Sniffer应用实例分析

----国内某大型企业的网络主干是ATM网络，2001年8月，网络性能突然急剧下降，导致企业的网上应用全部陷于瘫痪。网络管理人员不但无法确定引起网络瘫痪的原因，在甚至连最基本的网络连接也无法恢复。而在这种了无头绪的状态下，Sniffer却显示出强大的网络管理能力。

----Sniffer工程师采用了ATM专用的Sniffer设备对该公司的ATM主干网络进行了测试，以下为测试的全部过程。

----工程师首先调用了Sniffer的Dashboard功能对网络的整体流量状况进行了监控，，该监控功能旨在对网络的带宽利用率（总体流量）、网络每秒钟的数据包数，以及网络中每秒钟的错误包数进行监控。从这些监控中，Sniffer的技术人员发现用户的整体网络带宽占用率并不高（如左边的仪表盘所示），只有10%左右，网络中的绝对流量也不大，但工程师同时发现网络中的数据包却非常多（如中间的仪表盘所示），甚至超过了Sniffer缺省定义的警戒值。从详细的数值可以看出，网络中64个字节以下的小包最多，因此，技术人员初步断定，网络中太多的小包可能是引起网络瘫痪的原因。

----为了确定到底是那些计算机在生成这些数据包，技术人员又调用了Sniffer的另外一个流量监控功能HostTable，HostTable可监控网络中每台计算机的流量状况，包括每台计算机收到的数据包数、数据包字节数、每台计算机发出的数据包数、发出数据包的字节数、总的包数和总的字节数等流量信息。在监控中，技术人员很快发现了用户网络中发包最多的那些计算机的网络流量都有一个共同特点，即他们收到的数据包非常少，有的计算机甚至为零。这些计算机在网络中拼命发数据包，是非常不正常的，而这也正是当时爆发的CodeRed II病毒的特征，感染了CodeRed病毒的计算机会往网络中发送大量的数据包，最终导致网络的瘫痪。通过这些特征，技术人员已经十分确定用户网络的瘫痪原因是由于图三中所示的那些计算机感染了CodeRed病毒引起的。

----为了进一步确定CodeRed病毒的特征，技术人员用Sniffer的Capture功能进行了抓包，并将数据包进行解码分析，图四就是Sniffer对CodeRed病毒产生的数据包的解码分析报告，从中可以清楚地看到CodeRed就是通过发送特定的Http Get请求，利用微软IIS的漏洞进行传播的，这些请求在传播过程中产生大量的数据包，使网络路由器和交换机陷于瘫痪。

----正是采用了Sniffer网络分析仪使用户得以迅速地查明了网络瘫痪的原因，并监控到了每个感染CodeRed病毒的计算机情况，从而在很短的时间内将这些计算机中的病毒进行彻底清除，使用户网络得以快速恢复，有效避免了更大的损失。

----基于出色的性能，Sniffer近年获得的全球性大奖超过45个，在2000年荣获美国知名媒体《NetwWork Computing》"十年来非常好的网络产品奖"，同获此殊荣的产品包括：MS Windows NT、Novell Netware、Cisco 路由器与Apache Web服务器。《NetwWork Computing》的资深专家一致认为，"随着网络复杂度的日渐增长，使网络保持平稳运作的需求也与日俱增，但Sniffer仍然是该行业的非常好的产品 "。

转载地址：http://netsecurity.51cto.com/art/200512/13153.htm