Sniffer培訓(xùn)課程

1、sniffer培訓(xùn)課程（一）2007-06-04 03:31范偉老師的sniffer培訓(xùn)課程資料前言: 范老師現(xiàn)在是sniffer中國(guó)技術(shù)服務(wù)中心的技術(shù)總監(jiān)，是中國(guó)唯一的sniffer大師（scm），他有豐富的經(jīng)驗(yàn)和經(jīng)典案例，講課講得不錯(cuò)。我是范老師的學(xué)生，我2005年學(xué)習(xí)了sniffer，發(fā)現(xiàn)收獲很大，但我不能透露我的單位，因?yàn)槲蚁敕独蠋煵粫?huì)允許我把他的講課內(nèi)容公開。以下內(nèi)容是我根據(jù)上課錄音編寫的，基本上是范老師的原話。我整理了一個(gè)星期才整理出來，因?yàn)榉独蠋熢谏险n時(shí)有很多筆書，整理起來很困難，有人會(huì)問，為什么不把錄音共享出來，主要是課程中很多實(shí)驗(yàn)，只有錄音，作用不大，我把他整理成文字，看起來

2、會(huì)方便一些，當(dāng)我全部整理完，估計(jì)可以出書了，版權(quán)費(fèi)給誰(shuí)呢？哈哈我希望大家喜歡，如果反應(yīng)良好，我把后面的內(nèi)容也貼出來，很辛苦的，大家要珍惜。大家不要放映，精華內(nèi)容都在注釋里。大家有什么問題，可以發(fā)e-mail給范老師，url=mailto:fanweidaofanweidao/url，記住如果他問你是誰(shuí)，你說是北京移動(dòng)或廣東移動(dòng)或工商銀行隨便一個(gè)省分行的，因?yàn)檫@些單位的學(xué)生特別多，他肯定搞不清楚。哈哈，對(duì)不起了！范老師，我只是想幫你推廣sniffer.大家好!歡迎大家參加sniffer的認(rèn)證課程！先自我介紹一下！我叫范偉導(dǎo)，這是我的郵件，我現(xiàn)在沒有工作（同學(xué)們：自由職業(yè)者）可以這么說。介紹一下我

3、的經(jīng)歷：畢業(yè)后我在一個(gè)臺(tái)資電腦廠工作了一年，做硬件的。后來到了日本三洋工作，作x400的軟件開發(fā)，做erp，用rpg開發(fā)，做了4年后來到了神州數(shù)碼，作cisco網(wǎng)絡(luò)，原來在技術(shù)中心做實(shí)施，后來在培訓(xùn)中心做講師，一共做了5年?，F(xiàn)在我是cisco和sniffer的授權(quán)講師，不過現(xiàn)在我不想做cisco了，想做sniffer，因?yàn)槲矣X得網(wǎng)絡(luò)分析是一個(gè)很好的技術(shù)方向。等一下我還會(huì)跟大家聊一聊我們?cè)撏囊粋€(gè)方向發(fā)展。先看一下我們這個(gè)課程，這個(gè)課程事實(shí)上是兩門課，第一門我們介紹怎樣用sniffer來做網(wǎng)絡(luò)故障診斷，還有網(wǎng)絡(luò)管理的一些方法和思路，第二門課我們介紹如何做應(yīng)用的分析，這是sniffer的新課程，我

4、個(gè)人覺得非常好，以前的幾個(gè)班學(xué)員也很喜歡。第一門課我們會(huì)講3天，第二門課我們會(huì)講2天。接下來的半個(gè)小時(shí)我們不講書本知識(shí)，講講我的經(jīng)歷和sniffer究竟能用來做什么，我們?yōu)槭裁匆獙W(xué)sniffer，其實(shí)我的目的是提起大家的學(xué)習(xí)興趣，大家愿意學(xué)，我才講的起勁。要不我一邊講，大家在噼噼啪啪上網(wǎng)，那我就講不下去了（同學(xué)們笑）。大家做網(wǎng)絡(luò)都很多年了，想想我們以前的10兆以太網(wǎng)，現(xiàn)在的萬(wàn)兆以太網(wǎng)，想想14.4k的modem,現(xiàn)在的2m寬帶，以前的x25,楨中繼，現(xiàn)在的sdh,mstp,裸光纖。大家都經(jīng)歷這些，但我們才工作幾年？就這幾年，變化這么大，我不知道大家的工資有沒有變化這么大,(同學(xué)們大笑），從10

