1、第第9 9章章 网络分析与监测工具网络分析与监测工具9.1 端口镜像9.2 Sniffer的主要功能9.3 Sniffer应用举例9.4 MRTG的安装和使用方法9.1 9.1 端口镜像端口镜像9.1.1 基本概念9.1.2 应用举例v应用场合应用场合v灵活性灵活性镜像源可以位于本地设备,也可以镜像源可以位于本地设备,也可以位于远程设备位于远程设备 9.1.1 基本概念9.1.2 应用举例案例场景案例场景1 1镜像源为本地物理端口镜像源为本地物理端口将端口G8/11镜像至G8/25C6509(config)#no monitor session 1C6509(config)#monitor s
2、ession 1 source interface Gi8/11C6509(config)#monitor session 1 destination interface Gi8/259.1.2 应用举例2 2镜像源为本地镜像源为本地TrunkTrunk端口端口将G7/1(Trunk端口)接收的属于VLAN 230的流量镜像至G8/25。C6509(config)#no monitor session 1C6509(config)#monitor session 1 source interface g7/1 rxC6509(config)#monitor session 1 filter v
3、lan 230C6509(config)#monitor session 1 destination interface g8/259.1.2 应用举例在C6509上,将属于VLAN 230、231的端口所接收的流量、属于VLAN 600的端口发送和接收流量,镜像至G8/25。C6509(config)#no monitor session 1C6509(config)#monitor session 1 source vlan 230-231 rxC6509(config)#monitor session 1 source vlan 600C6509(config)#monitor sess
4、ion 1 destination interface g8/253 3镜像源为本地镜像源为本地VLANVLAN9.1.2 应用举例C6509为VTP Server,C2950SX-24为VTP Client。将C2950SX-24上F0/1端口的流量,镜像至C6509上的G8/25端口C6509(config)#vlan 900C6509(config-vlan)#remote-span定义用于传输镜像数据的VLANC6509(config)#no monitor session 1C6509(config)#monitor session 1 source remote vlan 900C
5、6509(config)#monitor session 1 destination interface g8/254 4镜像源为远程物理端口镜像源为远程物理端口9.1.2 应用举例9.2 9.2 Sniffer的主要功能的主要功能 9.2.1 捕获面板9.2.2 捕获报文的统计信息9.2.3 查看报文9.2.4 设置捕获条件9.2.1 捕获面板v 捕获面板捕获面板 捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件9.2.2 捕获报文的统计信息v捕获报文的统计信息 9.2.3 查看报文v 查看报文 9.
6、2.4 设置捕获条件v设置捕获条件-基于协议的捕获条件 选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件9.2.4 设置捕获条件v设置捕获条件-基于协议的捕获条件 选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件9.3 9.3 Sniffer应用举例应用举例 9.3.1 获取TELNET密码9.3.2 获取FTP密码9.3.1 获取TELNET密码v1场景v某公司内部通过交换机实现各部门之间的互连。F1/0/1、F1/0/2已镜像至端口F1/0/3。希
7、望通过捕获、分析研发部IP地址为192.168.10.101的主机与市场部IP地址为192.168.1.11的主机之间的TELNET报文,获取TELNET密码。9.3.1 获取TELNET密码v2操作步骤v(1)选择“Capture”菜单中的“Define Filter”命令,打开“Define Filter Capture”对话框,选择“Address”选项卡。v(2)在“Address”下拉列表中选择“IP”,在“Station1”和“Station2”中分别填写两台主机的IP地址。v(3)选择“Advanced”选项卡,依次选择“IP”“TCP”“TELNET”,将“Packet Siz
8、e”设为“55”,“Pack Type”设为“Normal”v(4)按F10键或单击“Strat”按钮,启动捕获。v数据捕获分析 v将帧大小(Packet Size)设为55的原因是:当客户TELNET到服务器后,在进行与用户名、密码有关的交互时,一次只传送一个字节的数据,所以帧大小=1B(Data)+20B(TCP)+20B(IP)+14B(DLC)=55B,将“Packet Size”设为55恰好能抓够到包含用户名和密码的包,否则将抓到许多没有分析价值的包。9.3.2 获取FTP密码v1场景v某公司内部通过交换机实现各部门之间的互连,如图9-3-1所示。F1/0/1、F1/0/2已镜像至端
9、口F1/0/3。希望通过捕获、分析研发部IP地址为192.168.10.101的主机与市场部IP地址为192.168.1.8的FTP服务器之间的FTP报文,获取FTP密码。9.3.2 获取FTP密码v 2操作步骤v(1)选择“Capture”菜单中的“Define Filter”命令,打开“Define Filter Capture”对话框,选择“Address”选项卡。v(2)在“Address”下拉列表中选择“IP”,在“Station1”和“Station2”中分别填写两台主机的IP地址。v(3)选择“Advanced”选项卡,依次选择“IP”“TCP”“FTP”,将“Packet Si
10、ze”限制在“61”和“71”之间,“Pack Type”设为“Normal”,v(4)选择“Date pattern”选项卡,单击“Add Pattern”按钮,打开“Edit Pattern”对话框。v(5)将“Offset”设置为“2F”,编码栏的数据设置为18,命名为“TCP:flags=18”9.3.2 获取FTP密码v捕获结果分析 v将帧大小限制在6171之间的原因是:封装FTP报文的需要的开销为20B(TCP)+20B(IP)+14B(DLC)=54B。在进行与密码有关的交互时,在TCP有效载荷中,关键字PASS占4B,空格占1B,回车和换行控制占2B,合计占用7B。可见,包含密
11、码的报文,其最小长度为61B,假定用户密码长度不超过10个字符,则包含密码的报文最长不超过71B。9.4 MRTG9.4 MRTG的安装和使用方法的安装和使用方法 9.4.1 MRTG的安装9.4.2 SNMP、MRTG配置9.4.3 建立网络监测中心9.4.4 自动启动MRTG9.4.1 安装MRTGv 安装MRTGv(1)在管理工作站的IIS中配置一个Web站点,用于发布MRTG监测信息。为了安全起见,该站点的主目录最好不要采用IIS的默认目录。本例中,假定站点主目录为C:wwwmrtg。v(2)安装Perl,在Windows系统中一般使用Active Perl for Windows。进
12、行安装时,提示“是否使用PPM3发送个人信息至ASPN”,跳过即可。重新启动系统,使Perl生效。v(3)安装MRTG程序。MRTG是一个Perl编写的程序,所以不需要安装,下载后直接释放(如果下载的文件系压缩文件的话)或复制到一个目录(本例中为C:mrtg)即可。9.4.2 SNMP、MRTG配置v1交换机配置v2MRTG管理工作站的设置9.4.3 建立网络监测中心v根据多台设备如Cisco asa5540、S3550-12g配置信息asa5540.cfg、S3550-12g.cfg,将接口流量图整合到同一Web页面中。该需求可通过输入下列命令实现:vC:mrtgbinperl indexmaker asa5540.cfg c:wwwmrtgindex.htmvC:mrtgbinperl indexmaker 3550-12g.cfg c:wwwmrtgindex.htm9.4.4 自动启动MRTGv在Windows Server 2003中,为了使MRTG随系统启动而自动运行,可将“mrtg.bat”添加到启动组中。vMrtg.bat代码程序cdcd mrtgbinperl indexmaker mrtg.cfg c:wwwmrtg index.htmperl mrtg-logging=mrtg.log mrtg.cfgThank You!
