摘要：Sniffer技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)管理。我們可以通過它進(jìn)行數(shù)據(jù)包分析，從而了解網(wǎng)絡(luò)的當(dāng)前狀況，以便找出所關(guān)心的潛在問題。

關(guān)鍵詞：Sniffer；網(wǎng)管管理；QQ

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)12-2pppp-0c

The Application of Sniffer to Network Management

WANG Xiao-liang

(Zhejiang Chunhui Middle School，Shangyu 312300，China)

Abstract:Sniffer is widely used in the network management.We can analyse the data packet with sniffer and then find the problem which we care about.

Key words:Sniffer;Network Management;QQ

前段時(shí)間，筆者所在單位出于管理的需要，要求網(wǎng)絡(luò)中心對(duì)本單位內(nèi)的QQ等即時(shí)通訊工具進(jìn)行一定的限制。

QQ是國內(nèi)用戶占用率較高的一款即時(shí)通訊工具，登錄方式多樣。如何限制QQ用戶的登錄就成了網(wǎng)絡(luò)管理員需要面對(duì)的問題。筆者經(jīng)過反復(fù)修正，最終形成了一套行之有效的方案。

第一步、“全城戒嚴(yán)”——在數(shù)據(jù)包必經(jīng)之路架設(shè)Sniffer環(huán)境

Sniffer(嗅探器) 就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。它能夠監(jiān)聽到所有經(jīng)過本計(jì)算機(jī)網(wǎng)卡的數(shù)據(jù)包。

在Windows操作系統(tǒng)下，只要安裝了Sniffer Pro，就可以把一臺(tái)計(jì)算機(jī)變成一臺(tái)嗅探器。Sniffer Pro可以偵聽到所有到達(dá)網(wǎng)卡的數(shù)據(jù)幀。

根據(jù)這種特征，然后結(jié)合單位網(wǎng)絡(luò)，筆者在數(shù)據(jù)包必經(jīng)之路上架設(shè)Sniffer環(huán)境。如下圖所示。

由于單位客戶機(jī)的數(shù)據(jù)包都要通過交換機(jī)的Ehternet 6/0/24端口，所以把Sniffer放在同一個(gè)交換機(jī)的不同端口。然后對(duì)交換機(jī)進(jìn)行設(shè)置，讓所有經(jīng)過 Ethernet 6/0/24的數(shù)據(jù)包復(fù)制一份給Ethernet 6/0/23 。這樣嗅探器就可以截獲本單位的所有數(shù)據(jù)包。

這一步需要對(duì)交換機(jī)進(jìn)行設(shè)置。不同的交換機(jī)命令格式不同?，F(xiàn)以華為8508核心交換為例。命令格式如下：

mirroring-group 1 inbound Ethernet6/0/24 mirrored-to Ethernet6/0/23

第二步、“火眼金金”——找出QQ數(shù)據(jù)包的特征

經(jīng)過第一步的設(shè)置后，雖然數(shù)據(jù)包都經(jīng)過了Sniffer，但并不是所有的數(shù)據(jù)包都是QQ數(shù)據(jù)包。我們還需要找出QQ數(shù)據(jù)包的特征。

經(jīng)過網(wǎng)絡(luò)資料的搜索與本地QQ數(shù)據(jù)包格式的比對(duì)，QQ的數(shù)據(jù)包采用一種叫TCPF協(xié)議。TCPF協(xié)議有兩個(gè)特征：

(1)包的第0字節(jié)是TCPF包標(biāo)識(shí)：0x02。

(2)所有的TCPF包都以0x03作為包尾。在包頭和包尾中間的包數(shù)據(jù)則不同類型的包有所不同。

根據(jù)以上規(guī)律，在SnifferPro中進(jìn)行如下設(shè)置。

通過對(duì)SnifferPro的設(shè)置，我們開始過濾數(shù)據(jù)包，把符合配型條件的數(shù)據(jù)包（也就是疑似QQ數(shù)據(jù)包）留下來。如下圖所示。

上圖顯示的是一個(gè)被截獲的QQ數(shù)據(jù)包。數(shù)據(jù)包中有明顯TCPF協(xié)議的痕跡。從這個(gè)數(shù)據(jù)包的IP包頭中可以讀出，這個(gè)數(shù)據(jù)包來自58.61.33.240。那么這個(gè)IP地址就是需要進(jìn)行屏蔽的。

第三步、“攔住去路”——在防火墻中設(shè)置屏蔽信息

通過Sniffer的配型比對(duì)后，可以截獲很多疑似數(shù)據(jù)包，但并不是每個(gè)都是QQ數(shù)據(jù)包。需要人工進(jìn)行比對(duì)，查看數(shù)據(jù)包的最后一個(gè)字節(jié)是否為0x03，然后篩選出使用了TCPF協(xié)議的數(shù)據(jù)包。接下來就是在防火墻上進(jìn)行屏蔽。由于防火墻產(chǎn)品種類較多，具體設(shè)置方式各異，下面以華為SecPath500F為例進(jìn)行說明。

[Secpath500F]dis acl 3001

rule 901 deny ip destination 219.133.0.0 0.0.255.255 (624978 times matched)

rule 902 deny ip destination 58.251.62.0 0.0.0.255 (9949 times matched)

rule 1002 deny ip destination 58.23.130.4 0 (300 times matched)

rule 1003 deny ip destination 58.60.9.41 0 (68 times matched)

rule 1004 deny ip destination 58.60.9.62 0 (82 times matched)

rule 1005 deny ip destination 58.60.9.63 0 (30 times matched)

rule 1006 deny ip destination 58.60.9.64 0 (124 times matched)

rule 1007 deny ip destination 58.60.9.66 0 (127 times matched)

rule 1008 deny ip destination 58.60.13.251 0 (764 times matched)

由于QQ的登錄方式多樣，被屏蔽的IP地址中有普通登錄服務(wù)器、代理服務(wù)器、VIP服務(wù)器等。另外QQ軟件更新較快，服務(wù)器列表經(jīng)常變動(dòng)，所以需要定時(shí)進(jìn)行嗅探數(shù)據(jù)包以獲得最新的IP地址。

通過嗅探器來截獲QQ數(shù)據(jù)包似乎有點(diǎn)大材小用的味道。在實(shí)際應(yīng)用中，Sniffer還可以用來檢測網(wǎng)絡(luò)利用率、協(xié)議分布等，它功能強(qiáng)大，是網(wǎng)絡(luò)管理員的好幫手。

參考文獻(xiàn)：

[1]Andre S.Tanenbaum，潘愛民.計(jì)算機(jī)網(wǎng)絡(luò)(第4版).清華大學(xué)出版社，2004.

[2]Douglas E.Comer，著.徐良賢，唐英，王勛，譯.計(jì)算機(jī)網(wǎng)絡(luò)與因特網(wǎng).機(jī)械工業(yè)出版社，2000.

[3]http://www.cnpaf.net/class/sniffer/ (中國協(xié)議分析網(wǎng)).

收稿日期：2008-01-28

作者簡介：汪小梁（1981-），浙江上虞春暉中學(xué)工作，主要研究方向：網(wǎng)絡(luò)與教育教學(xué)的結(jié)合與應(yīng)用。