網(wǎng)絡(luò)協(xié)議分析軟件 Sniffer V4

網(wǎng)絡(luò)協(xié)議分析軟件SnifferV4.75與教程N(yùn)AI公司出品的可能是目前最好的網(wǎng)絡(luò)協(xié)議分析軟件之一了，支持各種平臺(tái)，性能優(yōu)越，做為一名合格的網(wǎng)絡(luò)管理員肯定需要有這么一套好的網(wǎng)絡(luò)協(xié)議分析軟件了…Sniffer的網(wǎng)絡(luò)分析器可以運(yùn)行于桌面、便攜式和筆記本PC，使食用了400多種協(xié)議解釋和強(qiáng)大的專家分析功能，可以對(duì)網(wǎng)絡(luò)傳輸進(jìn)行分析，找出故障和響應(yīng)緩慢的原因。它甚至可以對(duì)多拓?fù)洹⒍鄥f(xié)議網(wǎng)絡(luò)進(jìn)行分析---所有這些功能都可以自動(dòng)地實(shí)時(shí)實(shí)現(xiàn)。前言:范老師現(xiàn)在是Sniffer中國(guó)技術(shù)服務(wù)中心的技術(shù)總監(jiān)，是中國(guó)唯一的Sniffer大師（SCM），他有豐富的經(jīng)驗(yàn)和經(jīng)典案例，講課講得不錯(cuò)。我是范老師的學(xué)生，我2005年學(xué)習(xí)了Sniffer，發(fā)現(xiàn)收獲很大，但我不能透露我的單位，因?yàn)槲蚁敕独蠋煵粫?huì)允許我把他的講課內(nèi)容公開。以下內(nèi)容是我根據(jù)上課錄音編寫的，基本上是范老師的原話。我整理了一個(gè)星期才整理出來，因?yàn)榉独蠋熢谏险n時(shí)有很多筆書，整理起來很困難，懸有人會(huì)問，為什么不把錄音共享出來，主要是課程中很多實(shí)驗(yàn)，只有錄音，作用不大，我把他整理成文字，看起來會(huì)方便一些，當(dāng)我全部整理完，估計(jì)可以出書了，版權(quán)費(fèi)給誰呢？哈哈我希望大家喜歡，如果反應(yīng)良好，我把后面的內(nèi)容也貼出來，很辛苦的，大家要珍惜。大家不要放映，精華內(nèi)容都在注釋里。大家有什么問題，可以發(fā)E-mail給范老師，fanweidao@，記住如果他問你是誰，你說是北京移動(dòng)或廣東移動(dòng)或工商銀行隨便一個(gè)省分行的，因?yàn)檫@些單位的學(xué)生特別多，他肯定搞不清楚。哈哈，對(duì)不起了！范老師，我只是想幫你推廣Sniffer.大家好!歡迎大家參加Sniffer的認(rèn)證課程！先自我介紹一下！我叫范偉導(dǎo)，這是我的郵件，我現(xiàn)在沒有工作（同學(xué)們：自由職業(yè)者）可以這么說。介紹一下我的經(jīng)歷：畢業(yè)后我在一個(gè)臺(tái)資電腦廠工作了一年，做硬件的。后來到了日本三洋工作，作X400的軟件開發(fā)，做ERP,用RPG開發(fā)，做了4年后來到了神州數(shù)碼，作CISCO網(wǎng)絡(luò)，原來在技術(shù)中心做實(shí)施，后來在培訓(xùn)中心做講師，一共做了5年?，F(xiàn)在我是CISCO和Sniffer的授權(quán)講師，不過現(xiàn)在我不想做CISCO了，想做Sniffer，因?yàn)槲矣X得網(wǎng)絡(luò)分析是一個(gè)很好的技術(shù)方向。等一下我還會(huì)跟大家聊一聊我們?cè)撏囊粋€(gè)方向發(fā)展。先看一下我們這個(gè)課程，這個(gè)課程事實(shí)上是兩門課，第一門我們介紹怎樣用Sniffer來做網(wǎng)絡(luò)故障診斷，還有網(wǎng)絡(luò)管理的一些方法和思路，第二門課我們介紹如何做應(yīng)用的分析，這是Sniffer的新課程，我個(gè)人覺得非常好，以前的幾個(gè)班學(xué)員也很喜歡。第一門課我們會(huì)講3天，第二門課我們會(huì)講2天。接下來的半個(gè)小時(shí)我們不講書本知識(shí)，講講我的經(jīng)歷和Sniffer究竟能用來做什么，我們?yōu)槭裁匆獙W(xué)Sniffer,其實(shí)我的目的是提起大家的學(xué)習(xí)興趣，大家愿意學(xué)，我才講的起勁。要不我一邊講，大家在噼噼啪啪上網(wǎng)，那我就講不下去了（同學(xué)們笑）。大家做網(wǎng)絡(luò)都很多年了，想想我們以前的10兆以太網(wǎng)，現(xiàn)在的萬兆以太網(wǎng)，想想14.4k的modem,現(xiàn)在的2M寬帶，以前的x25,楨中繼，現(xiàn)在的SDH,MSTP,裸光纖。大家都經(jīng)歷這些，但我們才工作幾年？就這幾年，變化這么大，我不知道大家的工資有沒有變化這么大,（同學(xué)們大笑），從10兆到萬兆，1000倍，幾年工資張1000倍。有點(diǎn)難（同學(xué)們：不是有點(diǎn)難，是很難，不可能）。再看看我們工作的變化，以前能配配路由器就很牛了，現(xiàn)在似乎誰都會(huì)了，記得幾年前，我?guī)鸵粋€(gè)小集成商配一臺(tái)4000系列交換機(jī)，收了2000元，15分鐘搞定。（同學(xué)們：好爽，介紹一些給我們做），沒有了說說你們的工作。平常工作中做些什么（同學(xué)們：做做網(wǎng)線，殺病毒，幫領(lǐng)導(dǎo)裝機(jī)器）大家想想，這是我們想做的工作嗎，以前這些都不用我們做，現(xiàn)在大家感覺是不是地位在下降，工資也不漲，好歹我們也是蜘蛛級(jí)的人物呀，不是有個(gè)笑話說蜜蜂是空姐，做網(wǎng)絡(luò)的是蜘蛛嗎。（同學(xué)們笑）我們?cè)撛趺崔k?現(xiàn)在說說我的觀點(diǎn)，我們都希望工資能年年漲，不要求1000倍，（同學(xué)們：不要求那么高，一年20%就行了），20%？不止吧，從畢業(yè)到現(xiàn)在，你們工資不止年均漲不止20%吧。（同學(xué)們：我們不能跟您比）也有可能，你們的起點(diǎn)高，我畢業(yè)的時(shí)候才有650元。大家回顧一下，做IT的誰的收入高？1、銷售2、領(lǐng)導(dǎo)3、 咨詢專家4、 售前工程師5、 售后工程師我們?cè)谧挠?