5、兆到萬(wàn)兆，1000倍，幾年工資張1000倍。有點(diǎn)難（同學(xué)們：不是有點(diǎn)難，是很難，不可能）。再看看我們工作的變化，以前能配配路由器就很牛了，現(xiàn)在似乎誰(shuí)都會(huì)了，記得幾年前，我?guī)鸵粋€(gè)小集成商配一臺(tái)4000系列交換機(jī)，收了2000元，15分鐘搞定。（同學(xué)們：好爽，介紹一些給我們做），沒有了說說你們的工作。平常工作中做些什么（同學(xué)們：做做網(wǎng)線，殺病毒，幫領(lǐng)導(dǎo)裝機(jī)器）大家想想，這是我們想做的工作嗎，以前這些都不用我們做，現(xiàn)在大家感覺是不是地位在下降，工資也不漲，好歹我們也是蜘蛛級(jí)的人物呀，不是有個(gè)笑話說蜜蜂是空姐，做網(wǎng)絡(luò)的是蜘蛛嗎。（同學(xué)們笑）我們?cè)撛趺崔k?現(xiàn)在說說我的觀點(diǎn)，我們都希望工資能年年漲，不要求

6、1000倍，（同學(xué)們：不要求那么高，一年20%就行了），20%？不止吧，從畢業(yè)到現(xiàn)在，你們工資不止年均漲不止20%吧。 （同學(xué)們：我們不能跟您比）也有可能，你們的起點(diǎn)高，我畢業(yè)的時(shí)候才有650元。大家回顧一下，做it的誰(shuí)的收入高？1、銷售2、領(lǐng)導(dǎo)3、咨詢專家4、售前工程師5、售后工程師我們?cè)谧挠?個(gè)是網(wǎng)絡(luò)中心的主任或科長(zhǎng)，他們的收入肯定比一般工程師高，我祝愿你們步步高升，收入節(jié)節(jié)高。在座大多數(shù)是網(wǎng)絡(luò)工程師，我們?cè)撛趺醋?，其?shí)你們現(xiàn)在的單位都很好，但將來怎樣很難知道，比如前幾年銀行的收入令人羨慕，現(xiàn)在他們卻擔(dān)心降工資，現(xiàn)在移動(dòng)的收入不錯(cuò)吧，我有汽車廠商的學(xué)員，他告訴我他們的收入比移動(dòng)好點(diǎn)，（同

7、學(xué)們：哇）這是他們自己說的，好多少就沒說了，還有某政府單位的，什么單位不便說，他們沒告訴我他們的收入，只說，價(jià)格少于4萬(wàn)的筆記本他們不用，哇靠，4萬(wàn)的筆記本，什么配置？（同學(xué)們：那是服務(wù)器）我們不能比，人比人，氣死人。我們沒法進(jìn)入這些公司的，還是腳踏實(shí)地一點(diǎn)好，但我們做技術(shù)的也要考慮如何提高我們的收入，做技術(shù)的要提高收入，地位是關(guān)鍵，前面大家說只做做線，殺殺病毒，我們的地位在下降，工資怎么長(zhǎng)得起來呢？想想我們做技術(shù)的，誰(shuí)的收入高，做數(shù)據(jù)庫(kù)的比做服務(wù)器的高，為什么oracle那么火，做服務(wù)器的比寫程序的高，寫程序的比做網(wǎng)絡(luò)高，這是普遍現(xiàn)象，不說特殊情況。其實(shí)大家發(fā)現(xiàn)一個(gè)特點(diǎn)沒有，凡是掌握企業(yè)關(guān)鍵

8、業(yè)務(wù)的收入都很高，你看作數(shù)據(jù)庫(kù)的，數(shù)據(jù)庫(kù)壞了，企業(yè)完蛋了，領(lǐng)導(dǎo)當(dāng)然重視，現(xiàn)在不僅講存儲(chǔ)，還講災(zāi)備，你看很多銀行，北京一個(gè)數(shù)據(jù)中心，上海一個(gè)數(shù)據(jù)中心。我們網(wǎng)絡(luò)怎樣，設(shè)計(jì)的都是高可靠性的端到端備份，出問題的機(jī)會(huì)很少，而當(dāng)應(yīng)用出什么問題，都說是網(wǎng)絡(luò)問題。舉個(gè)例子，有個(gè)單位（稅務(wù)的學(xué)員告訴我的），有一天應(yīng)用突然變慢，大家都說網(wǎng)絡(luò)慢了，我們用盡troubleshooting的技術(shù)也發(fā)現(xiàn)不了問題，結(jié)果作數(shù)據(jù)庫(kù)的工程師偷偷改一下表空間，好了，沒問題了，我們不知道怎么好了，做數(shù)據(jù)庫(kù)的不說他們有問題，還說網(wǎng)絡(luò)好了，領(lǐng)導(dǎo)問我網(wǎng)絡(luò)怎么好的，我不知道呀，領(lǐng)導(dǎo)說：趕快查出原因，避免再出現(xiàn)類似問題，哇塞，怎么查，本來網(wǎng)絡(luò)

