任何一款工具軟件都有豐富的功能，所以在日常的網(wǎng)吧維護(hù)中，對(duì)于一款軟件，不僅要知道其表面的功能，更要深入了解其工作原理，這樣才能更有效地挖掘軟件更高級(jí)的應(yīng)用及功能，以此來(lái)解決網(wǎng)絡(luò)中的疑難故障。下面結(jié)合一些日常網(wǎng)絡(luò)故障實(shí)例，介紹一下Sniffer和網(wǎng)絡(luò)執(zhí)法官兩款網(wǎng)絡(luò)工具軟件在網(wǎng)吧網(wǎng)絡(luò)維護(hù)中的綜合應(yīng)用。
　　Sniffer——提高網(wǎng)絡(luò)傳輸質(zhì)量好幫手
　　Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件，具有捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)、利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題、收集網(wǎng)絡(luò)利用率和錯(cuò)誤等功能。Sniffer Pro 4.6可以運(yùn)行在各種Windows平臺(tái)上，只要安裝在網(wǎng)絡(luò)中的任何一臺(tái)機(jī)器上，都可以監(jiān)控到整個(gè)網(wǎng)絡(luò)。以下以Sniffer 4.70漢化版本為例，介紹一下Snffer在網(wǎng)吧網(wǎng)絡(luò)維護(hù)中的具體應(yīng)用。
　　一、Sniffer軟件的安裝
　　在網(wǎng)上下載Sniffer軟件后，直接運(yùn)行安裝程序，系統(tǒng)會(huì)提示輸入個(gè)人信息和軟件注冊(cè)碼，安裝結(jié)束后，重新啟動(dòng)，之后再安裝Sniffer漢化補(bǔ)丁。運(yùn)行Sniffer程序后，系統(tǒng)會(huì)自動(dòng)搜索機(jī)器中的網(wǎng)絡(luò)適配器，點(diǎn)擊確定進(jìn)入Sniffer主界面。
　　二、Sniffer軟件的使用
　　打開(kāi)Sniffer軟件后，會(huì)出現(xiàn)主界面（如圖1），顯示一些機(jī)器列表和Sniffer軟件目前的運(yùn)行情況，上面是軟件的菜單，下面有一些快捷工具菜單，左側(cè)還有一排快捷菜單按鈕。由于使用的是漢化版軟件，因此部分詞語(yǔ)漢化不是太準(zhǔn)確。
　　1、獲取網(wǎng)絡(luò)中的機(jī)器列表
　　Sniffer軟件運(yùn)行后，首先要搜索網(wǎng)絡(luò)中的機(jī)器。在“工具”菜單中找到“地址簿”選項(xiàng)并運(yùn)行，在“地址簿”中的左側(cè)工具菜單中，可以找到一個(gè)“放大鏡”的圖標(biāo)，這是“自動(dòng)搜索”的按鈕。運(yùn)行“自動(dòng)搜索”功能后，在IP地址段中輸入網(wǎng)絡(luò)的開(kāi)始IP地址和結(jié)束地址，然后系統(tǒng)會(huì)自動(dòng)搜索。搜索完成后，會(huì)出現(xiàn)一個(gè)如圖1的機(jī)器列表。
　　2、保存機(jī)器列表
　　Sniffer搜索網(wǎng)絡(luò)中所有的機(jī)器列表后，可以在“數(shù)據(jù)庫(kù)”菜單中選擇“保存地址簿”選項(xiàng)，將當(dāng)前的機(jī)器列表保存，以備日后使用。由于Sniffer的地址簿保存了網(wǎng)絡(luò)中客戶(hù)機(jī)的IP地址、網(wǎng)卡的MAC地址等信息，如果網(wǎng)絡(luò)中的客戶(hù)機(jī)更換了網(wǎng)卡，則必須重新搜索機(jī)器列表并重新保存地址簿。如果網(wǎng)絡(luò)中沒(méi)有新機(jī)器增加，就無(wú)需更新此地址簿。
　　三、Sniffer菜單及功能簡(jiǎn)介
