Chinaunix

标题: 网络流量分析沙龙总结、PPT、录音下载+ 线上有奖跟帖 [打印本页]

作者: fanqiang 时间: 2008-06-11 10:54
标题: 网络流量分析沙龙总结、PPT、录音下载+ 线上有奖跟帖
================================================
本次活动已经结束，“网络流量分析沙龙”现场讨论总结、PPT、录音下载：
http://bbs.chinaunix.net/thread-1186419-1-1.html

活动获奖名单公布:http://bbs.chinaunix.net/thread-1191592-1-1.html
================================================

诚邀您参加ChinaUnix和IT168网络频道联合举办的《网络流量监测分析沙龙》

主题：企业网络流量分析/网络流量监测/网络故障排查
时间：2008年6月28日（周六），下午13：30-17：30
地点：北京，某避风塘茶楼内

参加办法：免费参加，但为统计人数及安排座位，一律请报名。请将你的姓名、联系电话、单位名称，通过邮件或站内短信或电话的方式告之我们沙龙的联系人。确定人数后，在活动之前，我们会分别单独通知报名者详细聚会地点。

报名联系人：唐川（CU网名：草上飞2008）：邮件：tangchuan@it168.com ，Tel: 010-82657101/02/03/04/05/06 转 179

提示：我们备有多种礼品，请带名片参加，以便抽奖。

特邀专家：
A：Sniffer技术工程师，两位。
B：某学校网络信息中心主任，Sniffer系统应用高手，从业10年
C：某政府机构网络信息中心信息组组长高级工程师，Sniffer系统应用高手，负责网络核心层及汇聚层网络设备维护，针对接入层进行病毒扫描安全扫描漏洞弥补等工作，工作过程中经常使用sniffer与wireshark扫描网络数据解决实际拥堵与病毒问题。

交流话题：
1、Sniffer等网络协议分析类工具与netflow、SNMP等分析两类之间，到底有何区别呢？其应用的作用如何呢？
2、使用什么样的网络流量分析工具比较好？（Sniffer、OmniPeek、netflow、Iris等）？
3、如何感知网络中流量为异常流量？
4、如何有效地用网络流量分析工具来监测网络，排查关键问题？
5、一款免费的网络流量分析监测软件是否能满足企业的需要，特别是针对中小企业。自由网络流量分析监测软件与专业网络分析系统有何区别？
6、如何通过sniffer等网络分析系统追查病毒与黑客？
7、针对内部流量、外来流量，在监测时是否有所区别，各工具的作用如何？

========================================================================
为配合本次技术沙龙，我们特别举办线上有奖交流讨论活动：如何做流量分析？说说你最满意的一次流量分析经历？
线上交流活动时间：2008年6月11日-6月30日
========================================================================

一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够很快地区隔出问题的发生原因，可能是线路问题、网络设备问题、或者是路由器的设定问题。

如今，产生了大量的可工作在各种平台上相关软硬件工具，其中有商用的，也有free的。
其中，基于网络协议分析的工具有：

Unix平台下的： tcpdump、ngrep、snort、Dsniff、Ettercap、Sniffit等
Windows平台下的： Windump、Iris、OmniPeek、Sniffer等
另外，还有大量面向流量层次监测的 NetFlow类工具，以及面向简单网络管理协议（SimpleNetwork Management Protocol, SNMP）等网络分析工具。

到底哪种网络分析工具，在你所在工作环境中，最有效？为什么？如何做流量分析？说说你最满意的一次流量分析经历？

欢迎大家积极参与交流，我们将从所有跟帖中评出精彩、优秀的交流帖子给予奖励，按楼号进行评奖，名额不限，每个获奖楼号将奖励发帖者100可用积分，可重复获奖

同时，我们也公开面向所有网友征集活动评委，你可以在活动结束后，给我们发一份你认为可以获奖的交流帖名单，要求注明：1、你觉得最精彩的帖子楼号（最多10个楼号）；2、用户名；3、你的评语。如果你的评选结果大致与我们最终结果相同并且你的评语有效，那我们会奖励你500可用积分。评委同时可以参与有奖交流活动。

交流活动时间：2008年6月11日---6月30日
网友评委参与时间：7月1日--7月10日，将你认为最精彩的结果站内短信发给“草上飞2008”或邮件：tangchuan@it168.com
结果公布时间：2008年7月15日所有活动结果将在“网络技术版”和“CU活动专区”公布

请大家尽量详细描述分享你在流量分析方面的使用经验和经历，不要简单的跟帖回答使用那些分析工具

关于可用积分兑换情况，请关注“CU活动专版”： http://bbs.chinaunix.net/forum-123-1.html

作者: ylcqen 时间: 2008-06-11 11:16
不错,lz就是要多组织这类活动!

作者: 寂寞烈火 时间: 2008-06-11 11:18
tcpdump用的还是比较多吧!

作者: ylcqen 时间: 2008-06-11 11:19
其实,上面的软体各有各的优势!有的管理员可能会选择几个软体一起配合使用.我对它们就是如此!

