Ｓｎｉｆｆｅｒ在网络管理中的应用.doc

Ｓｎｉｆｆｅｒ在网络管理中的应用 　　摘要：Sniffer技术被广泛应用于网络管理。我们可以通过它进行数据包分析，从而了解网络的当前状况，以便找出所关心的潜在问题。 　　关键词：Sniffer；网管管理；QQ 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)12-2pppp-0c 　　 　　The Application of Sniffer to Network Management 　　WANG Xiao-liang 　　(Zhejiang Chunhui Middle School,Shangyu 312300,China) 　　Abstract:Sniffer is widely used in the network management.We can analyse the data packet with sniffer and then find the problem which we care about. 　　Key words:Sniffer;Network Management;QQ 　　 　　前段时间，笔者所在单位出于管理的需要，要求网络中心对本单位内的QQ等即时通讯工具进行一定的限制。 　　QQ是国内用户占用率较高的一款即时通讯工具，登录方式多样。如何限制QQ用户的登录就成了网络管理员需要面对的问题。笔者经过反复修正，最终形成了一套行之有效的方案。 　　第一步、“全城戒严”――在数据包必经之路架设Sniffer环境 　　Sniffer(嗅探器) 就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它能够监听到所有经过本计算机网卡的数据包。 　　在Windows操作系统下，只要安装了Sniffer Pro，就可以把一台计算机变成一台嗅探器。Sniffer Pro可以侦听到所有到达网卡的数据帧。 　　根据这种特征，然后结合单位网络，笔者在数据包必经之路上架设Sniffer环境。如下图所示。 　　 　　由于单位客户机的数据包都要通过交换机的Ehternet 6/0/24端口，所以把Sniffer放在同一个交换机的不同端口。然后对交换机进行设置，让所有经过 Ethernet 6/0/24的数据包复制一份给Ethernet 6/0/23 。这样嗅探器就可以截获本单位的所有数据包。 　　这一步需要对交换机进行设置。不同的交换机命令格式不同。现以华为8508核心交换为例。命令格式如下： 　　mirroring-group 1 inbound Ethernet6/0/24 mirrored-to Ethernet6/0/23 　　第二步、“火眼金金”――找出QQ数据包的特征 　　经过第一步的设置后，虽然数据包都经过了Sniffer，但并不是所有的数据包都是QQ数据包。我们还需要找出QQ数据包的特征。 　　经过网络资料的搜索与本地QQ数据包格式的比对，QQ的数据包采用一种叫TCPF协议。TCPF协议有两个特征： 　　(1)包的第0字节是TCPF包标识：0x02。 　　(2)所有的TCPF包都以0x03作为包尾。在包头和包尾中间的包数据则不同类型的包有所不同。 　　根据以上规律，在SnifferPro中进行如下设置。 　　 　　 　　 　　通过对SnifferPro的设置，我们开始过滤数据包，把符合配型条件的数据包（也就是疑似QQ数据包）留下来。如下图所示。 　　 　　上图显示的是一个被截获的QQ数据包。数据包中有明显TCPF协议的痕迹。从这个数据包的IP包头中可以读出，这个数据包来自40。那么这个IP地址就是需要进行屏蔽的。 　　第三步、“拦住去路”――在防火墙中设置屏蔽信息 　　通过Sniffer的配型比对后，可以截获很多疑似数据包，但并不是每个都是QQ数据包。需要人工进行比对，查看数据包的最后一个字节是否为0x03，然后筛选出使用了TCPF协议的数据包。接下来就是在防火墙上进行屏蔽。由于防火墙产品种类较多，具体设置方式各异，下面以华为SecPath500F为例进行说明。 　　[Secpath500F]dis acl 3001 　　rule 901 deny ip destination 55 (624978 times matched) 　　 rule 902 deny ip destination 55 (9949 times matched) 　　 rule 1002 deny ip destination 0 (300 times matched) 　　 rule 1003 deny ip destination 1 0 (68 times matched) 　　 rule