超级嗅探狗新手指南

3.2

作者:: 笨驴技术
主页:: http://www.imfirewall.com

1 超级嗅探狗的下载解压

下载超级嗅探狗用WinRAR解压后有两个文件，如下图：

图 1.1

双击WFilter.exe进行安装。如果您下载的是超级嗅探狗数据库版本，解压后的安装程序为：WFilter_DB.exe。

2 安装注意事项

2.1 硬盘空间估算

在选择安装路径时，应确保所选盘符有足够大的存储空间存放监控数据。超级嗅探狗自身的安装只需要20MB空余磁盘空间，不过监控的数据存放所需硬盘容量和监控的电脑台数、监控的天数成正比，每台电脑每天大约占用2MB硬盘空间。

监控数据所需硬盘容量=监控的电脑台数(N) * 2MB * 监控天数。

2.2 数据库版本的安装

如果您安装的是超级嗅探狗数据库版本，安装之前需要先安装好相应的数据库。超级嗅探狗数据库版本支持SQL Server和MYSQL两种数据库。详情请参考《超级嗅探狗数据库版本安装指南》。

3 初次运行超级嗅探狗

运行桌面上“超级嗅探狗”快捷方式，或者点击“开始”->“所有程序”->“笨驴技术”->“运行超级嗅探狗”。如果没有创建快捷方式，可以直接在浏览器地址栏中输入“http://localhost:9090”。

打开超级嗅探狗页面后，在用户名栏中输入"admin"，在密码栏中输入初始密码"123456"，即可完成登陆。如图3.1所示。

图 3.1

如果不能成功登陆，一般是防火墙配置有问题。

成功登陆后，在"所有在线"页面中应该能显示当前监控到的电脑，如图3.2所示。

图 3.2

超级嗅探狗安装所处的网络位置不正确或者配置不正确会造成不能正常监控。

如果您没有监控到任何电脑，说明您的监听网卡配置可能有问题，请参考监听设备配置。

如果您只能监控到自己，请参考如何部署超级嗅探狗。

4 配置超级嗅探狗

4.1 监听设备配置

登陆超级嗅探狗后，如果所有在线中没有任何数据，则有两种可能性。

1）安装超级嗅探狗后，没有任何的网络访问。您不妨访问一些网站，或者用聊天工具聊几句话，然后点击刷新。

2）监听设备配置不正确。在超级嗅探狗左边的菜单中点击"监听配置"，确定当前的监听设备是否是您正在使用的网卡。如图4.1所示。如果您的局域网是通过代理服务器上网的，请把代理服务器的IP地址加到“本地服务器配置”中。

图 4.1

4.2 如何指定监控电脑

在超级嗅探狗左边的菜单栏中，点击"员工电脑名址表"，把需要监控电脑的"是否监控"选项打勾，如图4.2所示。

注意：如果您启用监控的电脑台数（M）超过您的授权点数（N），系统只监控最先发现的N台电脑。

图 4.2

5 如何部署超级嗅探狗

5.1 概述

对于1000台以下的网络环境，只要在一台电脑上安装超级嗅探狗就可以进行全网监控。监控主机上建议不要运行其他占资源的程序，以免引起丢包。

超级嗅探狗采用旁路监控的模式，对被监控电脑的网络通讯数据进行分析。一般情况下，和交换机或者路由器相连的电脑只能接收到自己的数据包，所以要实现对其他电脑的监控，物理上必须可以接收到其他电脑的数据包。

HUB（集线器）是通过广播的方式来通讯的，这样就使得HUB（集线器）上的每个端口都可以接收到其他端口的数据包。

为了监控的需要，有些交换机或者路由器提供了端口镜像的功能（又称Port Mirror,Port Span），端口镜像可以通过设置指定一个口为监控口来接收其他端口的通讯数据包。

所以，为了确保成功监控，必须满足以下条件：

1）监控主机必须和镜像交换机的监控口或者HUB（集线器）相连接。

2）其他电脑的上网数据都经过此交换机或者HUB。

不同的网络结构中超级嗅探狗的部署方案也不同，下面以一个典型的小型网络环境为例作一些初步介绍。更多网络环境及详细介绍请参见《超级嗅探狗安装指南》。

5.2 典型网络结构环境

如图5.1所示，局域网内的电脑通过交换机和有线路由器连接到Internet。

在这种情况下，需要在网络入口处增加一个HUB（集线器）或者镜像交换机。再将监控机（安装超级嗅探狗的电脑）连在 HUB（集线器）或镜像交换机上，就可以实现监控。具体选择镜像交换机还是HUB（集线器），需要根据网络的出口带宽来判断。我们建议在出口带宽小于4MB 的情况下可以选择HUB（集线器），否则需要用镜像交换机。