作者: jacky_hui 时间: 2008-06-11 11:19
Sniffer吧

作者: huzi1986 时间: 2008-06-11 11:24
tcpdump sniffer iris 还有国产的一个科来

作者: lasama 时间: 2008-06-11 11:25
tcpdump+etherial
对俺来说，足够用了

作者: phpman 时间: 2008-06-11 11:31
Wireshark

作者: xxhe 时间: 2008-06-11 11:37
俺们的unix服务器用户不多，所以很少统计，曾经实验用过tcpdump
windows下用过Sniffer，所以发言权很小

作者: 草上飞2008 时间: 2008-06-11 11:47
标题: 先线上讨论，如果在北京的朋友对此感兴趣，我们还组织了线下讨论
本次活动，我们是先线上讨论，如果在北京的朋友对此感兴趣，我们还组织了线下讨论，一方面有相应的技术高手一起聊聊，大家也可以相互聊聊。

附：
将在6月28日（周六）就本次讨论的主题举办线下沙龙交流活动，届时将邀请多位这方面的资深专家与大家面对面交流，具体活动地点和情况，请关注CU网络技术版的通知。

附：
免费网络管理流量监控软件大比拼
阮征

对于中小企业来说我们这些网管员希望能够找到免费的流量监控软件，前一阶段笔者为各位介绍了多款免费流量监控软件，并对这些软件的实际使用步骤和应用方法进行了阐述，那么究竟这些流量监控软件哪个具有最佳性能呢？今天我们就来进行一次硬碰硬的大比拼，看看谁才是免费流量监控软件之王。
四款软件齐登场：
经过多名专家的品评，免费流量监控软件迎来了四强。这四位选手可以说是最具有实力的，在监视流量、控制流量、排查故障方面都有各自的绝招，下面我们就来了解一下四强选手的基本情况，看看谁能够在本次免费流量监控软件大比拼中独占鳌头。
Sniffer pro：
Sniffer pro可以说是Sniffer软件的鼻祖，他的功能一点都不输于其他付费工具，他是由NAI公司出品的可能是目前最好的网络协议分析软件之一，支持各种平台，性能优越。
Sniffer pro小档案：
软件版本：v4.7.530 特别版
软件大小：33.02 MB
软件语言：英文
软件类别：共享软件
运行环境：WinXP/Win2000/NT/WinME/Win9X/Win2003
下载地址：http://www.cncode.com/Download.a ... ferPro_4_70_530.rar
PRTG：
PRTG全称为Paessler Router Traffic Grapher，他是另外一款功能强大的免费且可以通过路由器等设备上的SNMP协议取得流量资讯并产生图形报表的软件，他可以为我们产生企业内部网络包括服务器，路由器，交换机，员工计算机等多种设备的网络流量图形化报表，并能够对这些报表进行统计和绘制，帮助我们这些网络管理员找到企业网络的问题所在，分析网络的升级方向。当然该软件可以在绘制完毕后将图形图表以页面的形式反馈给我们，这样网络管理员可以通过网络中的任何一台计算机访问配置了PRTG的计算机，实现远程管理，查看和维护网络流量的目的。
PRTG小档案：
软件版本：v4.0.8.154.Enterprise
软件大小：5.46MB
软件语言：英文版
软件类型：免费软件
适用平台：windows 2000/xp/2003
下载地址：http://download2.paessler.com/download/prtg.zip
MRTG：
MRTG（Multi Router Traffic Grapher）是一款实用的网络流量监控软件，他通过snmp协议从设备得到流量信息，这样我们就可以监视通过服务器网卡的流量了，另外该软件还可以把流量数据以网页图表的方式显示出来，间隔时间可以是5分钟，30分钟，2小时或1天等多个选项，对生成的网页通过一般的网页编辑软件也可以进一步修改和美工。
MRTG小档案：
软件版本：V2.10.0 pre 7
软件大小：1558 KB
软件性质：免费软件
运行平台：Window 98/NT/2000/XP/2003
下载地址：http://down.it168.com/files/xiazai3.asp?iid=4635
Ethereal：
Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump，但Ethereal还具有设计完美的GUI和众多分类信息及过滤选项。用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量，并根据流量进行测试从而发现网络问题并排除网络故障。
ethereal小档案：
软件版本： V0.99.0
软件大小： 12747 KB
软件语言：英文
软件类别：免费版
应用平台： Win9x/NT/2000/XP/2003
下载地址：http://ftp7.enet.com.cn:88/pub/s ... thereal-setup-0.exe
那么到底这四强选手谁能够获得免费流量监控软件的桂冠呢？下面我们就来详细比较下。
系统通用性大比拼
一般对于这种流量监控软件我们在实际使用中都需要系统的支持，对于大多数中小企业来说计算机使用的操作系统无外乎Windows系统和类Linux系统。所以说要看这个流量监控软件是否兼容性好，还要看他是否真的能够在这两种操作系统中运行，如果不能的话通过专门的Windows版本和Linux版本也可以将就兼容。
Sniffer pro：（如图1）
sniffer pro是Windows系统下的sniffer老大，不过他并不兼容Linux，也没有对应linux系统下运行的版本。

图1
PRTG：（如图2）
PRTG是流量监控软件中的佼佼者，虽然他不能同时兼容Windows系统和Linux系统，但是PRTG推出了Windows版本和Linux版本，这样不管在哪个系统中都可以有效的运行PRTG。

