范伟老师的Sniffer培训课程资料前言: 范老师现在是Sniffer中国技术服务中心的技术总监，是中国唯一的Sniffer大师（SCM），他有丰富的经验和经典案例，讲课讲得不错。我是范老师的学生，我2005年学习了Sniffer，发现收获很大，但我不能透露我的单位，因为我想范老师不会允许我把他的讲课内容公开。以下内容是我根据上课录音编写的，基本上是范老师的原话。我整理了一个星期才整理出来，因为范老师在上课时有很多笔书，整理起来很困难，有人会问，为什么不把录音共享出来，主要是课程中很多实验，只有录音，作用不大，我把他整理成文字，看起来会方便一些，当我全部整理完，估计可以出书了，版权费给谁呢？哈哈我希望大家喜欢，如果反应良好，我把后面的内容也贴出来，很辛苦的，大家要珍惜。大家不要放映，精华内容都在注释里。大家有什么问题，可以发E-mail给范老师，url=mailto:fanweidaohotmail.comfanweidaohotmail.com/url，记住如果他问你是谁，你说是北京移动或广东移动或工商银行随便一个省分行的，因为这些单位的学生特别多，他肯定搞不清楚。哈哈，对不起了！范老师，我只是想帮你推广Sniffer.大家好!欢迎大家参加Sniffer的认证课程！先自我介绍一下！我叫范伟导，这是我的邮件，我现在没有工作（同学们：自由职业者）可以这么说。介绍一下我的经历：毕业后我在一个台资电脑厂工作了一年，做硬件的。后来到了日本三洋工作，作X400的软件开发，做ERP，用RPG开发，做了4年后来到了神州数码，作CISCO网络，原来在技术中心做实施，后来在培训中心做讲师，一共做了5年。现在我是CISCO和Sniffer的授权讲师，不过现在我不想做CISCO了，想做Sniffer，因为我觉得网络分析是一个很好的技术方向。等一下我还会跟大家聊一聊我们该往哪一个方向发展。先看一下我们这个课程，这个课程事实上是两门课，第一门我们介绍怎样用Sniffer来做网络故障诊断，还有网络管理的一些方法和思路，第二门课我们介绍如何做应用的分析，这是Sniffer的新课程，我个人觉得非常好，以前的几个班学员也很喜欢。第一门课我们会讲3天，第二门课我们会讲2天。接下来的半个小时我们不讲书本知识，讲讲我的经历和Sniffer究竟能用来做什么，我们为什么要学Sniffer，其实我的目的是提起大家的学习兴趣，大家愿意学，我才讲的起劲。要不我一边讲，大家在噼噼啪啪上网，那我就讲不下去了（同学们笑）。大家做网络都很多年了，想想我们以前的10兆以太网，现在的万兆以太网，想想14.4k的modem,现在的2M宽带，以前的x25,桢中继，现在的SDH,MSTP,裸光纤。大家都经历这些，但我们才工作几年？就这几年，变化这么大，我不知道大家的工资有没有变化这么大,(同学们大笑），从10兆到万兆，1000倍，几年工资张1000倍。有点难（同学们：不是有点难，是很难，不可能）。再看看我们工作的变化，以前能配配路由器就很牛了，现在似乎谁都会了，记得几年前，我帮一个小集成商配一台4000系列交换机，收了2000元，15分钟搞定。（同学们：好爽，介绍一些给我们做），没有了说说你们的工作。平常工作中做些什么（同学们：做做网线，杀病毒，帮领导装机器）大家想想，这是我们想做的工作吗，以前这些都不用我们做，现在大家感觉是不是地位在下降，工资也不涨，好歹我们也是蜘蛛级的人物呀，不是有个笑话说蜜蜂是空姐，做网络的是蜘蛛吗。（同学们笑）我们该怎么办?现在说说我的观点，我们都希望工资能年年涨，不要求1000倍，（同学们：不要求那么高，一年20%就行了），20%？不止吧，从毕业到现在，你们工资不止年均涨不止20%吧。 （同学们：我们不能跟您比）也有可能，你们的起点高，我毕业的时候才有650元。大家回顾一下，做IT的谁的收入高？