個(gè)是網(wǎng)絡(luò)中心的主任或科長(zhǎng)，他們的收入肯定比一般工程師高，我祝愿你們步步高升，收入節(jié)節(jié)高。在座大多數(shù)是網(wǎng)絡(luò)工程師，我們?cè)撛趺醋?，其?shí)你們現(xiàn)在的單位都很好，但將來怎樣很難知道，比如前幾年銀行的收入令人羨慕，現(xiàn)在他們卻擔(dān)心降工資，現(xiàn)在移動(dòng)的收入不錯(cuò)吧，我有汽車廠商的學(xué)員，他告訴我他們的收入比移動(dòng)好點(diǎn)，（同學(xué)們：哇）這是他們自己說的，好多少就沒說了，還有某政府單位的，什么單位不便說，他們沒告訴我他們的收入，只說，價(jià)格少于4萬的筆記本他們不用，哇靠，4萬的筆記本，什么配置？（同學(xué)們：那是服務(wù)器）我們不能比，人比人，氣死人。我們沒法進(jìn)入這些公司的，還是腳踏實(shí)地一點(diǎn)好，但我們做技術(shù)的也要考慮如何提高我們的收入，做技術(shù)的要提高收入，地位是關(guān)鍵，前面大家說只做做線，殺殺病毒，我們的地位在下降，工資怎么長(zhǎng)得起來呢？想想我們做技術(shù)的，誰的收入高，做數(shù)據(jù)庫(kù)的比做服務(wù)器的高，為什么Oracle那么火，做服務(wù)器的比寫程序的高，寫程序的比做網(wǎng)絡(luò)高，這是普遍現(xiàn)象，不說特殊情況。其實(shí)大家發(fā)現(xiàn)一個(gè)特點(diǎn)沒有，凡是掌握企業(yè)關(guān)鍵業(yè)務(wù)的收入都很高，你看作數(shù)據(jù)庫(kù)的，數(shù)據(jù)庫(kù)壞了，企業(yè)完蛋了，領(lǐng)導(dǎo)當(dāng)然重視，現(xiàn)在不僅講存儲(chǔ)，還講災(zāi)備，你看很多銀行，北京一個(gè)數(shù)據(jù)中心，上海一個(gè)數(shù)據(jù)中心。我們網(wǎng)絡(luò)怎樣，設(shè)計(jì)的都是高可靠性的端到端備份，出問題的機(jī)會(huì)很少，而當(dāng)應(yīng)用出什么問題，都說是網(wǎng)絡(luò)問題。舉個(gè)例子，有個(gè)單位（稅務(wù)的學(xué)員告訴我的），有一天應(yīng)用突然變慢，大家都說網(wǎng)絡(luò)慢了，我們用盡troubleshooting的技術(shù)也發(fā)現(xiàn)不了問題，結(jié)果作數(shù)據(jù)庫(kù)的工程師偷偷改一下表空間，好了，沒問題了，我們不知道怎么好了，做數(shù)據(jù)庫(kù)的不說他們有問題，還說網(wǎng)絡(luò)好了，領(lǐng)導(dǎo)問我網(wǎng)絡(luò)怎么好的，我不知道呀，領(lǐng)導(dǎo)說：趕快查出原因，避免再出現(xiàn)類似問題，哇塞，怎么查，本來網(wǎng)絡(luò)就沒問題，查什么查。（同學(xué)們笑）所以現(xiàn)在大家用一個(gè)字來形容我們的工作？你們會(huì)用什么字（同學(xué)們：累、苦）很貼切，苦、累所以我們不能一直停留在網(wǎng)絡(luò)的troubleshooting,我們必須提高我們的地位，要不我們會(huì)累死。怎么提高地位，我們必須了解我們的業(yè)務(wù)，也就是要了解應(yīng)用，了解應(yīng)用在我們網(wǎng)絡(luò)上的行為特征，很重要的一個(gè)詞行為特征。當(dāng)我們了解了業(yè)務(wù)的行為特征，我們能定位某一個(gè)問題的真正故障點(diǎn)，舉個(gè)例子：網(wǎng)絡(luò)應(yīng)用變慢，可能的原因有什么？網(wǎng)絡(luò)問題，服務(wù)器問題，數(shù)據(jù)庫(kù)問題，應(yīng)用程序問題，客戶機(jī)問題。如果我們能夠判斷是哪一部分問題，我們就有發(fā)言權(quán)了，比如說剛才那種情況，如果我們直接說這是數(shù)據(jù)庫(kù)問題，不是網(wǎng)絡(luò)問題，領(lǐng)導(dǎo)會(huì)問，你憑什么說是數(shù)據(jù)庫(kù)問題，你可以拿出Sniffer，專家系統(tǒng)上寫著，DBSlowServerresponse診斷，（范老師在演示）再看解碼，做一個(gè)用戶驗(yàn)證操作，花了1.731秒，有根有據(jù)，大家想一想，有了Sniffer我們可以了解我們的業(yè)務(wù)行為特征，可以排除我們的責(zé)任，不但工作輕松了，地位也提高了。（同學(xué)們笑）以前我們應(yīng)用出現(xiàn)問題的時(shí)候我們總是分頭查找問題，結(jié)果往往是沒有結(jié)果，因?yàn)檫@種查找方式范圍太大了，我們做troubleshooting第一步應(yīng)該是：隔離故障。如果我們有了Sniffer，首先用Sniffer看一下，最有可能是哪一部分問題，再安排檢查，這樣不但節(jié)省人力，速度會(huì)更快，效率也更高。如果有人問我們Sniffer是什么？大家都會(huì)說是協(xié)議分析儀，你看sniffer網(wǎng)站（）上說的是應(yīng)用和網(wǎng)絡(luò)分析系統(tǒng)。究竟Sniffer是什么樣的一個(gè)東西，我們要了解他的發(fā)展過程。其實(shí)很多類似的產(chǎn)品比如ethereal,netscout,wildpacket等都有類似的發(fā)展過程第一階段是抓包和解碼，也就是把網(wǎng)絡(luò)上的數(shù)據(jù)包抓下來，然后進(jìn)行解碼，那時(shí)候誰能解開的協(xié)議多，誰就是老大，Sniffer當(dāng)時(shí)能解開的協(xié)議最多，也就理所當(dāng)然地成了老大，現(xiàn)在Sniffer能解開550種協(xié)議，還是業(yè)界最多的，第二階段是專家系統(tǒng)，也就是通過抓下來的數(shù)據(jù)包，根據(jù)他的特征和前后時(shí)間戳的關(guān)系，判斷網(wǎng)絡(luò)的數(shù)據(jù)流有沒有問題，是哪一層的問題，有多嚴(yán)重，專家系統(tǒng)都會(huì)給出建議和解決方案，現(xiàn)在Sniffer的專家系統(tǒng