活用sniffer软件 体验做网管的快感

　　sniffer软件博大精，我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程，但如果没有一定的网络基础，恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩~

　　现在很多时候我们都需要在交换环境下进行sniffer监控，因此这里就先从定义镜像端口做起。为什么要先定义镜像端口才能sniffer?这和交换机工作的原理有关。交换机的工作原理与hub有很大的不同，hub组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部的cam表(暂且理解为mac地址表)进行转发的。也就是说前者可直接sniffer而后者不能直接sniffer。这时就要用到端口镜像，端口镜像的定义就是:“把被镜像端口的进出数据报文完全拷贝一份到镜像端口，方便我们进行流量观测或者故障定位”。

　　还是来做一个实验吧，这样理解起来快一些

　　假设某公司申请了一根10m的电信宽带，突然某一天下午，网速奇慢无比。公司里的员工怨声不断，强烈要求网络恢复通畅，这时作为网络管理者的你，需要马上找出原因:

　　不同的设备做端口镜像的方法不同，cisco的玩意儿虽好但对大部份网络爱好者来说太专业，做教程不一定合适。因此这里我选一款d-link的des-3226s二层交换机为例，以web界面说明如何进行镜像端口的配置(mirroring configurations)。

　　如图:

　　进入des-3226s二层可网管交换机

　　选择login to make a setup，登陆后进入交换机主配置菜单并显示基本信息:

　　选择下面的advanced setup------mirroring configurations(镜像配置)

　　mirror status选项enabled，然后将port 1设置为镜像端口，其余端口监听模式点选为both(即发送与接收的数据都同时监控)，这样交换机就把2号端口至24号端口的数据随时随地都copy了一份给port 1，然后我们在port 1上进行监听，sniffer也就有了用武之地。

　　将网管电脑插入port 1(镜像端口)，开启sniffer软件，怎么样?界面够酷吧?左、右两幅地图很直观的显示了整个lan内的数据流向。不管是右边的“传输地图”还是左边的“主机列表”它们现在都是根据学习到的mac地址进行流量标识的。

　　通过左边的“主机列表饼图”，你可以很清楚的看到00-50-18-21-a5-f4和00-e0-4c-dd-2e-2e这两台主机的数据流量目前为止最多。

　　请出“局域网mac地址扫描器”(也可以简单的arp -a或者利用下面讲的ip选项)，进行lan内的mac地址扫描,进一步知道了00-e0-4c-dd-2e-2e属于192.168.123.117。而00-50-18-21-a5-f4这个地址属于192.168.123.254(这个地址为网关出口)。这样我们就可以知道是谁人把网速拖慢了!

　　sniffer软件博大精，我之所窥也不过沧海一粟。因此这个教程仅仅是一个针对初学者的教程，但如果没有一定的网络基础，恐怕仍然会让你感到吃力。有兴趣的朋友就跟我一起来玩~

　　现在很多时候我们都需要在交换环境下进行sniffer监控，因此这里就先从定义镜像端口做起。为什么要先定义镜像端口才能sniffer?这和交换机工作的原理有关。交换机的工作原理与hub有很大的不同，hub组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部的cam表(暂且理解为mac地址表)进行转发的。也就是说前者可直接sniffer而后者不能直接sniffer。这时就要用到端口镜像，端口镜像的定义就是:“把被镜像端口的进出数据报文完全拷贝一份到镜像端口，方便我们进行流量观测或者故障定位”。

　　还是来做一个实验吧，这样理解起来快一些

　　假设某公司申请了一根10m的电信宽带，突然某一天下午，网速奇慢无比。公司里的员工怨声不断，强烈要求网络恢复通畅，这时作为网络管理者的你，需要马上找出原因:

　　不同的设备做端口镜像的方法不同，cisco的玩意儿虽好但对大部份网络爱好者来说太专业，做教程不一定合适。因此这里我选一款d-link的des-3226s二层交换机为例，以web界面说明如何进行镜像端口的配置(mirroring configurations)。

　　如图:

　　进入des-3226s二层可网管交换机

　　选择login to make a setup，登陆后进入交换机主配置菜单并显示基本信息:

　　选择下面的advanced setup------mirroring configurations(镜像配置)

　　mirror status选项enabled，然后将port 1设置为镜像端口，其余端口监听模式点选为both(即发送与接收的数据都同时监控)，这样交换机就把2号端口至24号端口的数据随时随地都copy了一份给port 1，然后我们在port 1上进行监听，sniffer也就有了用武之地。

　　将网管电脑插入port 1(镜像端口)，开启sniffer软件，怎么样?界面够酷吧?左、右两幅地图很直观的显示了整个lan内的数据流向。不管是右边的“传输地图”还是左边的“主机列表”它们现在都是根据学习到的mac地址进行流量标识的。

　　通过左边的“主机列表饼图”，你可以很清楚的看到00-50-18-21-a5-f4和00-e0-4c-dd-2e-2e这两台主机的数据流量目前为止最多。

　　请出“局域网mac地址扫描器”(也可以简单的arp -a或者利用下面讲的ip选项)，进行lan内的mac地址扫描,进一步知道了00-e0-4c-dd-2e-2e属于192.168.123.117。而00-50-18-21-a5-f4这个地址属于192.168.123.254(这个地址为网关出口)。这样我们就可以知道是谁人把网速拖慢了!