1、销售2、领导3、咨询专家4、售前工程师5、售后工程师我们在座的有3个是网络中心的主任或科长，他们的收入肯定比一般工程师高，我祝愿你们步步高升，收入节节高。在座大多数是网络工程师，我们该怎么走，其实你们现在的单位都很好，但将来怎样很难知道，比如前几年银行的收入令人羡慕，现在他们却担心降工资，现在移动的收入不错吧，我有汽车厂商的学员，他告诉我他们的收入比移动好点，（同学们：哇）这是他们自己说的，好多少就没说了，还有某政府单位的，什么单位不便说，他们没告诉我他们的收入，只说，价格少于4万的笔记本他们不用，哇靠，4万的笔记本，什么配置？（同学们：那是服务器）我们不能比，人比人，气死人。我们没法进入这些公司的，还是脚踏实地一点好，但我们做技术的也要考虑如何提高我们的收入，做技术的要提高收入，地位是关键，前面大家说只做做线，杀杀病毒，我们的地位在下降，工资怎么长得起来呢？想想我们做技术的，谁的收入高，做数据库的比做服务器的高，为什么Oracle那么火，做服务器的比写程序的高，写程序的比做网络高，这是普遍现象，不说特殊情况。其实大家发现一个特点没有，凡是掌握企业关键业务的收入都很高，你看作数据库的，数据库坏了，企业完蛋了，领导当然重视，现在不仅讲存储，还讲灾备，你看很多银行，北京一个数据中心，上海一个数据中心。我们网络怎样，设计的都是高可靠性的端到端备份，出问题的机会很少，而当应用出什么问题，都说是网络问题。举个例子，有个单位（税务的学员告诉我的），有一天应用突然变慢，大家都说网络慢了，我们用尽troubleshooting的技术也发现不了问题，结果作数据库的工程师偷偷改一下表空间，好了，没问题了，我们不知道怎么好了，做数据库的不说他们有问题，还说网络好了，领导问我网络怎么好的，我不知道呀，领导说：赶快查出原因，避免再出现类似问题，哇塞，怎么查，本来网络就没问题，查什么查。（同学们笑）所以现在大家用一个字来形容我们的工作？你们会用什么字（同学们：累、苦）很贴切，苦、累所以我们不能一直停留在网络的troubleshooting,我们必须提高我们的地位，要不我们会累死。怎么提高地位，我们必须了解我们的业务，也就是要了解应用，了解应用在我们网络上的行为特征，很重要的一个词行为特征。当我们了解了业务的行为特征，我们能定位某一个问题的真正故障点，举个例子：网络应用变慢，可能的原因有什么？网络问题，服务器问题，数据库问题，应用程序问题，客户机问题。如果我们能够判断是哪一部分问题，我们就有发言权了，比如说刚才那种情况，如果我们直接说这是数据库问题，不是网络问题，领导会问，你凭什么说是数据库问题，你可以拿出Sniffer，专家系统上写着，DB Slow Server response诊断，（范老师在演示）再看解码，做一个用户验证操作，花了1.731秒，有根有据，大家想一想，有了Sniffer我们可以了解我们的业务行为特征，可以排除我们的责任，不但工作轻松了，地位也提高了。（同学们笑）以前我们应用出现问题的时候我们总是分头查找问题，结果往往是没有结果，因为这种查找方式范围太大了，我们做troubleshooting第一步应该是：隔离故障。如果我们有了Sniffer，首先用Sniffer看一下，最有可能是哪一部分问题，再安排检查，这样不但节省人力，速度会更快，效率也更高。如果有人问我们Sniffer是什么？大家都会说是协议分析仪，你看sniffer网站（www.networkgeneral.com)上说的是应用和网络分析系统。究竟Sniffer是什么样的一个东西，我们要了解他的发展过程。