)還是業(yè)界最強(qiáng)的第三階段：是把網(wǎng)絡(luò)分析工具發(fā)展成網(wǎng)絡(luò)管理工具，為什么要這樣，如果Sniffer知識(shí)用作網(wǎng)絡(luò)分析，那Sniffer的軟件就夠用了，現(xiàn)在軟件的portable基本上都是盜版的，sniffer沒錢賺了，所以它必須往網(wǎng)絡(luò)管理方向轉(zhuǎn)，要作為網(wǎng)絡(luò)管理工具，就必須能部署在網(wǎng)絡(luò)中心，能長(zhǎng)期監(jiān)控，能主動(dòng)管理網(wǎng)絡(luò)，能排除潛在問題，要做到這些，就要求有更高的性能，所以Sniffer就有了相應(yīng)的硬件產(chǎn)品，比如說分布式硬件平臺(tái)，InfiniStream等，我知道在座各位都買了Sniffer的硬件，這時(shí)候如果用軟件的Sniffer性能就不行了。我們看一下，Sniffer究竟有什么用？第一，Sniffer可以幫助我們?cè)u(píng)估業(yè)務(wù)運(yùn)行狀態(tài)，如果你能告訴老板說，我們的業(yè)務(wù)運(yùn)行正常，性能良好，比起你跟老板報(bào)告說網(wǎng)絡(luò)沒有問題，我想老板會(huì)更愿意聽前面的報(bào)告，但我們要做這樣的報(bào)告，光說是不行的，必須有根據(jù)，我們能提供什么樣的根據(jù)呢。比如各個(gè)應(yīng)用的響應(yīng)時(shí)間，一個(gè)操作需要的時(shí)間，應(yīng)用帶寬的消耗，應(yīng)用的行為特征，應(yīng)用性能的瓶頸等等，到第二門課，我會(huì)告訴大家怎么做到有根有據(jù)。第二，Sniffer能夠幫助我們?cè)u(píng)估網(wǎng)絡(luò)的性能，比如，各連路的使用率，網(wǎng)絡(luò)的性能的趨勢(shì)，網(wǎng)絡(luò)中哪一些應(yīng)用消耗最多帶寬，網(wǎng)絡(luò)上哪一些用戶消耗最多帶寬，各分支機(jī)構(gòu)流量狀況，影響我們網(wǎng)絡(luò)性能的主要因素，我們可否做一些相應(yīng)的控制，等等第三，Sniffer幫助我們快速定位故障，這個(gè)大家比較有經(jīng)驗(yàn)，我們記住Sniffer的三大功能：monitor,expert,decode這三大功能都可以幫助我們快速定位故障，我后面通過案例演示給大家看，大家再做做實(shí)驗(yàn)，很快就上手了（同學(xué)問：范老師，是否要學(xué)Sniffer必須對(duì)協(xié)議很熟，）不一定，我們可以通過Sniffer來學(xué)習(xí)各種協(xié)議，比如ospf,以前學(xué)網(wǎng)絡(luò)的時(shí)候，講OSPF的LSA好像很復(fù)雜，你用Sniffer看看，其實(shí)他的協(xié)議結(jié)構(gòu)還是不復(fù)雜的，一般情況下，我會(huì)要求學(xué)Sniffer的學(xué)員有CCNP的基礎(chǔ)，或者有幾年的網(wǎng)絡(luò)管理經(jīng)驗(yàn)，我自己也是這樣，剛開始只是用Sniffer抓抓包，抓下來也不知道怎么分析，當(dāng)我學(xué)完CCNP后，學(xué)了CIT，以為自己不錯(cuò)了，會(huì)排除很多網(wǎng)絡(luò)故障，但實(shí)際上很多問題我還是解決不了，比如網(wǎng)絡(luò)慢，他又不斷，斷了我很快能解決，網(wǎng)絡(luò)慢，或者丟包，一般的排錯(cuò)知識(shí)還是很難的，那時(shí)候開始學(xué)Sniffer，才發(fā)現(xiàn)很好用第四，Sniffer可以幫助我們排除潛在的威脅，我們網(wǎng)絡(luò)中有各種各樣的應(yīng)用，有一些是關(guān)鍵應(yīng)用，有一些是0A,有一些是非業(yè)務(wù)應(yīng)用，還有一些就是威脅，他不但對(duì)我們的業(yè)務(wù)沒有幫助，還可能帶來危害，比如病毒、木馬、掃描等，Sniffer可以快速地發(fā)現(xiàn)他們，并且發(fā)現(xiàn)攻擊的來源，這就為我們做控制提供根據(jù)，比如我們要做QOS，不是說隨便根據(jù)應(yīng)用去分配帶寬就解決了，我們要知道哪一些應(yīng)用要多少帶寬，帶寬如何分配，要有根有據(jù)。我們?cè)倩剡^頭看一下Sniffer什么時(shí)候開始流行的，再2003年沖擊波發(fā)作的時(shí)候，很多Sniffer的用戶通過Sniffer快速定位受感染的機(jī)器，后來很多人都知道Sniffer可以用來發(fā)現(xiàn)病毒，Sniffer的知名度暴漲，盜版用戶也暴漲（同學(xué)們大笑），后來震蕩波發(fā)作的時(shí)候，很多人用Sniffer來協(xié)助解決問題。我想強(qiáng)調(diào)的是Sniffer不是防病毒工具，這也只是他的一個(gè)用途，而且只對(duì)蠕蟲類型對(duì)網(wǎng)絡(luò)影響大的病毒有效，對(duì)于文件型的病毒，他很難發(fā)現(xiàn)。另外要說明的事，Sniffer還可以用來排除來自內(nèi)部的威脅，現(xiàn)在我們網(wǎng)絡(luò)中有各種各樣的網(wǎng)絡(luò)安全產(chǎn)品，防火墻、IDS、防病毒軟件，他們都有相應(yīng)的功能，但真的有效嗎，能解決全部威脅嗎，我們要進(jìn)行評(píng)估，用Sniffer就能評(píng)估內(nèi)網(wǎng)的安全狀況，有沒有病毒，有沒有攻擊，有沒有掃描，像防火墻、IDS、防病毒軟件他們都是后知后覺的，它必須有特征才能阻絕，而Sniffer是即時(shí)監(jiān)控的工具，通過發(fā)現(xiàn)網(wǎng)絡(luò)中的行為特征，判斷網(wǎng)絡(luò)是否有異常流量，所以Sniffer可能比防病毒軟件更快地發(fā)現(xiàn)病毒。