图2
MRTG：（如图3）
MRTG虽然无法同时兼容Windows和Linux系统，但是他同样提供了适用于两个系统的MRTG版本。不过MRTG出身自Linux系统，所以在Linux系统中他的表现更好，运行也更稳定，相应的在Windows系统中运行却时有毛病出现。

图3
Ethereal：（如图4）
Ethereal是响当当的流量监控软件，而且类Ethereal的监控软件很多，很多公司出品的收费软件的核心也都是Ethereal。但是不管如何改进，类Ethereal表现终究是差些，所以说在实际使用中Ethereal的运行效果最好。他同样提供Windows系统和Linux系统两个版本。

图4
小结:
Sniffer pro因为自负而缺乏Linux系统版本的支持，而其他三位高手则均推出了适用于Windows和Linux系统的版本，在这方面打平手。
分组比拼功能
由于四款软件的功能导向不同，所以我们无法把他们拿到一起进行功能比拼。笔者将类似的两款放到一组进行对比。
扫描组——Sniffer pro和Ethereal
一般来说Sniffer pro和Ethereal的特点是对于网络的数据包进行监控，可以了解网络中流动的所有数据信息，分析数据包中的源地址目的地址以及端口号，甚至还可以对数据包中的内容进行分析，所以将他们放到一组比较合适。
通过笔者的详细比较，Sniffer pro和Ethereal都可以对网络中的所有数据进行捕获，可以了解网络的通讯信息，可以定义适当的过滤器对网络中的数据包进行筛选，两者旗鼓相当，不过Ethereal因为弟子众多，所以扩展插件更多，可以通过这些扩展插件实现一些更加高级的功能或者更加方便使用者分析网络，另外ethereal内置的一些流量分析工具要比sniffer pro强大得多。所以在功能比拼上ethereal小胜sniffer pro，同时sniffer pro也因为两败而被淘汰。
小结:ethereal艰难晋级， sniffer pro惨遭淘汰。
监视组——PRTG和MRTG
PRTG和MRTG都是提供了对流经服务器或路由器各个端口的流量监控，他们只能够对流量信息的多少进行监视，并且根据输入输出的数据大小绘制相应的图表，经过反复对比发现异常现象。所以将他们放到一组比较合适。
PRTG和MRTG笔者都使用过，作为流量监控软件来说两者都是非常不错的，监控后绘制的图表都可以以网页的形式发布，方便我们这些网络管员在第一时间掌握企业内部流量情况。不过就个人感觉不管是使用效果还是配置过程MRTG都要大大输于PRTG。主要表现在以下几个方面。
首先PRTG安装很简单，使用也是图形化界面，而MRTG则要复杂得多，大部分指令都是基于命令行的；另外PRTG可以轻松实现用一台计算机监控多台服务器的功能，而MRTG要反复设置修改默认模板才行；PRTG的监控内容也比MRTG多，除了MRTG拥有的流量监控外PRTG还可以对CPU使用情况，内存资源，缓存信息等进行管理；最关键的是PRTG集成了页面发布工具，在监控完毕后不需要任何设置就可以通过网页的形式访问结果；而MRTG自己不带页面发布工具，需要我们自己安装IIS或Apache来将生成的报表页面发布出去。所以经过比较PRTG大胜MRTG。
小结——PRTG大胜晋级， MRTG受重伤无法继续比赛而被淘汰。
强中强再决斗
Ethereal终于在最后的比拼中与PRTG相遇了，两者的优势完全不同，Ethereal以分析网络流量中数据包的内容见长，而PRTG则在统计数据包的数量占优，两者所实现的功能是不一样的。在这种情况下两者无法决一胜负。
对于我们这些中小企业的网络管理员来说应该学会使用上述两款软件，毕竟不管是分析网络流量中的数据包内容还是统计数据包的数量制作成网页进行再分析都是重要的，只有采取双管齐下两个软件一起使用的策略，才能让我们网络的故障在第一时间被发现并解决。这也是为什么当初ethereal与PRTG非要决一胜负的结果是同归于尽了，只有集两者功能于一身的功能更强大的软件才能够独占鳌头。
总结
实际上正如本文所分析的那样，对于我们这些网络管理员来说并不一定非要抱着一款网络流量管理软件不放，必要时应该换换思路换换功能使用多款网络流量管理软件有效管理企业内网，发挥各个工具的独特优势，减少故障发生的机率，让我们可以对流经企业网络的数据包在微观（数据包内容）和宏观（数量统计）上均有一个清晰的了解。

[ 本帖最后由草上飞2008 于 2008-8-23 10:47 编辑 ]

作者: aredfox 时间: 2008-06-11 11:59
cacti 监控流量和硬件，whatsup监控端口（2006版以后也支持监控流量和硬件，但是要花钱的），wireshark抓报分析

作者: pigvip 时间: 2008-06-11 12:15
Sniffer 习惯了

作者: yahoon 时间: 2008-06-11 12:16
只是简单的用过win下的网络监视器和sniffer
没有深究

很期待看到大家介绍免费强大的工具

作者: mac2008 时间: 2008-06-11 12:29
windows下用过Sniffer

作者: youcanstopme 时间: 2008-06-11 12:42
不懂这块的飘过

作者: cugb_cat 时间: 2008-06-11 12:53
如果有桌面环境，我喜欢用wireshark，如果没有桌面环境，我都是用tcpdump把数据存到文件中，然后再用wireshark读取。