　　Sniffer進(jìn)入時(shí)，需要設(shè)置當(dāng)前機(jī)器的網(wǎng)卡信息。進(jìn)入Sniffer軟件后，會(huì)出現(xiàn)如圖2的界面，可以看到Sniffer軟件的中文菜單，下面是一些常用的工具按鈕。在日常的網(wǎng)絡(luò)維護(hù)中，使用這些工具按鈕就可以解決問(wèn)題了。
　　1、主機(jī)列表按鈕：保存機(jī)器列表后，點(diǎn)擊此鈕，Sniffer會(huì)顯示網(wǎng)絡(luò)中所有機(jī)器的信息（如圖1），其中，Hw地址一欄是網(wǎng)絡(luò)中的客戶(hù)機(jī)信息。網(wǎng)絡(luò)中的客戶(hù)機(jī)一般都有惟一的名字，因此在Hw地址欄中，可以看到客戶(hù)機(jī)的名字。對(duì)于安裝Sniffer的機(jī)器，在Hw地址欄中用“本地”來(lái)標(biāo)識(shí)；對(duì)于網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，Sniffer只能顯示這些網(wǎng)絡(luò)設(shè)備的MAC地址。
　　入埠數(shù)據(jù)包和出埠數(shù)據(jù)包，指的是該客戶(hù)機(jī)發(fā)送和接收的數(shù)據(jù)包數(shù)量，后面還有客戶(hù)機(jī)發(fā)送和接收的字節(jié)大小?？梢該?jù)此查看網(wǎng)絡(luò)中的數(shù)據(jù)流量大小。
　　2、矩陣按鈕：矩陣功能通過(guò)圓形圖例說(shuō)明客戶(hù)機(jī)的數(shù)據(jù)走向，可以看出與客戶(hù)機(jī)有數(shù)據(jù)交換的機(jī)器。使用此功能時(shí)，先選擇客戶(hù)機(jī)，然后點(diǎn)擊此鈕就可以了。
　　3、請(qǐng)求響應(yīng)時(shí)間按鈕：請(qǐng)求響應(yīng)時(shí)間功能，可以查看客戶(hù)機(jī)訪問(wèn)網(wǎng)站的詳細(xì)情況。當(dāng)客戶(hù)機(jī)訪問(wèn)某站點(diǎn)時(shí)，可以通過(guò)此功能查看從客戶(hù)機(jī)發(fā)出請(qǐng)求到服務(wù)器響應(yīng)的時(shí)間等信息。
　　4、警報(bào)日志按鈕：當(dāng)Sniffer監(jiān)控到網(wǎng)絡(luò)的不正常情況時(shí)，會(huì)自動(dòng)記錄到警報(bào)日志中。所以打開(kāi)Sniffer軟件后，首先要查看一下警報(bào)日志，看網(wǎng)絡(luò)運(yùn)行是否正常。
　　四、Sniffer在網(wǎng)絡(luò)維護(hù)中的應(yīng)用——解決網(wǎng)絡(luò)傳輸質(zhì)量問(wèn)題
　　Sniffer在網(wǎng)吧網(wǎng)絡(luò)中的應(yīng)用，主要是利用其流量分析和查看功能，解決網(wǎng)吧中出現(xiàn)的網(wǎng)絡(luò)傳輸質(zhì)量問(wèn)題。
　　1、廣播風(fēng)暴：廣播風(fēng)暴是網(wǎng)吧網(wǎng)絡(luò)最常見(jiàn)的一個(gè)網(wǎng)絡(luò)故障。網(wǎng)絡(luò)廣播風(fēng)暴的產(chǎn)生，一般是由于客戶(hù)機(jī)被病毒攻擊、網(wǎng)絡(luò)設(shè)備損壞等故障引起的?？梢允褂肧niffer中的主機(jī)列表功能，查看網(wǎng)絡(luò)中哪些機(jī)器的流量最大，結(jié)合矩陣就可以看出哪臺(tái)機(jī)器數(shù)據(jù)流量異常。從而，可以在最短的時(shí)間內(nèi)，判斷網(wǎng)絡(luò)的具體故障點(diǎn)。
　　2、網(wǎng)絡(luò)攻擊：隨著網(wǎng)絡(luò)的不斷發(fā)展，黑客技術(shù)吸引了不少網(wǎng)絡(luò)愛(ài)好者。于是，一些初級(jí)黑客們，開(kāi)始拿網(wǎng)吧來(lái)做實(shí)驗(yàn)，DDoS攻擊成為一些黑客炫耀自己技術(shù)的一種手段，由于網(wǎng)吧本身的數(shù)據(jù)流量比較大，加上外部DDoS攻擊，網(wǎng)吧的網(wǎng)絡(luò)可能會(huì)出現(xiàn)短時(shí)間的中斷現(xiàn)象。對(duì)于類(lèi)似的攻擊，使用Sniffer軟件，可以有效判斷網(wǎng)絡(luò)是受廣播風(fēng)暴影響，還是來(lái)自外部的攻擊。