我在神州數(shù)碼的時(shí)候，沖擊波震蕩波都是我縣發(fā)現(xiàn)的，有趣的是當(dāng)時(shí)我都在上Sniffer的課，中午休息，我把sniffer駕到公司網(wǎng)絡(luò)，再Hosttable看到廣州一臺(tái)機(jī)器很多廣播，接著廣州另外一臺(tái)機(jī)器也開始發(fā)廣播，接著深圳也感染了，我馬上通知IT管理人員，他們把這幾臺(tái)機(jī)器斷網(wǎng)，后來才知道有沖擊波病毒，防病毒軟件還不能殺。剛才講到異常流量，這是一個(gè)很重要的概念，什么是異常流量？我們?cè)趺磁袛嗍欠癞惓?，這又涉及另外一個(gè)概念，叫基準(zhǔn)線分析，什么是基準(zhǔn)線，基準(zhǔn)線是指我們網(wǎng)絡(luò)正常情況下的行為特征，包括利用率、應(yīng)用響應(yīng)時(shí)間、協(xié)議分布，各用戶貸款消耗等，不同工程師會(huì)有不同基準(zhǔn)線，因?yàn)樗P(guān)心的內(nèi)容不同，只有知道我們網(wǎng)絡(luò)正常情況下的行為特征，我們才能判斷什么是異常流量。第五，做流量的趨勢(shì)分析，通過長(zhǎng)期監(jiān)控，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量的發(fā)展趨勢(shì)，為我們將來網(wǎng)絡(luò)改造提供建議和依據(jù)第六點(diǎn)就是應(yīng)用性能預(yù)測(cè)，這點(diǎn)很有用，會(huì)用的人不多，我們第二門課會(huì)講，Sniffer能夠根據(jù)捕獲的流量分析一個(gè)應(yīng)用的行為特征，比如，你現(xiàn)在有一個(gè)新的應(yīng)用，還沒有上線，我能評(píng)估他上線后的性能，比如在用戶在網(wǎng)絡(luò)中心有多快，用戶在省中心有多快，用戶在市中心有多快，都可以提供量化的預(yù)測(cè)，準(zhǔn)確率挺高的，誤差不超過10%。我們還可以用她來評(píng)估應(yīng)用的瓶頸在哪，不同應(yīng)用瓶頸不同，比如有些應(yīng)用慢了，增加網(wǎng)絡(luò)帶寬效果很明顯，比如FTP這種應(yīng)用，有些應(yīng)用慢了增加帶寬沒什么效果，比如TELNET應(yīng)用，我們還可以預(yù)測(cè)網(wǎng)絡(luò)帶寬增加的效果，比如我將2兆提高到8兆應(yīng)用性能有多大的提升，Sniffer能比較準(zhǔn)確地預(yù)測(cè)在這里我們提到三個(gè)重要概念，網(wǎng)絡(luò)行為特征，異常流量，基準(zhǔn)線，大家理解了嗎在這里，我不想太多介紹產(chǎn)品，我不是來推銷Sniffer的（同學(xué)們笑），我們主要探討網(wǎng)絡(luò)分析技術(shù)Sniffer的便攜式就是我們用的那種盜版軟件（同學(xué)們笑），我不用介紹了，這門課我們用Sniffer的便攜式來講，因?yàn)榉植际胶虸nfiniStream也有一樣的界面，上課的時(shí)候我們都是用便攜式。Sniffer的分布式包括4100和6040，主要是放在網(wǎng)絡(luò)核心可以長(zhǎng)期監(jiān)控、分析，4100可以處理千兆流量，6040可以處理8千兆流量，這是業(yè)界性能最高的產(chǎn)品Sniffer的InfiniStream的特點(diǎn)是可以長(zhǎng)期抓包，最多有4個(gè)T的存儲(chǔ)空間，可以長(zhǎng)期抓包，可以進(jìn)行回溯性分析，這點(diǎn)對(duì)有些用戶來說很重要，比如今天早上10點(diǎn)半，某個(gè)應(yīng)用很慢，十分鐘后又正常了，如果沒有InfiniStream,流量沒有保存，我們就很難分析問題在哪，如果有了InfiniStream,這些流量都會(huì)保存下來，自動(dòng)的，就是長(zhǎng)期抓包，我們就可以找出當(dāng)時(shí)的流量，進(jìn)行分析，一個(gè)很好的設(shè)備，現(xiàn)在支持1800兆線速捕獲，這也是其他廠商沒有的。這些你們買設(shè)備的時(shí)候代理都給你們說清楚了，我就不多講了。怎么樣，聽了這么久，感覺如何？有興趣嗎？其實(shí)我個(gè)人是很喜歡Sniffer的，我當(dāng)時(shí)從三洋出來的時(shí)候，錯(cuò)過了去IBM的機(jī)會(huì)，去了神州數(shù)碼才知道，他們IBM需要做X400的人，去了神州數(shù)碼，老板問我想做網(wǎng)絡(luò)還是想做主機(jī)，我說做網(wǎng)絡(luò)吧,那時(shí)一個(gè)CCIE23十萬的收入是有的，結(jié)果到我考過CCIE筆試的時(shí)候，CCIE就值10萬吧，真是絕望了，（同學(xué)們笑）為什么當(dāng)時(shí)不做主機(jī)呢，我那些做6000的同事現(xiàn)在都不錯(cuò)，又不累。做網(wǎng)絡(luò)不就一個(gè)字：累嗎（同學(xué)們笑）我也沒有去考實(shí)驗(yàn)了，01年的時(shí)候我考了CCSI，就是CISCO授權(quán)講師，后來講了很多cisco的課，我CISCO的學(xué)員有1000個(gè)，后來又講Sniffer的課，Sniffer的學(xué)員有300個(gè)，我的學(xué)員不少，有不少關(guān)系不錯(cuò)的，他們過的比我好（同學(xué)們笑，你做講師也不錯(cuò)呀，收入不低吧），以前講CISCO的時(shí)候收入不高，一天也就1000到1500，講Sniffer會(huì)好一些，（同學(xué)們：講Sniffer一天多少）這還不好公開，如果你們有興趣開班，我們?cè)倭模ㄍ瑢W(xué)們笑）。后來我考過了SCM，Sniffer的最高級(jí)認(rèn)證，叫Sniffer大師。中國(guó)就我一個(gè)人，（同學(xué)們：哇，難不難考，考幾門），Sniffer的考試不難，這個(gè)我后面會(huì)講，考過SCM的全球也只有62個(gè)，亞太區(qū)只有5個(gè)，所以Sniffer原廠的課程都是我講的。在今年，我會(huì)去協(xié)助組建Sniffer中國(guó)技術(shù)服務(wù)中心，以后你們有什么問題都可以聯(lián)系我，我在那里是技術(shù)總監(jiān)。