9、就沒問題，查什么查。（同學(xué)們笑）所以現(xiàn)在大家用一個(gè)字來形容我們的工作？你們會(huì)用什么字（同學(xué)們：累、苦）很貼切，苦、累所以我們不能一直停留在網(wǎng)絡(luò)的troubleshooting,我們必須提高我們的地位，要不我們會(huì)累死。怎么提高地位，我們必須了解我們的業(yè)務(wù)，也就是要了解應(yīng)用，了解應(yīng)用在我們網(wǎng)絡(luò)上的行為特征，很重要的一個(gè)詞行為特征。當(dāng)我們了解了業(yè)務(wù)的行為特征，我們能定位某一個(gè)問題的真正故障點(diǎn)，舉個(gè)例子：網(wǎng)絡(luò)應(yīng)用變慢，可能的原因有什么？網(wǎng)絡(luò)問題，服務(wù)器問題，數(shù)據(jù)庫(kù)問題，應(yīng)用程序問題，客戶機(jī)問題。如果我們能夠判斷是哪一部分問題，我們就有發(fā)言權(quán)了，比如說剛才那種情況，如果我們直接說這是數(shù)據(jù)庫(kù)問題，不是網(wǎng)絡(luò)

10、問題，領(lǐng)導(dǎo)會(huì)問，你憑什么說是數(shù)據(jù)庫(kù)問題，你可以拿出sniffer，專家系統(tǒng)上寫著，db slow server response診斷，（范老師在演示）再看解碼，做一個(gè)用戶驗(yàn)證操作，花了1.731秒，有根有據(jù)，大家想一想，有了sniffer我們可以了解我們的業(yè)務(wù)行為特征，可以排除我們的責(zé)任，不但工作輕松了，地位也提高了。（同學(xué)們笑）以前我們應(yīng)用出現(xiàn)問題的時(shí)候我們總是分頭查找問題，結(jié)果往往是沒有結(jié)果，因?yàn)檫@種查找方式范圍太大了，我們做troubleshooting第一步應(yīng)該是：隔離故障。如果我們有了sniffer，首先用sniffer看一下，最有可能是哪一部分問題，再安排檢查，這樣不但節(jié)省人力，速

11、度會(huì)更快，效率也更高。如果有人問我們sniffer是什么？大家都會(huì)說是協(xié)議分析儀，你看sniffer網(wǎng)站（)上說的是應(yīng)用和網(wǎng)絡(luò)分析系統(tǒng)。究竟sniffer是什么樣的一個(gè)東西，我們要了解他的發(fā)展過程。其實(shí)很多類似的產(chǎn)品比如ethereal,netscout,wildpacket等都有類似的發(fā)展過程第一階段是抓包和解碼，也就是把網(wǎng)絡(luò)上的數(shù)據(jù)包抓下來，然后進(jìn)行解碼，那時(shí)候誰(shuí)能解開的協(xié)議多，誰(shuí)就是老大，sniffer當(dāng)時(shí)能解開的協(xié)議最多，也就理所當(dāng)然地成了老大，現(xiàn)在sniffer能解開550種協(xié)議，還是業(yè)界最多的，第二階段是專家系統(tǒng)，也就是通過抓下來的數(shù)據(jù)包，根據(jù)他的特征和前后時(shí)間戳的關(guān)系，判斷網(wǎng)絡(luò)的