作者: MYSQLER 时间: 2008-06-11 12:53
tcpdump & snort

作者: jerrymy 时间: 2008-06-11 12:57
sniffer最强大了，流量分析，数据包分析。。。。。

作者: ruochen 时间: 2008-06-11 13:18
linux下面用tcpdump+etherial
windows下面用sniffer

作者: ruochen 时间: 2008-06-11 13:22
刚楼上我说的是在感觉网络出现异常的时候才使用的
平时也就是用mrtg/cacti/rrdtools之类的做常规监控

作者: ruochen 时间: 2008-06-11 13:26
在此也顺便说下前几天处理arp病毒的事情
感觉网络有异常后,根据经验感觉是arp病毒
就直接用arp -a看到有几个动态绑定的有异常
用arping 192.168.0.1(这个是网关)看到有mac不时的绑定到网关
和mac地址表比对,找到中病毒的主机,拔掉网线,网络太平了

作者: 枫叶无霜 时间: 2008-06-11 13:29
还是用WINDOWS的比较多。
目前有心想学UNIX，不过看自己资质能不能学会喽。。

嘿嘿。。

作者: zhaoxian 时间: 2008-06-11 13:40
windows操作系统下使用Sniffer
同时,还用fluke硬件设备来验证配合.所谓一手软件,一手硬.其效果比两手硬更有实效.当然,针对本企业的网络使用情况,凭经验做出的判断比任何工具都更有效，及时性及针对性都十分重要。

作者: 好开心 时间: 2008-06-11 14:01
只知道　　Sniffer　　ｎｅｔｆｌｏｗ

作者: 守住每一天 时间: 2008-06-11 14:02
没有什么发言权啊。主要是用 sniffer tcpdump 但不精

作者: xigua108 时间: 2008-06-11 14:19
没用过流量监测工具，一直以来看局域网流量，直接进路由器看

作者: yunzhongyue 时间: 2008-06-11 16:20
只用过tcpdump.

作者: incle 时间: 2008-06-11 17:06
公司好像有用这个Sniffit.

作者: zenglingping 时间: 2008-06-11 17:11
此活动在哪举办呀？？

作者: net_robber 时间: 2008-06-11 17:12
tcpdump，比较方便，没有什么特殊要求，随时用

作者: liqxy 时间: 2008-06-11 17:24
tcpdump
windump

作者: tyc611 时间: 2008-06-11 18:28
纯抱着学习的态度来支持

作者: binbin1984726 时间: 2008-06-11 18:45
etherial

作者: converse 时间: 2008-06-11 19:37
windows上用wireshark(ethreal),linux上用tcpdump.

作者: gergro 时间: 2008-06-11 19:46
linux 下最主要用 tcpdump 方便实用

windows 端口监听下平时喜欢用netstat -an 分析时要用sniffer

[ 本帖最后由 gergro 于 2008-6-11 19:48 编辑 ]

作者: 3645636 时间: 2008-06-11 21:06
tcpdump
强大啊

作者: nicozhou 时间: 2008-06-11 21:11
Sniffer

以前额只会win，所以偷偷用过Sniffer，后来不用win了，也没有相关工作内容了。就不怎么用了。

作者: nicozhou 时间: 2008-06-11 21:18
个人吱用过Sniffer，觉得还8错，是一个很好的流量分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。

作者: skylove 时间: 2008-06-11 22:10
unix下的话,我基本上没有用桌面的,大致上是这些:

文本方式下

tcpdump最为常用,因为基本上我在每台机器上都有装,对检测网络问题特别有帮助,而且远程ssh的时候文字界面下方便存储浏览功能强大,随时按ctrl+c都能停止下来;

tethereal也比较好用(是ethereal的文字版),但是抓包太快,经常ctrl+c停止不掉,不过还好可以ctrl+z转到后台去,然后kill杀掉它;

iptraf也很方便地抓取和退出,而且是菜单方式的适合新手操作,在网关位置用来简单分析一下内网用户的前几大"网霸"比较有用,排序这些方便,很容易找到流量异常或过大的节点;

snort则是比较适合长期检测跟踪,在一个时期范围内(比如一月,一周等)取得整个网络内的流量分布和走向,其官方的一些资料配合起来,基本就是ids了,如果有兴趣,配合其他程序作成ips也是可以的;

另外如果是在linux平台下,利用iptables和给包打标签的方式并log下来的方式,也能对指定的端口,协议(由于有专门的一些模块,所以可以作到不针对ip或port的layer7过滤,比如只记录p2p类的大致应用情况,这个是普通抓包软件目前基本上比较欠缺的,linux虽然也不算太好，不过相比之下配合上ipp2p或者layer7模块能比较强一些)流量进行获取分析,这个配合上日志轮循比较适合用来作指定备份定期审核;

================================================================
GUI方式的

windows 下面,就基本上清一色是在用桌面方式下GUI的了:

我用得比较多的是 Sniffer 这个软件,很好，很强大,基本上不用说什么了,其协议分析和高亮选中的部分,还有指定抓报文的功能用起来相当舒服,不过有时候用不到这个比较大型的,如果喜欢轻巧启动快速一些的Iris和OmniPeek就很不错,我在调试交换机的笔记本上就装的有后面两个软件,作为调试交换机或者设备来说一般后面两个就完全足够了,sniffer用来分析多机环境下的网络表现或者抓特征这些要直观得多;