我們還有在各行各業(yè)的Sniffer專家小組，都是喜歡使用Sniffer的人在一起交流使用心得，分享一些案例，你們?nèi)缬信d趣，到時(shí)我可以邀請(qǐng)你們參加，不過首先要認(rèn)真聽課。（同學(xué)們笑）好了，講了這么多，目標(biāo)只有一個(gè)，提起大家的學(xué)習(xí)興趣，接下來講課程的內(nèi)容，首先把Sniffer打開。好，大家都打開了嗎，有問題隨時(shí)告訴我，（跑去解答問題去了）如果大家在上課的時(shí)候有任何疑問，隨時(shí)可以打斷我，不用給我面子，我也不一定能回答所有問題，不過沒關(guān)系，交流總會(huì)進(jìn)步的。好，我們繼續(xù)第一個(gè)我要介紹的是localagent。Selectsettings什么叫l(wèi)ocalagent，大家打開file這時(shí)候，大家可能只看到一個(gè)local下面是你的網(wǎng)卡,這就叫做一個(gè)localagent。事實(shí)上，一個(gè)localagent就像一個(gè)探針。我們知道Sniffer的工作原理很簡(jiǎn)單，就是把網(wǎng)卡設(shè)成混雜模式（叫做promiscuous），所謂混雜模式，就是把所有數(shù)據(jù)包接受下來放入內(nèi)存，大家知道一般情況下,PC機(jī)只接受目的mac地址為自己網(wǎng)卡或廣播、組播的數(shù)據(jù)包。sniffer就是這樣把所有數(shù)據(jù)包都接收下來，在進(jìn)行分析。大家看我這里有多個(gè)agent,怎樣可以做多個(gè)agent呢，可以不同網(wǎng)卡做不同的agent，就像你們的分布式sniffer一樣，有多個(gè)網(wǎng)卡，那就是多個(gè)agent,infinistream也一樣。其實(shí)一個(gè)網(wǎng)卡，也可以做多個(gè)agent,大家試一下，new一個(gè)，給他加上說明，就叫101把，選中你們的網(wǎng)卡，下面選nopod，copysetting留空，那個(gè)pod是你外接snifferbook時(shí)候用的。大家看看你們的agent多了一個(gè)，101括號(hào)local_2。對(duì)不對(duì)（同學(xué)們：對(duì)）好，不錯(cuò)。我們?yōu)槭裁唇⒍鄠€(gè)agent呢。不同的agent可以定義不同的閥值，可以有不同的過濾器，可以有不同的觸發(fā)器，不同的地址本。比如說，你們有一臺(tái)筆記本裝著sniffer，大家都用它，那不同的工程師可以自己定義一個(gè)agent，自己定義自己的過濾器，互不干涉，比如不同的網(wǎng)段有不同的閥值，也可以定義不同的agent。那agent的參數(shù)保存在哪里呢，大家打開c:\programfiles\nai\sniffernt'program,大家看到locallocal_2,這就是兩個(gè)不同的agent保存參數(shù)的地方。大家看到兩個(gè)CSF文件，一個(gè)是sniffer.csf，另外一個(gè)是Snifferdisplay.csf。這是過濾器文件，當(dāng)我們使用sniffer一段時(shí)間之后，大家會(huì)累積許多好的過濾器，一定記得保存下來，就是把這兩個(gè)文件考出來就行了，如果你看到別人那里有好的過濾器，也可以拷過來。不過當(dāng)你要倒回去的時(shí)候，4.8比較好辦直接倒入就行了，4.75比較麻煩，我后面講定義過濾器的時(shí)候再教大家。過濾器是sniffer最難、最有意思、最重要的一部分，大家放心，我能讓大家成為高手。（同學(xué)們笑）好，localagent講完了‘localagent是什么？事實(shí)上就是定義一個(gè)環(huán)境變量，不同的環(huán)境不同的參數(shù)。好，休息一下，待會(huì)兒講monitor功能。中間休息的時(shí)候，我問了范老師一個(gè)問題：我看書上說，TCP是可靠的,UDP是不可靠的，那要不可靠UDP來干什么？（各位：我的問題是不是很傻？但我確實(shí)不知道呀）范老師：不錯(cuò)，這個(gè)問題非常好！（嘿嘿?。㏕CP叫傳輸控制協(xié)議，他的特點(diǎn)是：有連接，有流控，有順序號(hào)/確認(rèn)號(hào)，開銷比較大，一般是20個(gè)字節(jié)的頭。UDP叫用戶數(shù)據(jù)報(bào)協(xié)議，開銷小，8個(gè)字節(jié)的頭，無可靠保證。我后面有詳細(xì)介紹TCP和UDP，我們先看您的問題。首先，UDP，不可靠，是指，在傳輸層不提供可靠保證，并不意味著所有使用UDP的應(yīng)用都不可靠。我們來比較幾個(gè)應(yīng)用（范老師用他的tracefile給我演示）DNS，53端口，進(jìn)行查詢時(shí)，用的是UDP，因?yàn)橐笏俣瓤欤热缥乙閚etworkgeneral的地址，你只要告訴我ip是多少就行了，如果要進(jìn)行3次握手建立連接，再去取到IP，那就慢了，所以用的是UDP,一個(gè)字：快。沒響應(yīng)怎么辦，事實(shí)你看（他在演示）它會(huì)同時(shí)向多個(gè)DNS查詢，所以沒響應(yīng)也沒關(guān)系，你看這個(gè)響應(yīng)名字錯(cuò)誤，找不到。所以UDP還是有用的，特別是像DNS查詢這種應(yīng)用，丟了也就丟了，我再查。但DNS也有用TCP的時(shí)候，比如DNS服務(wù)器的同步，用的就是TCP的53端口TFTP，您所了解的TFTP，用的是UDP吧，他不可靠嗎，事實(shí)上文件傳輸,必須保證可靠。不但要保證能知道丟包重傳，還要有順序號(hào)，應(yīng)付錯(cuò)序到達(dá)的情況，也就是我們常說的后發(fā)先至。事實(shí)上TFTP是怎樣工作的，你看（他在演示），每一個(gè)數(shù)據(jù)塊都有Id號(hào)，一塊512字節(jié)，一次傳輸，一次確認(rèn)，這就相當(dāng)于TCP的順序號(hào)和確認(rèn)號(hào)。所以UDP是不可靠的，但很多使用UDP協(xié)議的應(yīng)用是可靠的，只是在應(yīng)用層去保證可靠性，很多人說用UDP效率高，事實(shí)上TFTP在傳輸大文件的時(shí)候，比FTP效率更地，我們后面有專門的實(shí)驗(yàn)。視頻流量，（沒有演示）對(duì)于視頻流量，也是需要可靠保證的，但要求不是很高，所以不會(huì)像TFTP那樣每一個(gè)數(shù)據(jù)報(bào)都確認(rèn)，而是傳多個(gè)數(shù)據(jù)包確認(rèn)一次，要不效率就太低了，究竟多少個(gè)數(shù)據(jù)包確認(rèn)一次，開發(fā)人員需要不斷測(cè)試。我的解釋清楚嗎，（我說：明白了！謝謝?。?/p>