　　3、檢測(cè)網(wǎng)絡(luò)硬件故障：在網(wǎng)絡(luò)中工作的硬件設(shè)備，只要有所損壞，數(shù)據(jù)流量就會(huì)異常，使用Sniffer可以輕松判斷出物理?yè)p壞的網(wǎng)絡(luò)硬件設(shè)備。
　　網(wǎng)絡(luò)執(zhí)法官——智能監(jiān)控高手
　　網(wǎng)絡(luò)執(zhí)法官是一款網(wǎng)管軟件，可用于管理局域網(wǎng)，能禁止局域網(wǎng)任意機(jī)器連接網(wǎng)絡(luò)。對(duì)網(wǎng)管來(lái)說(shuō)，這個(gè)功能很實(shí)用，可是，現(xiàn)在這一優(yōu)秀的管理工具軟件，卻成為許多搗亂分子的“兇器”，他們經(jīng)常利用這一功能禁止一些機(jī)器正常上網(wǎng)。不過(guò)，只要充分了解網(wǎng)絡(luò)執(zhí)法官的具體功能，就可以輕松對(duì)付這些惡意的搗亂了。
　　一、網(wǎng)絡(luò)執(zhí)法官簡(jiǎn)介
　　在局域網(wǎng)中任意一臺(tái)機(jī)器上運(yùn)行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe ，都可以穿透防火墻、實(shí)時(shí)監(jiān)控、記錄整個(gè)局域網(wǎng)用戶(hù)上線(xiàn)情況，限制各用戶(hù)上線(xiàn)時(shí)所用的IP、時(shí)段，并可將非法用戶(hù)踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部，不能對(duì)網(wǎng)關(guān)或路由器外的機(jī)器進(jìn)行監(jiān)視或管理，適合局域網(wǎng)管理員使用。
　　在網(wǎng)絡(luò)執(zhí)法官中，如想限制某臺(tái)機(jī)器上網(wǎng)，只要點(diǎn)擊“網(wǎng)卡”菜單中的“權(quán)限”，選擇指定的網(wǎng)卡號(hào)或在用戶(hù)列表中點(diǎn)擊該網(wǎng)卡所在行，從右鍵菜單中選擇“權(quán)限”即可限制該用戶(hù)的權(quán)限。對(duì)于未登記網(wǎng)卡，可以這樣限定其上線(xiàn)：設(shè)定好所有已知用戶(hù)（登記），將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線(xiàn)即可阻止所有未知的網(wǎng)卡上線(xiàn)。其原理是通過(guò)ARP欺騙發(fā)給被攻擊的電腦一個(gè)假的網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。
　　二、網(wǎng)絡(luò)執(zhí)法官的功能
　　1、查看機(jī)器流量：對(duì)于在網(wǎng)絡(luò)執(zhí)法官監(jiān)控范圍內(nèi)的客戶(hù)機(jī)，在主界面中，點(diǎn)一下客戶(hù)機(jī)的網(wǎng)卡，然后查看“本機(jī)狀態(tài)”就可以看到這臺(tái)機(jī)器的流量了。網(wǎng)絡(luò)執(zhí)法官與Sniffer軟件一樣，都可以查看網(wǎng)絡(luò)中客戶(hù)機(jī)的數(shù)據(jù)流量，但網(wǎng)絡(luò)執(zhí)法官不如Sniffer的流量顯示方便直觀。