然后如果是在局网内,科来(似乎是这个名字!?)对于内网中的包分析还是比较体贴和有用的,这个在教育网内的网管用它的不少的;

另外,"费尔防火墙"(没错,我没发神经)也能实时地把本机接收到的包的情况滚动显示出来,速度非常快(和其他防火墙不同,不是只显示攻击信息,是所有进出的包,什么程序发出的都会滚动不断地显示),在很多时候也被我"不务正业"用来简单获取流量信息,由于其本身就是日常被我开启来保护电脑的防火墙,所以可以说是最为常用的监测软件了;

纯图形方式的:

我参考snmp基本上比较偷懒,喜欢直接看图形,以前是用mrtg,现在转到cacti上面来了,用它获取各个网络设备的流量信息还是相当地方便的;其实也可以根据这个自己根据内网的拓扑结构开发适合的第三方软件,比较直观地反映出当前的内部网络的交换机的运行及运作情况的.

个人总结

以上分别说了三种方式: 文本方式,GUI方式,图形浏览方式 -- 三者中并不存在好坏优劣之分,而是根据环境选择:在远程环境中,由于网络速度等原因,文本方式能最为快速地精确控制,并且还节约带宽,也能一下子就保存到一个文件里下载回来分析;GUI方式相当直观,适合现场调试的时候现场分析使用;图形方式适合"记录"流量情况,随时瞄上一眼就能知道是不是运作正常~~~~

针对题目回答

所以我个人认为: 各个平台下的前端,后端都有强大而成熟的网络流量分析工具,作为用户或者网络管理者,用某个软件解决所有问题的执著固然值得敬佩,但能审时度势用最为适合的软件在省心省力省时分析统计出所需要的数据,就是最好的了."尺有所短,寸有所长",功能强大的同时也有臃肿,启动慢,占资源等缺点;界面简陋也有简单质朴方便命令方式下达指令进行批处理启动快速等优点~~~海军,陆军,空军--哪个兵种好?个人觉得还是海陆空联合作战来得最好~~~~管理之道,选择之道也.

[ 本帖最后由 skylove 于 2008-6-11 22:21 编辑 ]

作者: xxjnw 时间: 2008-06-11 22:25
linux下很少统计
Windows平台下一直用Sniffe

作者: justcustom 时间: 2008-06-12 00:41
sniffer 和 tcpdump 都只能分析数据包，“交换”的引入让它的工作范围缩到了以自己为圆心，靠从一个端口来分析整个网络状况越来越难了。况且除了专有软件很难得到设备的健康状况和远程控制。对于程序行为或局部的项目测试分析它们当仁不让。
而对于基于标准化snmp的cacti snmp 来说，让网管方便及时地了解整个网络概况就是它最重要的设计目的之一。轻而易举生成网络拓扑，不再单纯以数据包个数来分析网络流量，也许是CPU过载，板卡异常。
觉得以类来分的话，它们的分工还是比较明确的。

作者: 白丁布衣 时间: 2008-06-12 09:52
标题: 怎么没有列出Wireshanrk
怎么没有列出Wireshanrk?
nc也应该列一下嘛，小巧方便。

作者: 草上飞2008 时间: 2008-06-12 10:42
没有列出来，老兄，你可以提议加进来嘛，呵呵

怎么没有列出Wireshanrk

怎么没有列出Wireshanrk?
nc也应该列一下嘛，小巧方便。

作者: 草上飞2008 时间: 2008-06-12 10:51

原帖由 skylove 于 2008-6-11 22:10 发表
unix下的话,我基本上没有用桌面的,大致上是这些:

文本方式下

tcpdump最为常用,因为基本上我在每台机器上都有装,对检测网络问题特别有帮助,而且远程ssh的时候文字界面下方便存储浏览功能强大,随时按ctrl+c ...

老兄你的回复太好了，回复得这么系统化，如果你再整理一下，我们就单独给你申请稿费啊，呵呵

作者: cltnet 时间: 2008-06-12 10:56
linux tcpdump
Windows EtherPeek和科来都不错

我使用最多的还是EtherPeek，科来是中文版本的，对数据包的分析也比较透彻，不过从个人来说，
我还是比较喜欢使用EtherPeek，

作者: 草上飞2008 时间: 2008-06-12 10:57

原帖由 justcustom 于 2008-6-12 00:41 发表
sniffer 和 tcpdump 都只能分析数据包，“交换”的引入让它的工作范围缩到了以自己为圆心，靠从一个端口来分析整个网络状况越来越难了。况且除了专有软件很难得到设备的健康状况和远程控制。对于程序行为或局部 ...