（確實(shí)看著演示，很容易就理解了，中間我們有許多對(duì)話，我省略了，確實(shí)如果只聽錄音是不明白的這是我為什么要整理成文字給大家看，好累呀！大家給我加油?。┖?，我們繼續(xù)！^h-.3o3rt.Table;32sta.ti.nns128.1￡9.201.26S129.82.B1^128.1￡9.2HL2tJ7@HH7.20.1O8L11gl28.52.1￡92@128.52.^335l2ai69.20CL65B12&1D4.39L33Q12S.169.203^^212S.120.9iS192.42.2525CSi92.42.2322DS7&123.B3714B1B12379.25485Bl2S1Q4.196.26S12S1D4.1S21呂仍?4.49S128.15E.I128.1￡9.201.26S129.82.B1^128.1￡9.2HL2tJ7@HH7.20.1O8L11gl28.52.1￡92@128.52.^335l2ai69.20CL65B12&1D4.39L33Q12S.169.203^^212S.120.9iS192.42.2525CSi92.42.2322DS7&123.B3714B1B12379.25485Bl2S1Q4.196.26S12S1D4.1S21呂仍?4.49S128.15E.I23&Q123.15B.221?120.1.1.^21?129.15S.1射S130H2G.17410S129.1S8.1lI^S128.158.1.iS3Si92.42.2523mfl0crt4i~c呻c*rt■inPR踐 ||riH典備 —|0$別朋$ |日I強(qiáng)dca壯 I病i；liic訣 |Uuda箱Timw木劭16|20:90=#27=.固囲92:87=:昶24=:8:4=:2:.0:0.宦0:5=.小0=耶.0:0=:0:0=:0:川”527—006007—^494442^*44442121211-12--592961228-2623124J693llj0ft314J959014312.1E110^00,1SQJ010S799&.350SJ28U1G110,2401<55813,：4311,0085,5702CC&2-351110:17.72OK-2^K13t10:15.3SB&2-S13tl?:5S22ffl&2-2513t19:15.J2We-2-2513t19:12^200&2-31119:1&42006-2^251110:124200&2-251117:55.2如匹它：亞13泌1.工40?3?3S7J782<5035J5708.0102,1821.血1.704J.182SZ290376183183376n936口頗0厘00154030S0'S400'1000■300309?ri冃聲換22513^:1右CGCGCGCCCQCOODOGOQGGrt2006-2-251118:15l8:<2006-2-251110:15.42006-2-251110:02.82Gre-2-25131^8:0282006-2-2513t10:O2.S3CC6-2-2513J7：5622W6-2-251J17:5El22006-2-251113:04.62006-2-251113:0262WE-2-25111S;026：'2006-2-2513t17:59.5=:20Qe-2-551S18;11.1i20幷2詼1$北;鶉字.：2OK-2-2513tlE:S97：■：200&2-2513；16:36.9；>2ME-2-2513tlG:44.3:■:2?E-2^1116:40.2：<2CC&2-^1116:^1372Gffi-2^13t1G:45.82M&2^1117:5517,^<好，我們繼續(xù)看第二個(gè)monitor功能，Hosttable，我們叫他主機(jī)列表這是非常好用的一個(gè)功能，有什么用呢？第一看流量最大的T0P10主機(jī)，第二看廣播量有多少，當(dāng)時(shí)我發(fā)現(xiàn)沖擊波、振蕩波的時(shí)候，就是看惡這個(gè)hosttable，發(fā)現(xiàn)有大量的全子網(wǎng)廣播第三可以快速過濾單一主機(jī)流量。第四通過過濾功能可以看到單一業(yè)務(wù)主機(jī)的流量分布，當(dāng)然也可以通過鏡像接口去實(shí)現(xiàn)我們一個(gè)一個(gè)來看。首先TOP10主機(jī)，我們可以點(diǎn)擊各列的標(biāo)題來排序，方便我們分析，比如收發(fā)包情況。大家可以試一下。第二廣播量有多少我們點(diǎn)擊broadcast或multicast的標(biāo)題，查看廣播量，有一點(diǎn)要注意，不要忘記看MAC層的廣播和組播，因?yàn)镸AC的廣播不一定有IP頭，比如ARP，同樣IP的廣播在MAC也可能是單播，比如子網(wǎng)廣播。MAC層的廣播是目的MAC為48個(gè)1,MAC層的組播為目的MAC第一個(gè)字節(jié)最低位是1。（范老師有板書，我的本子上有，懶得畫了）IP的廣播有三種：55叫本地廣播，也叫直播，directbroadcast,不跨路由器。55叫子網(wǎng)廣播，廣播給這個(gè)子網(wǎng)，可以跨路由器。55叫全子網(wǎng)廣播，廣播給這個(gè)主網(wǎng)，可以跨路由器。大家以前學(xué)網(wǎng)絡(luò)的時(shí)候，老師會(huì)給一個(gè)概念，說路由器是三層設(shè)備，隔離廣播，對(duì)吧，我也是這樣給同學(xué)介紹的，但我在后面會(huì)告訴同學(xué)，并不是所有廣播都隔離。事實(shí)上只有55這類本地廣播，路由器才不轉(zhuǎn)發(fā)，對(duì)于子網(wǎng)廣播和全子網(wǎng)廣播，路由器是轉(zhuǎn)發(fā)的，這是為什么呢？