范伟导老师Sniffer课程资料(三)

• 关 键 词：

　　好，我们继续看第二个monitor功能，Host table，我们叫他主机列表

　　这是非常好用的一个功能，有什么用呢？

　　第一看流量最大的TOP10主机，

　　第二看广播量有多少，当时我发现冲击波、振荡波的时候，就是看 这个host table，发现有大量的全子网广播

　　第三可以快速过滤单一主机流量。

　　第四通过过滤功能可以看到单一业务主机的流量分布，当然也可以通过镜像接口去实现

　　我们一个一个来看。

　　首先TOP10主机，

　　我们可以点击各列的标题来排序，方便我们分析，比如收发包情况。大家可以试一下。

　　第二广播量有多少

　　我们点击broadcast或multicast的标题，查看广播量，有一点要注意，不要忘记看MAC层的广播和组播，因为MAC的广播不一定有IP头，比如ARP，同样IP的广播在MAC也可能是单播，比如子网广播。

　　MAC层的广播是目的MAC为48个1，MAC层的组播为目的MAC第一个字节最低位是1。（范老师有板书，我的本子上有，懒得画了）

　　IP的广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。

　　172.16.33.255叫子网广播，广播给172.16.33.0这个子网，可以跨路由器。

　　172.16.255.255叫全子网广播，广播给172.16.0.0这个主网，可以跨路由器。

　　大家以前学网络的时候，老师会给一个概念，说路由器是三层设备，隔离广播，对吧，我也是这样给同学介绍的，但我在后面会告诉同学，并不是所有广播都隔离。

　　事实上只有255.255.255.255这类本地广播，路由器才不转发，对于子网广播和全子网广播，路由器是转发的，这是为什么呢？