交换引入，的确让sniffer等为难了，但道高一尺，魔高一丈。新版sniffer等好像有所变化了，

看：引：

单纯的sniff的功能始终是局限的，所以在大多数的情况下，sniff往往和其他手段结合起来使用，sniff和spoof已及其他技术手段结合在一起对网络构成的危害是巨大的。单纯的sniff好比缺了一只腿，无法发挥大的作用，例如在sniff原理一节中我们讨论的例子里，我一再的强调我们使用的是一个普通的HUB进行连接是有原因的，如果我们把在图一中的HUB用一个switch代替，那情况就要复杂一些了，如图二所示：

在图二中，我们的机器A、B、C与Switch相连接，而Switch通过路由器Router访问外部网络

OK，现在我们机器B上的管理员的好奇心只能深深的埋藏在心里了，因为数据包根本就没有经过他，就算他把自己的网卡设置成混杂模式也是有力无处使。

在了解在一个Switch环境下原理后，我们结合一些手段去设法sniff，是的，我们可以做到这一点，有许多的手段可以让管理员B满足他的好奇心，在下面我会提出几个办法，当然只是其中的一些办法而已。

1 ARP Spoof 在基于IP通信的内部网中，我们可以使用 ARP Spoof的手段，了解什么是ARPSpoof的前提你先要明白一下什么是ARP和RARP协议，什么是MAC地址，什么又是IP地址。ARP协议是地址转换协议，RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。

作者: mzwindy 时间: 2008-06-12 11:28
标题: 回复 #1 fanqiang 的帖子
使用tcpdump可分析经过本机的所有包,分析网络上其它机器就没用过.

sniffer 用过,但不会使用过虑功能,

作者: wxfjx 时间: 2008-06-12 11:32
不太懂，学习下吧

作者: knightxp 时间: 2008-06-12 13:13
Omnipeek＋WireShark＋SolarWinds

作者: yyj216 时间: 2008-06-12 13:18
Sniffer

作者: flowingtree 时间: 2008-06-12 13:19
tcpdump！

tcpdump是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具

作者: ballball2 时间: 2008-06-12 13:43
还是TCPDUMP比较好，结合其他的工具分析，非常强大
WIN下面的wireshark也不错，很好用。
工具都是要结合在一起用才能发挥最大的作用，单一的工具只能满足个别需求

作者: ruoyisiyu 时间: 2008-06-12 14:01
外国货推荐wireshark
中国货支持“科来网络分析仪”

作者: onion_moppet 时间: 2008-06-12 14:45
MRTG

作者: shujujg 时间: 2008-06-12 15:08
标题: 回复 #1 fanqiang 的帖子
Wireshark

作者: nicozhou 时间: 2008-06-12 15:22
额觉得sniffer的图形化界面、数据能帮助分析出很多问题。

内外部流量什么的。

作者: honckly 时间: 2008-06-12 15:35
在linux下用tcpdump+etherial
在windows下用windump

感觉这2个就能满足工作当中的需要了！！！

从tcpdump和windump的输出完全可以看出源地址和目的地址，并且能够知道用的是什么协议

[ 本帖最后由 honckly 于 2008-6-12 15:42 编辑 ]

作者: wpppl 时间: 2008-06-12 15:59
作为一个中学的网管那个好？

作者: yecheng_110 时间: 2008-06-12 16:44

原帖由 cugb_cat 于 2008-6-11 12:53 发表
如果有桌面环境，我喜欢用wireshark，如果没有桌面环境，我都是用tcpdump把数据存到文件中，然后再用wireshark读取。

我一般也是这样用
以前觉得EtherApe挺好玩的
现在用LINUX都没有图形界面好久没用了

作者: skylove 时间: 2008-06-12 19:32
在交换机上作端口镜像不是更容易么~~~~~~

作者: skylove 时间: 2008-06-12 19:34

原帖由 草上飞2008 于 2008-6-12 10:51 发表

老兄你的回复太好了，回复得这么系统化，如果你再整理一下，我们就单独给你申请稿费啊，呵呵

先说说稿费多少吧？？？俺一般是按酬付劳~~~~

作者: admim 时间: 2008-06-12 21:19
一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够很快地区隔出问题的发生原因，可能是线路问题、网络设备问题、或者是路由器的设定问题。随着企业网络设备（应用服务器/交换机/路由器/防火墙等）的增多，网络结构复杂度提高，采用网络流量分析系统来管理企业网络，成为很好的选择。

作者: chenyq83 时间: 2008-06-12 21:35
tcpdump sniffer iris 就足够用了！

作者: realmon 时间: 2008-06-12 22:29
but I like snort

作者: julio 时间: 2008-06-12 22:31
tcpdump用的多点

作者: 枫影谁用了 时间: 2008-06-12 23:04
结合使用。

比如用tcpdump抓包，盘片tethereal分析。

作者: 草上飞2008 时间: 2008-06-13 08:21

原帖由 skylove 于 2008-6-12 19:34 发表

先说说稿费多少吧？？？俺一般是按酬付劳~~~~

我们的稿费也不是很多，呵呵，
1000字 80元－100元，我觉得，你在原来的基础上，再整理一下，再丰富一下，就可以了，请进一步加我一下联系方式。

如果方便，请加跟我一下联系:  （另外说明一下，在CU里，我是 FAN老大的助手）
唐川
ChinaUnix.net
IT168  Network Channel

Richard Tang
Tel: 010-82657101/02/03/04/05/06-179
Mobile: 13810185479
Fax: 010-82656923
Email: tangchuan@it168.com
   tang_chuan@tom.com
MSN: thomas_tang@21cn.com

作者: 草上飞2008 时间: 2008-06-13 08:51
这是sniffer中国技术中心的组建者，第一任技术总监范伟导老师给我们关于本次活动的邮件回复，我发一下出来：

