1、在共享式以太网环境中应用网络嗅探器
我们都知道,在共享式以太网中,同一网段中所有主机都连接到一个集线器(HUB)上。当同一网段中的任何一台主机发送一个数据包后,都会通过集线器以广播的方式发送到网络当中,处在同一网络中的所有其它主机都会看到这些数据包,然后通过查找数据包中的目的MAC地址来确认这个包是否是发给自己的。如果是,就接收这个数据包,如果不是,就会丢弃这个包。
这样一来,在共享式以太网中,要嗅探进出某台主机接口卡中的流量和嗅探整个网络中的流量都是非常简单的。我们只要将网络嗅探器通过网线连接到集线器中的任意一个空闲端口,然后通过网络嗅探软件,将嗅探器的网络接口卡的工作模式设为混杂模式,就可以捕捉到在网络上传输的所有网络流量。图1就是在共享式以太网中使用网络分析器的原理图。
图1共享式以太网方式使用网络分析器原理图
2、在交换机或路由器的网络环境中应用网络嗅探器
我们在第一节时就已经了解到,交换机是通过MAC地址表来决定将数据包转发到哪个端口的。原则上来讲,简单通过物理方式将网络嗅探器接入到交换机端口,然后将嗅探器的网络接口卡设为混杂模式,依然只能捕捉到进出网络嗅探器本身的数据包。那么,我们是否有方法可以在交换机网络中,让网络嗅探器捕捉到网络中某台主机的流量,或者整个网段的网络流量呢? 答案当然是肯定的,而且解决的方法一共有三种。
要实现这三种方法,是有一定条件限制的。首先,你应当具有物理接触目标网络的权限,另外,你还具有使用网络嗅探器,以及调整网络设置的权限。满足了这些条件,我们就一起来分析如何通过这三种方法来达到在交换机网络中嗅探网络流量的目的。
(1)、通过交换机的端口镜像(port mirroing)功能来达到目的
现在一些可网管式交换机,一般都有一种叫做端口镜像的功能,有的也叫端口绑定(port spanning)。这种功能允许你将交换机中的一个端口设置为端口镜像模式,然后再指定要被镜像的交换机端口关联到这个指定了镜像功能的端口上。完成设置后,这些被镜像的交换机端口中的流量将会同时复制一份到镜像端口上。这样,只要将网络嗅探器连接到这个端口上,然后将嗅探器的网络接口卡设为混杂模式,就可以嗅探到连接到交换机中这些被镜了的端口上的主机发送的数据包。例如DLink生产的DGS3427系列交换机就可以设置端口镜像功能。而且,有些可网管交换机还可以通过WEB方式直观地设置这种功能。的方式来将网络分析器接入到交换机及网络环境中。图2就是通过这种方式接入网络嗅探器的原理图。
图2 通过端口镜像方式连入网络嗅探器的拓扑图
(2)
、通过在交换机上加入一个小型集线器(HUB)的方式来达到目的
在许多交换机网络中所使用的交换机,是不具有可网管功能的。那么,这种情况下,我们又通过什么样的方法,来达到嗅探交换机网络中网络流量的目的呢?
有一种解决方法,就是在网络中的交换机上,再接入一个小型集线器,然后将嗅探器和被嗅探的所有主机连接到这个集线器中。这样,就使被嗅探的网络变成了共享式以太网。其它的工作,就如同共享式以太网中一样,轻易就可以完成。但是,使用这种方式有它一定的局限性的。一方面,将一个关键的网络段连接到集线器上,一定会影响到网络的传输性能,不可能长期永久使用的。另一方面,当将集线器接入到交换机上时,就不得不中断网络,将它从交换机中退出,也会中断一次网络。因此,只有当出现了某种网络问题需要用网络嗅探器来分析解决时才能使用。图3就这种方式连入网络嗅探器的原理图。
图3 通过加入一个小型集线器(HUB)的方式连入网络嗅探器的原理图
(3)
、通过在路由器处接入一个Cable TAP的方式来达到目的。
当交换机不具有可网管的功能时,还有一种方法可以用来解决在交换机和路由器网络环境中,嗅探网络中所有网络流量的目的,就是使用Cable TAP接线盒的方式。Cable TAP也是一种网络连接设备,它的收发方式是独立进行的。因此,它的带宽可以与交换机相似。但在使用时应用两根网线来分别连接它的收与发接口到路由器中。Cable TAP可以作为一种固定的设备,永久地连入到网络结构当中而不影响网络传输速度。这样,就完全消除了使用集线器时的问题。在使用时,将网络嗅探和交换机
现在,已经有很多网络生产商生产这种类型的产品,主要目的也是为了跟一些网络分析设备一起使用,以达到网络分析设备可以监控整个交换机或路由器网络环境的目的。例如福禄克网络公司生产的在线式TAP连接设备。图4就是通过这种方式连入网络嗅探器的原理图。
图4 通过在路由器上连接Cable TAP方式连入网络嗅探器的原理图
本文转自 雪源梅香 51CTO博客,原文链接:
http://blog.51cto.com/liuyuanljy/177608
,如需转载请自行联系原作者
