小弟想学习使用sniffer请高手点拨一二,跪谢
小弟现在想学习使用sniffer软件来检测局域网内部故障,可是对这个软件又是一知半解,令我很迷茫,望高手指点一二,真是谢谢啊!!!现在有好多问题,不知道我做的对不对:
1、我随便在局域网内的一台电脑上安装“sniffer4.7”软件,这样可以准确的监控到整个网络的流量吗?
2、没有使用自定义sniffer过滤,使用默认的可以监控吗?
3、在主机列表里面哪些是属于不正常数据包,有什么依据来定论吗?
4、为什么在主机列表下的前10位流量统计表里,总有个IP地址10.10.10.255,数据在不停的上升呢,而其他的9个IP都在一个位置上?
以下是截图,大哥,大侠们来帮忙看看吧,小弟快晕死了!!!
[[i] 本帖最后由 bmwly 于 2006-11-24 15:49 编辑 [/i]] 1,不可以,尤其是在交换网络的环境下,我在一个SOLARWINDS上装拉个测试和在一个PC(同个网段上)抓的包明显的不一样。不知道做端口景象可以不。不过不知道一个口子抗不抗的住,没试过!
回复 #2 xzc999 的帖子
我也是新手,希望得到同行的帮助,谢谢...:) 1、我随便在局域网内的一台电脑上安装“sniffer4.7”软件,这样可以准确的监控到整个网络的流量吗?因网络环境和规模等因素而定,交换网络下不可以
共享式网络环境则可以,比如hub下+pc或+hub
2、没有使用自定义sniffer过滤,使用默认的可以监控吗?
sniffer默认捕获所有数据流,具体点就是broadcast,multicast及流经其选择网卡的数据
3、在主机列表里面哪些是属于不正常数据包,有什么依据来定论吗?
不一定,不知道捕获时对设备等的设置,sniffer的部署等
此图只能说明广播比较多,依据很明显,有柱形图比例说话
4、为什么在主机列表下的前10位流量统计表里,总有个IP地址10.10.10.255,数据在不停的上升呢,而其他的9个IP都在一个位置上?
10.10.10.255就是广播,数据上升表示不断广播或广播增多
其他9个ip位置如何,看物理拓扑及网络规划等信息
以上说了=白说
要想清楚解决问题,参见[url]http://www.netexpert.cn/thread-9431-1-1.html[/url] 至少看到上面的网络中存在大量的广播,要么环路,要么病毒,要么vlan划分混乱。反正图表上的网络充斥着大量的广播,因为不知道整个网络的容量,不过这个网络是不太可能稳定的,丢包,高延迟等等乱七八糟的讨厌问题会出现。 非共享环境或没有做端口镜像下
这种结果是很正常的
因为捕获的差不多都是广播吆 原来这样
呵呵
上图是无法看出数据流量到底有多大。看仁兄已经抓包可以看看解码里是否有这个地址的很多广播。
还可以点一下查看统计表为这当前对话选项,看一下每秒流字节数是多少,可以换算
一下。建议把10.10.10.255过滤出来。这样可以看出广播包是否在正常范围内。
也可以定义你局域网的极限值,数据包,字节数都定义一下。 上面仁兄讲得不错! haiwanxue 版主分析的很透彻啊。斑竹绝对是强人啊!! 受益非浅,谢谢! ddddddddddddddd 谢谢了,受益非浅啊?以前是看不懂什么意思!!!
页:
[1]