　　2、智能監(jiān)控：運(yùn)行網(wǎng)絡(luò)執(zhí)法官軟件后，可以通過(guò)“網(wǎng)卡”菜單中的“權(quán)限”限制一部分機(jī)器上網(wǎng)，這個(gè)功能很容易被搗亂分子利用來(lái)搞破壞。機(jī)器上安裝并運(yùn)行網(wǎng)絡(luò)執(zhí)法官軟件后，機(jī)器圖標(biāo)在網(wǎng)絡(luò)執(zhí)法官軟件中是紅色的，其他正常運(yùn)行的機(jī)器是淡綠色（如圖3）。紅色代表機(jī)器處于網(wǎng)絡(luò)混雜模式，利用這點(diǎn)可以輕松找到運(yùn)行網(wǎng)絡(luò)執(zhí)法官軟件的機(jī)器，從而就可以找到搞破壞者所在的機(jī)器了。但是，在手工監(jiān)控時(shí)一定要注意，我們本機(jī)也是安裝了網(wǎng)絡(luò)執(zhí)法官軟件的，機(jī)器也處于網(wǎng)絡(luò)混雜模式，千萬(wàn)不要把自己清除出去了。
　　如果發(fā)現(xiàn)網(wǎng)絡(luò)中有搗亂者，網(wǎng)絡(luò)執(zhí)法官的監(jiān)控功能會(huì)自動(dòng)發(fā)出警報(bào)的?？梢栽诰W(wǎng)絡(luò)執(zhí)法官“設(shè)置”菜單中找到“安全”選項(xiàng)，設(shè)置管理機(jī)器的IP，當(dāng)網(wǎng)絡(luò)中有破壞者搗亂時(shí)，機(jī)器就會(huì)自動(dòng)發(fā)出聲音提示。這一智能監(jiān)控功能，大大方便了對(duì)一些利用網(wǎng)絡(luò)執(zhí)法官搗亂者的監(jiān)控。
　　三、典型應(yīng)用——封殺“傳奇殺手木馬程序”
　　傳奇殺手病毒，是專(zhuān)門(mén)為了盜竊傳奇帳號(hào)和密碼而開(kāi)發(fā)的一種木馬軟件，通過(guò)對(duì)局域網(wǎng)進(jìn)行ARP欺騙，虛擬網(wǎng)吧網(wǎng)關(guān)地址以收集局域網(wǎng)中傳奇游戲登陸信息并進(jìn)行分析，從而得到用戶(hù)信息的破壞性木馬軟件。
　　傳奇殺手木馬程序的出現(xiàn)，使很多網(wǎng)吧用戶(hù)受到了攻擊，有一些用戶(hù)在安裝有傳奇多面手木馬程序的網(wǎng)吧運(yùn)行傳奇程序，結(jié)果帳號(hào)和密碼被盜，網(wǎng)吧老板為此不得不賠償用戶(hù)的經(jīng)濟(jì)損失。盛大密保雖然可以解決帳號(hào)和密碼被盜的難題，但一些用戶(hù)不愿意增加成本來(lái)保護(hù)自己帳號(hào)和密碼的安全。因此，傳奇殺手木馬程序成為令網(wǎng)吧維護(hù)人員頭疼的一大技術(shù)難題。
　　想要監(jiān)控傳奇殺手木馬程序，必須先搞清楚它的工作流程。首先，它將安裝了傳奇殺手機(jī)器的MAC通過(guò)ARP欺騙廣播至局域網(wǎng)，使局域網(wǎng)中的工作站誤認(rèn)為本機(jī)是網(wǎng)絡(luò)的網(wǎng)關(guān)。該流程會(huì)造成局域網(wǎng)與Internet連接中斷，使游戲與服務(wù)器斷開(kāi)連接。當(dāng)用戶(hù)重新啟動(dòng)游戲并進(jìn)行帳號(hào)登陸時(shí)，帳戶(hù)信息并不會(huì)直接通過(guò)網(wǎng)關(guān)傳遞到代理服務(wù)器，而是把信息傳送到正在進(jìn)行ARP欺騙的傳奇殺手軟件中。傳奇殺手自身有對(duì)傳奇帳號(hào)的解密手段，從而可以輕松獲得該帳戶(hù)的真實(shí)用戶(hù)名及密碼，達(dá)到竊取玩家?guī)ぬ?hào)的目的。由此可以看出，使用網(wǎng)絡(luò)執(zhí)法官并配合ARP命令，對(duì)傳奇木馬有一定的預(yù)防作用。
　　在沒(méi)有網(wǎng)絡(luò)執(zhí)法官的情況下，可以使用ARP命令檢查網(wǎng)絡(luò)中是否有人使用傳奇殺手木馬程序。根據(jù)傳奇殺手木馬的原理，傳奇殺手是制造虛假的網(wǎng)關(guān)IP地址和MAC地址，因此在客戶(hù)機(jī)上使用ARP -a命令查看，如果有重復(fù)的MAC地址，則可以斷定網(wǎng)絡(luò)中有人使用傳奇殺手木馬程序。要想查到在哪一臺(tái)機(jī)器上安裝了傳奇殺手木馬，可以使用Ipbook類(lèi)似的工具，查看當(dāng)前網(wǎng)絡(luò)中所有機(jī)器的MAC地址，并加以對(duì)比。由于運(yùn)行傳奇殺手木馬程序的機(jī)器IP地址被更改，只能通過(guò)查詢(xún)機(jī)器的MAC地址找到該機(jī)器，找到該機(jī)器后，將機(jī)器重新啟動(dòng)，再查找傳奇殺手程序并刪除就可以了。
