一、EtherApe的安装配置
EtherApe主页是:http://etherape.sourceforge.net/ 最新版本:0.9.7,
下载站点:http://sourceforge.net/project/showfiles.php?group_id=2712
硬件要求: 中央处理器:兼容 Intel X86处理器Pentium 200 以上 ,32 兆(推荐64兆)内存,100兆硬盘空间 ,显示内存4兆。
软件要求: 内核版本 2.2以上 ,KDE 2.0以上或GNOME 1.2以上,X Window System XFree86 3.6.x 以上,桌面分辨率至少为640×480 ,桌面颜色至少6万5千色(16位元)。
由于开发者使用C语言和 GTK +(GIMP Tool Kit,GIMP工具包是一个用于创造图形用户接口的库)开发的,所以安装前请检查系统gtk2+模块的gcc编译器版本。EtherApe使用的是GNOME这一图形用户接口库。它使用pcap库(libpcap)对网络上传输的数据包进行截获和过滤。在编译EtherApe之前,应先确定所需的这些库已经安装好,如果这些库已经安装,就可以执行下面的命令来编译并安装EtherApe:
软件安装后会在/usr/local/bin下建立一个可执行文件:EtherApe。由于EtherApe 需要经常使用,所以为了方便就在桌面建立一个快捷方式。单击鼠标右键选择新建“应用程序链接”,在执行选单内加入/usr/local/bin/EtherApe。用EtherApe截获在网络上传输的数据包时,需要为其指定过滤规则,否则EthreApe将捕获网络中的所有数据包。单击主选单“文件(F)”的“首选项”的按钮,进行配置。EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五种监听模式。当处于Ethernet模式下时,EtherApe会截获所有符合过滤规则的以太网数据包。EtherApe可以捕获的OSI七层网络模型中的绝大多数的协议:包括IP、TCP、ICMP、HTTP、UDP、SMB、FDDI、IPX,AppleTalk、RTSP等,配置网络协议结束后请点击“Diagram”按钮配置其他参数,主要包括监测流量半径、监测协议顺序等见图1。#wget http://fresh.t-systems-sfr.com/unix/src/privat2/etherape-0.9.7.tar.gz
另外两个配置选项是“Colors”和“Timeings”。用来配置监控颜色和节点扫描时间。通常使用确省配置即可。
配置后,单击工具栏上的“Start”按钮,就可以开始对网络中感兴趣的数据包进行检测了。图2是当EtherApe处于Ethernet模式下时的网络流量图。
如果你想查看用户的计算机流量,用鼠标点击“Prot”按钮即可。见图3。
笔者工作的网络拓扑见图4。
图4 Linux 网络拓扑
可以看出这是典型的一个中小网络。局域网通过接入设备进入互联网,网络中几台台服务器,大约90台计算机,使用的是Winows 2000/XP等操作系统。EtherApe安装使用Linux的网管工作站上。
故障实例1:
一天下午1:00笔者上班后许多同事反映:上网速度慢,网络性能突然急剧下降,导致要通过网络传输的数据堵塞。首先怀疑是物理故障,但是通过Ping命令测试发现网络是连通的,没有网络损坏。交换机出现如下现象:工作状态指示异常繁忙,交换速度极慢,又没有其它特征。启动EtherApe网络分析仪,马上发现问题:一台主机X-41通过交换机向服务器和其他计算机发送大类信息。信息使用的协议是RTSP协议,见图5。
我们知道RTSP实时流协议,是一个C/S多媒体节目协议,它可以控制流媒体数据在IP网络上的发送,同时提供用于音频和视频流的“VCR模式”远程控制功能,如停止、快进、快退和定位。所以可以判断是视频点播造成网络性能下降。继续使用监控,Etherape查询出发送信息的计算机名称是:x-41其IP地址:192.168.1.3。如图6 。
通过网络拓扑图和IP地址对照表,很快找到转台计算机。原来一名员工正在中午休息时候安装了一个Helix Server流媒体服务器,并且不用设置ip限制。所以许多员工进行局域网的高清晰的视频点播。1:00上班后没有关闭流媒体服务器,由于现在局域网的高清晰的视频点播对带宽消耗比较大。所以造成的网络性能下降。关闭流媒体服务器后网络恢复正常。
说明:实时流协议RTSP是由RealNetworks和Netscape共同提出的,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。RTSP在体系结构上位于RTP和RTCP之上,它使用TCP或RTP完成数据传输。HTTP与RTSP相比,HTTP传送HTML,而RTP传送的是多媒体数据。HTTP请求由客户机发出,服务器作出响应;使用RTSP时,客户机和服务器都可以发出请求,即RTSP可以是双向的更加容易影响网络流量。 故障实例2:
一天网络性能突然急剧下降,导致要通过网络传输的数据堵塞。笔者右怀疑是蠕虫病毒感染。它对网络速度的影响也很严重。这种病毒导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户机子上的通讯簿的随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送,有的又成批成批地被退回来堆在服务器上。造成个别局域网近于瘫痪。但是通过杀毒没有发现问题,我们一直注意各种新病毒通告,了解各种病毒特征;及时升级所用杀毒软件。安装系统补丁程序;同时卸载不必要的服务,关闭了不必要的端口。启动EtherApe网络分析仪,马上发现问题:
一台主机名称是XYP通过交换机向服务器和其他计算机发送大类信息。见图7。
Etherape查询出发送信息的计算机IP地址:192.168.1.3 ,通过网络拓扑图和IP地址对照表,很快找到此计算机。后来发现此计算机的网卡老化,发生物理损坏。如果网络机器的网卡损坏,会产生广播风暴。损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用管理软件,查看网络数据流量,来判断故障点的位置。另外目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。广播风暴是指网络上的广播帧(由于被转发)数量急剧增加而影响正常的网络通讯的反常现象。广播风暴的判断标准为一个端口在短时间内连续收到n个广播帧。广播风暴控制是允许端口对网络上出现的广播风暴进行过滤。当交换机发现某个端口出现了广播风暴时,会自动丢弃广播帧,以防止广播风暴的进一步扩大。
经验总结:
在故障发生时,应首先了解故障前网络的改动,建立完善的网络文档资料。包括网络布线图、IP及MAC对应表等。EtherApe会把网络流量会以图像和列表的形式显示出来。丛本质讲EtherApe是一种网络嗅探器,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用。EtherApe提供以下功能:
1. 自动从网络中过滤及转换有用的信息;
2. 将截获的数据包转换成易于识别的格式;
3. 对网络环境中的通讯失败进行分析;
4. 探测网络环境下的通讯瓶颈;
5. 检测是否有黑客正在攻击网络系统,以阻止其入侵;
6. 记录网络通信过程。
可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;通过它网管员还可以很方便地确定出哪些通信量属于某个特定的网络协议、这些信息为网管员判断网络问题及优化网络性能,提供了十分宝贵的信息。另外一个特点是根据您的配置以不同颜色轮流显示网络协议和流量,非常直观,一目了然。如果您发现网络发生广播风暴或其他导致网络性能瓶颈时可以使用EtherApe命令迅速找到出现问题的IP地址。
嗅探器技术并非尖端科技,只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识,它并不神秘。实际上我们的一些网管软件,和硬件网络测试仪都使用了嗅探器技术。只是许多计算机软件供应商对其一直讳莫如深。回避这个基本事实是不明智的。了解掌握它才是关键。
