Sniffer--会“抓毒”的网络分析仪

形成网络宕机的缘由不少，而网络流量问题是其中最为常见的故障，也是最主要的缘由。所以，如何可以快速、准确诊断出形成网络流量问题的缘由，是确保网络高可用性的重要保证。美国网络联盟（NAI）的主打产品之一 Sniffer目前已成为企业首选的网络故障和性能 管理的工具系列，它可以自动地帮助网络 管理人员维护网络、查找故障，有效简化了发现及解决网络问题的过程。

在去年年初，国家 安全试点项目863计划S219项目中，做为试点单位的农行上海分行就选择了 Sniffer。由于，一旦发生 安全问题，网络流量一般也会发生异常，经过网络流量 分析图，能够帮助用户及时找出引起异常流量的症结所在。

　　在CodeRedⅡ肆虐的时候， Sniffer就曾经神奇地配合用户及时地发现了问题。这个用户是国内某大型企业，其网络主干为 ATM网，在去年8月，其网络性能忽然急剧降低，致使企业的网上应用所有陷于瘫痪。可是网管人员没法肯定引发网络瘫痪的缘由，导致整个网络连最基本的链接也没法恢复。这时候，他们请来了 Sniffer的工程师。工程师首先利用Dashboard功能，对网络的总体流量情况进行监控（如图所示），发现该用户的总体网络带宽占用率并不高，只有10%左右，网络中的绝对流量也不大，但网络中的数据包却很是多，甚至超过了 Sniffer的缺省定义警惕值。从数值 分析中他发现，这些数据包中数目最多的是64个字节如下的小数据包，所以，工程师初步判定，这些太多的小数据包多是引发网络瘫痪的主要缘由。为了肯定究竟是哪些计算机在生成这些数据包，技术人员又调用了 Sniffer的另一个流量监控功能HostTable，在监控中，他很快发现了用户网络中发包最多的计算机的网络流量都有一个共同特色，即他们收到的数据包很是少，有的甚至为零。可是，这些计算机却在拼命地发数据包，很不正常，而这也正是当时爆发的CodeRedⅡ病毒的特征，由于感染了CodeRed病毒的计算机会往网络中发送大量的数据包，最终致使网络的瘫痪。由此，工程师已经十分肯定，形成这个用户网络的瘫痪缘由就是因为那些感染了CodeRed病毒的计算机引发的。

　　为了进一步肯定CodeRed病毒的特征，工程师又用 Sniffer的Capture功能进行了抓包，并将数据包进行解码 分析，发现CodeRed就是经过发送特定的HttpGet请求，利用微软IIS的漏洞进行传播的，这些请求在传播过程当中产生大量的数据包，使得网络路由器和交换机陷于瘫痪。

目前，“会抓毒”的 Sniffer不只可以面向局域网和广域网，同时还支持无线局域网和移动通讯的网络监视和故障解决。它具备便携式、分布式、光网络、无线网络等多种形式，采起软硬件相结合，以便于用户使用。

　　今年5月，美国网络联盟又和ISS达成一个全面合做 协议，它将把ISS的RealSecure***检测技术与 Sniffer先进的网络故障隔离和性能 管理技术相结合，在网络 管理系统中提供一流的网络***检测方案，这种产品预计陆续在今年年末和明年推出 本文出自 51CTO.COM技术博客