我們來看4個(gè)255的廣播，在MAC的封裝中，對(duì)應(yīng)的目的MAC是廣播，而子網(wǎng)廣播和全子網(wǎng)廣播，對(duì)應(yīng)的目的MAC是單播，所以路由器會(huì)轉(zhuǎn)發(fā)。（范老師在演示）所以我們注意到，路由器隔離的廣播是目的MAC為全1的廣播，對(duì)于目的MAC是單播的上層廣播，路由器是不能隔離的?，F(xiàn)在想想沖擊波震蕩波為什么影響那么大，因?yàn)樗捎玫氖侨泳W(wǎng)廣播，可以跨路由感染。所以對(duì)于這種流量我們要小心，希望下次再出現(xiàn)蠕蟲病毒時(shí)，大家能快速發(fā)現(xiàn)，做個(gè)世界第一（同學(xué)們笑），同樣我們要關(guān)注MAC層的廣播。第三，就是我們可以關(guān)注單一主機(jī)流量。第一種辦法，抓包。選中主機(jī)，點(diǎn)一下抓蝴蝶的工具，這樣通過專家系統(tǒng)和解碼你就可以分析他在干什么了。這個(gè)我們后面再講第二種辦法，用singlestation。選中主機(jī)，點(diǎn)一下下面這個(gè)電腦的圖標(biāo)，你可以看到他在跟誰通信，如果你看到他跟幾十臺(tái)、上百臺(tái)機(jī)器同時(shí)通訊，可能是什么？（同學(xué)們：BT），對(duì)，像BT,電驢等P2P應(yīng)用會(huì)有這個(gè)特征。第四，就是我們?nèi)绻覀儼褑我粯I(yè)務(wù)服務(wù)器的接口鏡像過來，我們就可以看到這臺(tái)機(jī)器的流量狀況，我們也可以采用過濾的方式。Sniffer有一種叫Monitor過濾器。大家選中一臺(tái)機(jī)器，假設(shè)這是你要關(guān)心的業(yè)務(wù)主機(jī)，再點(diǎn)一下這個(gè)定義過濾器的圖標(biāo)，（范老師在演示），你看他自動(dòng)產(chǎn)生一個(gè)叫NEW1的過濾器，就是這臺(tái)機(jī)器跟任何機(jī)器通訊這樣的一個(gè)過濾器。我們點(diǎn)一下確定。我們?cè)谶x擇monitor菜單上的selectfilter，選applymonitorfilter，再選new1，確定。大家注意到，現(xiàn)在hosttable就只有和這臺(tái)機(jī)器通訊的所有主機(jī)流量情況。要注意一點(diǎn)是，monitorfilter應(yīng)用的時(shí)候，對(duì)所有monitor功能生效，所以在分析單一業(yè)務(wù)的時(shí)候，特別好用。當(dāng)然如果你們買的是InfiniStream的話，就更方便了，想分析那個(gè)業(yè)務(wù)就分析哪個(gè)業(yè)務(wù)。怎么樣？Hosttable好用吧？（同學(xué)問：為什么廣播也是一臺(tái)主機(jī)？不是說廣播地址不會(huì)作為主機(jī)地址嗎？）（編者：這個(gè)問題好像比較低級(jí)）這是流量分析技術(shù)的特點(diǎn)，再流量分析中，它純粹從包結(jié)構(gòu)中去取得主機(jī)信息，也就是目的MAC,源MAC,目的IP,源IP,他都作為主機(jī)處理，廣播地址不會(huì)在原地址中出現(xiàn)，但在目的地址中出現(xiàn)，也是

一臺(tái)主機(jī)。這并不影響我們分析。好。還有什么問題嗎？大家用5分鐘自己試一下。好，我們繼續(xù)看第3個(gè)monitor功能，Matrix，我們叫他矩陣，其實(shí)就是主機(jī)會(huì)話情況，很多人用他來發(fā)現(xiàn)病毒，其實(shí)用他來評(píng)估網(wǎng)絡(luò)狀況，和異常流量，是一個(gè)很好用的工具。大家看，一下子就滿了，大多數(shù)網(wǎng)絡(luò)中都是這樣的，我們可以按一下嶄停。然后來分析分析什么呢？看那一臺(tái)主機(jī)的連接數(shù)最多，要注意這個(gè)連接數(shù)不是傳輸層的連接數(shù)，是指誰跟最多的主機(jī)連接按右建選zoom，放大。找到對(duì)外連接最多的機(jī)器，選中，按右建，選showselectnodes，大家自己試一下。TrafficMap2ie^2.18?.±?..131.6U-M.5fl54.2^^30.46TrafficMap2ie^2.18?.±?..131.6U-M.5fl54.2^^30.46■ -no.uuj.^'.--"._■宦曲加.1葩.30上嘆』屯ZDCi.24821D.1ril7.IS5___- 22Q.?g.11：2.1t02fl2.32.47.?二十―二230.71.7^.*?二_.. fil1舶冋總 ― 220.!Ad.E0?r 202.@l.2￡ll-2~ 1.21.123J二_——— 211125222.■二二_——一―■202.162.160.：—i?.*1■<13-552W27.?5 ^5.58.-? 亍一一1D.^S.254.10201223.t5?.9：2..'―' 61J5&.17J.i?f:m.149J帚36210.2^.152.67111.^1.150.7?--■'■■- 3105e.1t7.ii7■U&.W.lWJlS*21LW?.e3.ZDi2I?J^.I91.IS3RjlCMF1D135.6D.1fiG：我們注意到這臺(tái)機(jī)器跟很多機(jī)器通訊，這正常嗎？（同學(xué)們：不正常）這要看實(shí)際情況，如果這時(shí)一臺(tái)業(yè)務(wù)主機(jī)，太正常了，如果這時(shí)一臺(tái)PC機(jī)，或許在作P2P。究竟在作什么呢芒弐2aHLTj；U-CbCOu&j1/<uMT X1|Nd孔礦甌r而蠡匚DE陽(yáng)dr陰 |Summaiy 1Len建站為麗辰1.T施1扛[1Q.L88.60.18?][145.64,65.139]1061Q&Q:OQDO00?=1CL8(5&q183]=?18lt6J5551=g.即氐亦?vocaDO0?3：ID1.E860.18^]：?2045淬34?：ICMPFi--hoi.36.BISo-oc00訂4r1GLSSEd.」