您好！非常感谢it168/chinaunix的活动。
我个人觉得这个论题不是很好。对网络工程师来说，对他们最有帮助的，不是该用哪一流量分析工具，而是怎么做流量分析。
案例最重要。我觉得“你最自豪的流量分析经历”可能更好。
我个人用Sniffer比较多，习惯了。对用户来说，处理异常流量只是其中很少的一部分。现在规模比较大的用户更关注的是应用性能分析，通过分析网络流量，判断应用性能的瓶颈，是用户最感兴趣，也是这两年我做得比较多的工作。
非常愿意和各位专家一起交流。

范伟导

作者: wheel 时间: 2008-06-13 09:16
Ettercap

作者: drunkedcat 时间: 2008-06-13 09:45
tcpdump 用来还是很方便的，尤其它可以和 shell 脚本很好的合作，数据的处理方便，可以看使用者的能力达到非一般的水平。个人觉得最符合“K.I.S.S.”原则，喜欢这样小巧的工具。

作者: 超级快的鸟龟 时间: 2008-06-13 10:26
tcpdump

作者: qingyangs 时间: 2008-06-13 10:57
linux 上用tcpdump,windows上用sniffer。这2个用的比较习惯了

作者: seven007 时间: 2008-06-13 11:20
平时都用一些SNMP的工具分析，现在工具都很完整了，分析浏览很方便。
有时候网络异常时就用sniffer，当然有些公司也上IDS、IPS了具体效果不知道。
感知网络异常需要做网络分析，日志报警比较重要，在这一点SNMP的工具也不错，不过也有它的弱点，比如一般是snmp读取时间不会间隔太短，那样会影响网络性能。所以不是很及时的反映出来。
这点需要跟sniffer配合使用，设置好感兴趣的数据包截取，触发报警。
tcpdump、Wireshark、sniffer pro都很不错

作者: xmbbx 时间: 2008-06-13 13:10
linux下，tcpdump抓包，ethereal分析。

作者: byedays 时间: 2008-06-13 13:46
tcpdump/Windump

作者: 水田青蛙 时间: 2008-06-13 14:25
用的多就是
tcpdump和etherial
能处理大多数问题,
sniffer也不错,

作者: anhongkui 时间: 2008-06-13 15:21
windows 使用sniffer
*nix使用tcpdump

作者: linuxfly 时间: 2008-06-13 15:52
提示: 作者被禁止或删除内容自动屏蔽

作者: Godbach 时间: 2008-06-13 15:59
WIN下Sniffer用的比较多，Ethreal有时也用

作者: yourantianya 时间: 2008-06-13 18:04
wireshark

作者: newbuding 时间: 2008-06-13 19:47
wireshark网络鲨鱼经常用，功能比较强，不过如果没有图形的话就tcpdump吧

作者: redblood 时间: 2008-06-13 21:15
用的比较多的是sniffer,IRIS.

作者: mslk 时间: 2008-06-13 23:25
标题: 协议分析好工具
wireshark.org

作者: skyadmin 时间: 2008-06-13 23:47
Linux下的免费Netflow解决方案
使用工具抓取数据包,然后以Netflow格式输出,同时用工具收集.

大功告成！两步：一、安装NetFlowExporter，启动Netflow流量生成；二、安装flow-tools，收集Netflow，显示收集内容。

一、NetflowExporter是一个抓取网络流量的咚咚，它模拟一个Cisco的网络设备，把抓取的流量以Netflow的格式输出到Netflow收集器。下载地址：http://sunsite.cc.ncu.edu.tw/dow ... r-0.1.25-1.i386.rpm
默认安装后，在/usr/bin下运行netflow，出现如下提示符：hostname::netflow> ，此系统支持"命令补全"，可使用Tab键进行命令补全，？可以查看命令，类型Cisco设备的命令。首先设置监听网卡如：listen on eth0，然后设置输出地址，如：ip flow-export destination 192.168.10.77（Netflow收集器地址） 7777（Netflow收集器监听的端口）；使用show configuration进行确认，确认无误后保存write。

二、安装flow-tools（http://cng.ateneo.net/cng/wyu/software/flow-tools.php）

默认安装后，启动flow-capture对NetflowExporter转换的流量进行收集，语法如下：flow-capture localip/remoteip/port，如：flow-capture -w /var/netflow （工作目录）192.168.10.77/192.168.10.77/7777

使用flow-print 对收集到的文进行显示，语法如下：flow-print < filename 如：flow-print /var/netflow/2004/2004-11/2004-11-01/ft-v05.2004-11-01.151501+0800

作者: skyadmin 时间: 2008-06-13 23:51
2004年6月X日  17:40分 www.netexpert.cn

故障地点：上海某某百货局域网
故障现象：严重通讯障碍，客户机之间ping包掉包严重，甚至POS机也不能正常通讯，用户很难完成付款操作。
详细描述：
整个网络间断性出现网络通讯中断，造成经常性的客户机应用延迟和上网缓慢。在主机房中进行ping包测试时发现，主机房客户机对主交换机的管理地址的ping包也会发生间隙性掉包。主机房客户机对各个楼面交换机通讯的通讯中断情况更加严重。

初步经验性问题判断为：可能性1）ARP表更新问题
      2）广播故障
3）路由表更新故障
                        4）病毒攻击及其他安全状况
需要获取的进一步信息是，1) ARP表信息  2) 交换机负载  3) 通讯数据捕获

