的報告可以提供快速顯示受監視網段的全部統計數據以及網絡層主機、矩陣和協議分配。這些報告還可以提供針對用戶網絡通訊趨勢的重要信息，對網絡整體運行情況作出長期的健康分析與發展趨勢報告，分析系統目前的使用情況，以及對新系統的規劃作出精確報告。

3 結束語

Sniffer技術在網絡管理中具有高效解決網絡問題的能力，能夠從網絡的各個層面進行網絡故障分析。但其應用要求對網絡協議有清楚的了解，使用上有一定難度。

網絡系統的正常運行和安全防范是一項聯系很廣泛的任務，隨著網絡規模的發展和擴大，它將對網絡管理員提出更高的要求。而利用Sniffer技術，網絡管理人員可以深入到網絡內部，可以實現對網絡數據及流量的分析，能夠開發出與其相關的網絡安全和系統管理軟件，從而大大減少網絡管理員的工作量，提高網絡的性能以及服務質量。

參考文獻:

[1] 王石，局域網安全與攻防[M].北京:電子工業出版社，2007.

[2] 陳逸，謝婷.Sniffer Pro 網絡優化與故障檢修手冊[M].北京:電子工業出版社，2005.

[3] 雷振甲.計算機網絡管理及系統開發[M].北京:電子工業出版社，2002.

[4] 陳千，馬劍峰.Sniffer 技術在網絡管理工作的應用和研究[J].計算機工程與設計，2004(4).