昨]F1Si23B 29財(cái)恥ICMP：Echo136畑D:00no295：1CL8SECi.l汩][￡G147.64.90]ICMPEchp；D653Dnon00.3$ErieLSSBO.183]亍2恥 2301.25：It^P Sc.lio13663&d：ocDO.i77[10.lE3.ee.1^9][203,240.31.94]H：：MF撫hGLD67i2OOG00.573FL^.1732E3農(nóng)E]IC^P-Eic.lio136S4SD：OGDO.BE日=1CLSSGO.IB-?][63,e3.36.2?B]I'：：MP撫heLDfc?51ooc00.75LOrLC.LSSBO.1S3][￡1.240.S9.5fi]-Eclio1361069□:0DD0.B3LI[10hS8.60.lS9]<2C2227.L23TAI'：?PLiehoLDt11昭O：0G00.92L2Iio.iea.tc.ie?]：61218L40.LL9：忙*KEclioUb12?2D:OQOl.Ofl13[ioisa.￡0.139]『2陰LS9.L27212]3CHPt：cho■Life13790:oii01.10L4[io.tea.to.ie?][61.ei.7i.81JIC^P-0口13814B4U:0Q01.20L&[101S8.LC.105][￡5tLi.209.209jICMPEcho13t15900:uGD1.2S L6：ID.LS&.￡0.189][202. .llfi.7tlIC^E:Eichoiat1G9&0:0G01.38——L7rit.LdS.tO.189][24]ZCHPt-cho■at18020:0001.-i7....L8[10.183.G0.ie9][210.3t.22.209]匯淀：Kcho13619080:0Q01.55L9[io.tea.to.is?][6142.9G.35JICHP在ho■as20L40:0601.7920[io.tea.&c.109]=218.1G.Lt.4.232：工注：SchoLOG21200:UG01.8421rit.L3&.t0.189][6t]ZCHPEcho■as222&0:0001.94HEI22[io.tea.tc.109]=218.IS.t2.174]：CWp:Echo23320:0Q02.0423riG.ia&.t0.193][13i.21G.t.22]ICMPEc]io■060:0G02.1524[10.198.6C.199][64.1S7.31.1G1]IC^r.EchoLOG25U0:0002.2325[13.188.GO.199][1S2.lt&.105.1S61ICHFEc]io■D62&590:OC02.33』亠匕屈S亠毀土總亠蟲恿亠夙希嚴(yán)T-'"I.■-frl十 .唯…me?-|■*"! JC-15ICMP:一亠十ICMP 亠斗二斗亠更ICMP::MCMP:S工能.Ts/pe-8(￡c?id)Cede-0■匚「嚴(yán)卄亦a」□卜丁皆卄口ci匸刃卜f囲l丨chju ri lif、/我們注意到這臺(tái)機(jī)器向公網(wǎng)發(fā)出大量的ICMP包，那是在作什么？（同學(xué)們：在ping）對(duì)！PING采用ICMP協(xié)議，ping可以用來掃描，也可以用來攻擊。掃描就是看那一臺(tái)機(jī)器活著，接著掃描端口，在攻擊，所以掃描是攻擊主機(jī)的前奏。另外惡，還可以用ping來沖擊路由器，或占用帶寬，是一種DOS攻擊。大家看這個(gè)過程更像哪一種類型。（同學(xué)們：掃描，DOS攻擊）一般情況下，掃描會(huì)是比較連續(xù)的地址，我們看這個(gè)地址并不連續(xù)，我們先排除掃描，當(dāng)然不是絕對(duì)的，也有比較聰明的掃描。有同學(xué)說，這是DOS攻擊，那是沖擊路由器，還是占用帶寬？（同學(xué)們：沖擊路由器）嘿，這次比較統(tǒng)一，我也覺得他在沖擊路由器，我們看，他的目標(biāo)地址基本不在一個(gè)網(wǎng)段，這樣路由器收到這樣的數(shù)據(jù)包會(huì)消耗大量資源在查找路由表上面。所以對(duì)路由器有一定沖擊。一般來說，如果他想占用帶寬的話，會(huì)發(fā)大包，我們發(fā)現(xiàn)，包的長(zhǎng)度不大，并且一秒鐘才發(fā)10幾個(gè)包，所以對(duì)貸款沖擊不大。或許大家會(huì)覺得這沒秒10幾個(gè)包對(duì)路由器沖擊也不大呀。大家想像一下，如果有很多機(jī)器在作這個(gè)操作，那影響就會(huì)很大。大家自己在找一找，是否還有其他機(jī)器在作同類事情。（同學(xué)們找出7臺(tái)這樣的機(jī)器）好大家找出7臺(tái)這樣的機(jī)器，怎么找出來的？有同學(xué)用剛才的辦法，有同學(xué)用過濾，都市好辦法?，F(xiàn)在假設(shè)在你們的網(wǎng)絡(luò)中出現(xiàn)這樣的情況，我們發(fā)現(xiàn)了異常，接下來怎么做？（同學(xué)們：找到這臺(tái)機(jī)器）然后呢？我們可以看看這臺(tái)機(jī)器的任務(wù)管理器，看看有什么不常見的進(jìn)程，把他去掉，看是否解決。在看其他的機(jī)器，是否有類似的特征。這是我的一個(gè)學(xué)員發(fā)給我的，當(dāng)時(shí)他發(fā)現(xiàn)這7臺(tái)機(jī)器都有一個(gè)特殊的進(jìn)程，但是他的防病毒軟件沒有查出來。他手工解決了。這很好說明用Sniffer可以比防病毒軟件更快發(fā)現(xiàn)病毒，因?yàn)榉啦《拒浖呛笾笥X得，什么意思？防病毒軟件必須有相應(yīng)的特征才能查病毒。而Sniffer通過流量可以發(fā)現(xiàn)一些特征，一些異常。但是有一點(diǎn)，我們不能拿Sniffer當(dāng)防病毒軟件用，那不是他的特長(zhǎng)，同時(shí)也太低沽Sniffer的功能了（同學(xué)們笑）好我們?cè)诳纯磼呙枋窃趺匆换厥?，大家看這個(gè)tracefile（范老師在演示，我就不寫了）先是ARP掃描，再端口掃描，接下來就是攻擊了。（編者：接著我們做了一個(gè)游戲，范老師讓大家用Sniffer攻擊他的機(jī)器，結(jié)果1臺(tái)機(jī)器就把他的機(jī)器搞死了，這個(gè)就不細(xì)說了）好，我們?cè)倏吹谒膫€(gè)monitor功能，ART，Application