　　如果用網(wǎng)絡(luò)執(zhí)法官就容易多了，其預(yù)防封殺傳奇殺手方案如下：
　　1、傳奇殺手與網(wǎng)絡(luò)執(zhí)法官的工作原理比較
　　細(xì)心的網(wǎng)管不難發(fā)現(xiàn)，網(wǎng)絡(luò)執(zhí)法官的工作原理與傳奇殺手的工作原理相比，在某些方面是極為相似的。網(wǎng)絡(luò)執(zhí)法官在對(duì)網(wǎng)絡(luò)中的機(jī)器進(jìn)行管理時(shí)，運(yùn)行網(wǎng)絡(luò)執(zhí)法的機(jī)器，通過(guò)ARP欺騙發(fā)給被管理的電腦一個(gè)假的網(wǎng)關(guān)IP地址及對(duì)應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止機(jī)器上網(wǎng)。對(duì)于傳奇殺手木馬程序，當(dāng)此程序工作時(shí)，也是通過(guò)安裝此程序的機(jī)器發(fā)ARP欺騙給網(wǎng)絡(luò)中的機(jī)器，ARP的欺騙信息也是一個(gè)虛假的網(wǎng)關(guān)IP及對(duì)應(yīng)的MAC地址。
　　由此可以發(fā)現(xiàn)，網(wǎng)絡(luò)執(zhí)法官與傳奇殺手木馬程序的工作原理是基本相同的。如果在同一個(gè)網(wǎng)絡(luò)中，分別在兩臺(tái)機(jī)器上安裝了網(wǎng)絡(luò)執(zhí)法官程序，由于網(wǎng)絡(luò)執(zhí)法官的工作在混雜模式下，同時(shí)啟動(dòng)后，通過(guò)任何一臺(tái)機(jī)器的網(wǎng)絡(luò)執(zhí)法官程序都可以看到，網(wǎng)絡(luò)中有兩臺(tái)機(jī)器處于混雜模式下工作。這樣，可以通過(guò)網(wǎng)絡(luò)執(zhí)法官程序看到另外一臺(tái)安裝有網(wǎng)絡(luò)執(zhí)法官程序機(jī)器的MAC地址，從而輕松找到另外一臺(tái)安裝有網(wǎng)絡(luò)執(zhí)法官程序的機(jī)器。
　　2、徹底封殺傳奇殺手木馬程序
　　根據(jù)傳奇殺手木馬程序工作原理，傳奇殺手也是向網(wǎng)絡(luò)廣播虛假的網(wǎng)關(guān)地址及MAC地址消息，這是否意味著，當(dāng)在有傳奇殺手程序工作的網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)執(zhí)法官程序后，可以看到有兩臺(tái)機(jī)器也是處在網(wǎng)絡(luò)混雜模式下？經(jīng)過(guò)小片的實(shí)驗(yàn)證實(shí)，傳奇殺手木馬程序與網(wǎng)絡(luò)執(zhí)法官程序的工作原理是一致的。只要網(wǎng)絡(luò)中有傳奇殺手程序在運(yùn)行，就可以通過(guò)網(wǎng)絡(luò)執(zhí)法官程序來(lái)監(jiān)控。
　　為徹底封殺傳奇殺手木馬程序，有效保證用戶(hù)傳奇帳號(hào)和密碼的安全?？梢栽诰W(wǎng)吧收銀機(jī)端安裝網(wǎng)絡(luò)執(zhí)法官程序，并且按照上文的敘述設(shè)置智能監(jiān)控。當(dāng)網(wǎng)絡(luò)執(zhí)法官監(jiān)控程序發(fā)現(xiàn)網(wǎng)絡(luò)中有傳奇殺手木馬程序工作時(shí)，會(huì)自動(dòng)發(fā)生聲音警報(bào)，以此來(lái)警告來(lái)上網(wǎng)的用戶(hù)。這樣技術(shù)人員就可以在第一時(shí)間內(nèi)發(fā)現(xiàn)傳奇殺手木馬程序，然后用最快的時(shí)間關(guān)閉傳奇殺手程序。