进行了简单的ARP测试，发现更新ARP正常; 由于交换机反应缓慢，操作超时，无法准确获得当前负载数据。
选择主交换上一网络端口接入测试用笔记本，启动协议分析工具。
接入端口没有做镜像，接入后发现每秒钟接收到数据报文数量平均8000个，最高达到每秒14000个。按此推算，每台交换机背板每秒可能交换336000多个封包，这可能是造成交换机处理器被严重占用，造成间歇性丢包的直接原因。

由于交换机端口没有做镜像，可以认为当前的接收到的数据主要为广播通讯。利用协议分析工具捕获解码后，可以得到以下结果。

主要的协议通讯都是广播通讯。包括ARP 广播、SMB广播和Name SVC广播。

几乎所有的封包大小都小于255字节。所以尽管封包数量很大，但是总体字节数不多，吞吐量较小，在一些只记录流量的软件系统中，不能准确发现这个问题的危害。

从解码角度察看，可以看到一段时间内，主要为某一台主机的疯狂通讯。往往一台主机的通讯在瞬间占据当时总体通讯的50%以上。
到此，问题原因曾经被导向到个别流量特别大的主机，怀疑其由于病毒/蠕虫的侵害而造成大流量的产生。但是在进一步分析的过程中，我们注意到了这些在通讯中有一个特点，例如在NetBIOS 的Name SVC广播为UDP协议，UDP为IP之上封装的通讯，在IP包头包含了IP Identification信息(缩写IPID)，一般每台主机在主动发送一个数据包时，会对IPID这个值进行递增。例如第一个包IPID为10000，第二个发送包就可能是10001，第三是10002，依次类推，不同的主动发送的报文的IPID应当是不同的。但是在解码中可以发现在一段时间内，IPID是在大量简单重复。换言之，这些大量的广播报文，通常不应当是某台主机主动引起，而是被交换机发复转发造成。

在此情况下，为了正式这一现象，我们作了一次试验，让某台主机以每三秒一次的频率发送请求到一个不存在的地址（为了引起ARP广播），但是每三秒一次的广播，在网络中捕获的结果是在一秒钟内形成了7991次反复转发，造成了大量的网络流量。经过这些过程，我们确认这一问题是由于交换机环路造成。

通常交换网络中会打开Spanning Tree协议以保障不发生交换机环路的现象，如果不使用Spanning Tree Protocol (以下简称STP)，当两台交换机发生同时被两条线缆互联时候，会形成环路，交换机无法自我侦测这一情况，其结果是把广播报反复转发。

如果启用STP，各个交换机会发送优先度很高的BPDU数据封包，进行线路检测，当发现发送的BPDU包被不恰当的转发回来时候，交换机可以相互协商，关闭某一条环路路径。保障任意两个交换机中只有一条耦合链路。

问题确认得到以后，我们试图解决。

采用二分法，临时断开东楼和西楼的光纤链路。断开后发现故障立即消除，所有超时现象不再出现，流量平复正常。以此可以判断，环路发生在西楼和东楼之间，或在老楼内部。
恢复光纤链路之后，我们前往老楼进一步查访故障源。由于老楼交换机放置地点条件较差，经过整理和分析，到18:45分左右，在老楼发现故障源也已经消失。由于时间因素，进一步的定位工作没有继续，但是由于已经把问题缩小到老楼局部以及能够定位了故障类型本身，对之后的维护保障工作应当有比较好的帮助。

结论
<< 涉及客户信息，被省略vader@netexpert.cn >>

在诊断该故障同时，还发现有一些网络扫描的现象，网内还伴随一些病毒和蠕虫的征兆，因此网络维护任重道远，仍然需要更多的努力和投入。

www.netexpert.cn 保留版权
vader@netexpert.cn

作者: galford433 时间: 2008-06-14 00:23
在linux/unix下偶就装了snort和tcpdump。
windows下sniffer还有国产的科来。
unix下的主要还是靠命令工具组合来分析，windows下的整合得比较强大，个人觉得科来很好用，各种协议分得很细，又是国货

最近在玩弄无线攻防，aircrack-ng很强大，对应的windows下comview也好用

作者: ilovesecurity 时间: 2008-06-14 12:48
wireshark、snifferpro、omnipeek(以前的etherpeek)、iris、packetyzer、科来都玩过，不过还是喜欢wireshark和snifferpro。netflow类的产品没接触过，希望有机会玩玩！

作者: Johnson.Yao 时间: 2008-06-14 13:29
Sniffer 比較多，常用來抓數據包分析

作者: assassincl 时间: 2008-06-14 16:53
没有Ethereal呢，这是系统自带的而且功能很强大的流量分析软件。不需要复杂的配置，只要在参数里选择要过滤的协议类型就可以了。
Win下一直用Sniffer，基于WinPcap，要Java支持。因交换机功能原因，不能监控同一子网内所有主机的流量。但对于内网网络攻击还是可以很有效的检测出来，去年曾经用Sniffer成功抓出了局域网内发ARP攻击的主机。
这两个软件功能非常强大，只是自己才刚刚入门，强大的功能有待开发。

作者: assassincl 时间: 2008-06-14 16:59