12、數(shù)據(jù)流有沒有問題，是哪一層的問題，有多嚴(yán)重，專家系統(tǒng)都會(huì)給出建議和解決方案，現(xiàn)在sniffer的專家系統(tǒng)還是業(yè)界最強(qiáng)的第三階段：是把網(wǎng)絡(luò)分析工具發(fā)展成網(wǎng)絡(luò)管理工具，為什么要這樣，如果sniffer知識(shí)用作網(wǎng)絡(luò)分析，那sniffer的軟件就夠用了，現(xiàn)在軟件的portable基本上都是盜版的，sniffer沒錢賺了，所以它必須往網(wǎng)絡(luò)管理方向轉(zhuǎn)，要作為網(wǎng)絡(luò)管理工具，就必須能部署在網(wǎng)絡(luò)中心，能長(zhǎng)期監(jiān)控，能主動(dòng)管理網(wǎng)絡(luò)，能排除潛在問題，要做到這些，就要求有更高的性能，所以sniffer就有了相應(yīng)的硬件產(chǎn)品，比如說分布式硬件平臺(tái)，infinistream等，我知道在座各位都買了sniffer的硬件，這時(shí)候

13、如果用軟件的sniffer性能就不行了。我們看一下，sniffer究竟有什么用？第一，sniffer可以幫助我們?cè)u(píng)估業(yè)務(wù)運(yùn)行狀態(tài)，如果你能告訴老板說，我們的業(yè)務(wù)運(yùn)行正常，性能良好，比起你跟老板報(bào)告說網(wǎng)絡(luò)沒有問題，我想老板會(huì)更愿意聽前面的報(bào)告，但我們要做這樣的報(bào)告，光說是不行的，必須有根據(jù)，我們能提供什么樣的根據(jù)呢。比如各個(gè)應(yīng)用的響應(yīng)時(shí)間，一個(gè)操作需要的時(shí)間，應(yīng)用帶寬的消耗，應(yīng)用的行為特征，應(yīng)用性能的瓶頸等等，到第二門課，我會(huì)告訴大家怎么做到有根有據(jù)。第二，sniffer能夠幫助我們?cè)u(píng)估網(wǎng)絡(luò)的性能，比如，各連路的使用率，網(wǎng)絡(luò)的性能的趨勢(shì)，網(wǎng)絡(luò)中哪一些應(yīng)用消耗最多帶寬，網(wǎng)絡(luò)上哪一些用戶消耗最多帶寬

14、，各分支機(jī)構(gòu)流量狀況，影響我們網(wǎng)絡(luò)性能的主要因素，我們可否做一些相應(yīng)的控制，等等第三，sniffer幫助我們快速定位故障，這個(gè)大家比較有經(jīng)驗(yàn)，我們記住sniffer的三大功能：monitor,expert,decode這三大功能都可以幫助我們快速定位故障，我后面通過案例演示給大家看，大家再做做實(shí)驗(yàn)，很快就上手了（同學(xué)問：范老師，是否要學(xué)sniffer必須對(duì)協(xié)議很熟，）不一定，我們可以通過sniffer來學(xué)習(xí)各種協(xié)議，比如ospf,以前學(xué)網(wǎng)絡(luò)的時(shí)候，講ospf的lsa好像很復(fù)雜，你用sniffer看看，其實(shí)他的協(xié)議結(jié)構(gòu)還是不復(fù)雜的，一般情況下，我會(huì)要求學(xué)sniffer的學(xué)員有ccnp的基礎(chǔ)，或者

15、有幾年的網(wǎng)絡(luò)管理經(jīng)驗(yàn)，我自己也是這樣，剛開始只是用sniffer抓抓包，抓下來也不知道怎么分析，當(dāng)我學(xué)完ccnp后，學(xué)了cit，以為自己不錯(cuò)了，會(huì)排除很多網(wǎng)絡(luò)故障，但實(shí)際上很多問題我還是解決不了，比如網(wǎng)絡(luò)慢，他又不斷，斷了我很快能解決，網(wǎng)絡(luò)慢，或者丟包，一般的排錯(cuò)知識(shí)還是很難的，那時(shí)候開始學(xué)sniffer，才發(fā)現(xiàn)很好用第四，sniffer可以幫助我們排除潛在的威脅，我們網(wǎng)絡(luò)中有各種各樣的應(yīng)用，有一些是關(guān)鍵應(yīng)用，有一些是oa，有一些是非業(yè)務(wù)應(yīng)用，還有一些就是威脅，他不但對(duì)我們的業(yè)務(wù)沒有幫助，還可能帶來危害，比如病毒、木馬、掃描等，sniffer可以快速地發(fā)現(xiàn)他們，并且發(fā)現(xiàn)攻擊的來源，這就為我們做