其实很多类似的产品比如ethereal,netscout,wildpacket等都有类似的发展过程第一阶段是抓包和解码，也就是把网络上的数据包抓下来，然后进行解码，那时候谁能解开的协议多，谁就是老大，Sniffer当时能解开的协议最多，也就理所当然地成了老大，现在Sniffer能解开550种协议，还是业界最多的，第二阶段是专家系统，也就是通过抓下来的数据包，根据他的特征和前后时间戳的关系，判断网络的数据流有没有问题，是哪一层的问题，有多严重，专家系统都会给出建议和解决方案，现在Sniffer的专家系统还是业界最强的第三阶段：是把网络分析工具发展成网络管理工具，为什么要这样，如果Sniffer知识用作网络分析，那Sniffer的软件就够用了，现在软件的portable基本上都是盗版的，sniffer没钱赚了，所以它必须往网络管理方向转，要作为网络管理工具，就必须能部署在网络中心，能长期监控，能主动管理网络，能排除潜在问题，要做到这些，就要求有更高的性能，所以Sniffer就有了相应的硬件产品，比如说分布式硬件平台，InfiniStream等，我知道在座各位都买了Sniffer的硬件，这时候如果用软件的Sniffer性能就不行了。我们看一下，Sniffer究竟有什么用？第一，Sniffer可以帮助我们评估业务运行状态，如果你能告诉老板说，我们的业务运行正常，性能良好，比起你跟老板报告说网络没有问题，我想老板会更愿意听前面的报告，但我们要做这样的报告，光说是不行的，必须有根据，我们能提供什么样的根据呢。比如各个应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等等，到第二门课，我会告诉大家怎么做到有根有据。第二，Sniffer能够帮助我们评估网络的性能，比如，各连路的使用率，网络的性能的趋势，网络中哪一些应用消耗最多带宽，网络上哪一些用户消耗最多带宽，各分支机构流量状况，影响我们网络性能的主要因素，我们可否做一些相应的控制，等等第三，Sniffer帮助我们快速定位故障，这个大家比较有经验，我们记住Sniffer的三大功能：monitor,expert,decode这三大功能都可以帮助我们快速定位故障，我后面通过案例演示给大家看，大家再做做实验，很快就上手了（同学问：范老师，是否要学Sniffer必须对协议很熟，）不一定，我们可以通过Sniffer来学习各种协议，比如ospf,以前学网络的时候，讲OSPF的LSA好像很复杂，你用Sniffer看看，其实他的协议结构还是不复杂的，一般情况下，我会要求学Sniffer的学员有CCNP的基础，或者有几年的网络管理经验，我自己也是这样，刚开始只是用Sniffer抓抓包，抓下来也不知道怎么分析，当我学完CCNP后，学了CIT，以为自己不错了，会排除很多网络故障，但实际上很多问题我还是解决不了，比如网络慢，他又不断，断了我很快能解决，网络慢，或者丢包，一般的排错知识还是很难的，那时候开始学Sniffer，才发现很好用第四，Sniffer可以帮助我们排除潜在的威胁，我们网络中有各种各样的应用，有一些是关键应用，有一些是OA，有一些是非业务应用，还有一些就是威胁，他不但对我们的业务没有帮助，还可能带来危害，比如病毒、木马、扫描等，Sniffer可以快速地发现他们，并且发现攻击的来源，这就为我们做控制提供根据，比如我们要做QOS，不是说随便根据应用去分配带宽就解决了，我们要知道哪一些应用要多少带宽，带宽如何分配，要有根有据。我们再回过头看一下Sniffer什么时候开始流行的，再2003年冲击波发作的时候，很多Sniffer的用户通过Sniffer快速定位受感染的机器，后来很多人都知道Sniffer可以用来发现病毒，Sniffer的知名度暴涨，盗版用户也暴涨（同学们大笑），后来震荡波发作的时候，很多人用Sniffer来协助解决问题。我想强调的是Sniffer不是防病毒工具，这也只是他的一个用途，而且只对蠕虫类型对网络影响大的病毒有效，对于文件型的病毒，他很难发现。另外要说明的事，Sniffer还可以用来排除来自内部的威胁，现在我们网络中有各种各样的网络安全产品，防火墙、IDS、防病毒软件，他们都有相应的功能，但真的有效吗，能解决全部威胁吗，