16、控制提供根據(jù)，比如我們要做qos，不是說隨便根據(jù)應(yīng)用去分配帶寬就解決了，我們要知道哪一些應(yīng)用要多少帶寬，帶寬如何分配，要有根有據(jù)。我們?cè)倩剡^頭看一下sniffer什么時(shí)候開始流行的，再2003年沖擊波發(fā)作的時(shí)候，很多sniffer的用戶通過sniffer快速定位受感染的機(jī)器，后來很多人都知道sniffer可以用來發(fā)現(xiàn)病毒，sniffer的知名度暴漲，盜版用戶也暴漲（同學(xué)們大笑），后來震蕩波發(fā)作的時(shí)候，很多人用sniffer來協(xié)助解決問題。我想強(qiáng)調(diào)的是sniffer不是防病毒工具，這也只是他的一個(gè)用途，而且只對(duì)蠕蟲類型對(duì)網(wǎng)絡(luò)影響大的病毒有效，對(duì)于文件型的病毒，他很難發(fā)現(xiàn)。另外要說明的事，snif

17、fer還可以用來排除來自內(nèi)部的威脅，現(xiàn)在我們網(wǎng)絡(luò)中有各種各樣的網(wǎng)絡(luò)安全產(chǎn)品，防火墻、ids、防病毒軟件，他們都有相應(yīng)的功能，但真的有效嗎，能解決全部威脅嗎，我們要進(jìn)行評(píng)估，用sniffer就能評(píng)估內(nèi)網(wǎng)的安全狀況，有沒有病毒，有沒有攻擊，有沒有掃描，像防火墻、ids、防病毒軟件他們都是后知后覺的，它必須有特征才能阻絕，而sniffer是即時(shí)監(jiān)控的工具，通過發(fā)現(xiàn)網(wǎng)絡(luò)中的行為特征，判斷網(wǎng)絡(luò)是否有異常流量，所以sniffer可能比防病毒軟件更快地發(fā)現(xiàn)病毒。我在神州數(shù)碼的時(shí)候，沖擊波震蕩波都是我縣發(fā)現(xiàn)的，有趣的是當(dāng)時(shí)我都在上sniffer的課，中午休息，我把sniffer駕到公司網(wǎng)絡(luò)，再hosttabl

18、e看到廣州一臺(tái)機(jī)器很多廣播，接著廣州另外一臺(tái)機(jī)器也開始發(fā)廣播，接著深圳也感染了，我馬上通知it管理人員，他們把這幾臺(tái)機(jī)器斷網(wǎng)，后來才知道有沖擊波病毒，防病毒軟件還不能殺。剛才講到異常流量，這是一個(gè)很重要的概念，什么是異常流量？我們?cè)趺磁袛嗍欠癞惓?，這又涉及另外一個(gè)概念，叫基準(zhǔn)線分析，什么是基準(zhǔn)線，基準(zhǔn)線是指我們網(wǎng)絡(luò)正常情況下的行為特征，包括利用率、應(yīng)用響應(yīng)時(shí)間、協(xié)議分布，各用戶貸款消耗等，不同工程師會(huì)有不同基準(zhǔn)線，因?yàn)樗P(guān)心的內(nèi)容不同，只有知道我們網(wǎng)絡(luò)正常情況下的行為特征，我們才能判斷什么是異常流量。第五，做流量的趨勢(shì)分析，通過長(zhǎng)期監(jiān)控，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量的發(fā)展趨勢(shì)，為我們將來網(wǎng)絡(luò)改造提供建議和

19、依據(jù)第六點(diǎn)就是應(yīng)用性能預(yù)測(cè)，這點(diǎn)很有用，會(huì)用的人不多，我們第二門課會(huì)講，sniffer能夠根據(jù)捕獲的流量分析一個(gè)應(yīng)用的行為特征，比如，你現(xiàn)在有一個(gè)新的應(yīng)用，還沒有上線，我能評(píng)估他上線后的性能，比如在用戶在網(wǎng)絡(luò)中心有多快，用戶在省中心有多快，用戶在市中心有多快，都可以提供量化的預(yù)測(cè)，準(zhǔn)確率挺高的，誤差不超過10%。我們還可以用她來評(píng)估應(yīng)用的瓶頸在哪，不同應(yīng)用瓶頸不同，比如有些應(yīng)用慢了，增加網(wǎng)絡(luò)帶寬效果很明顯，比如ftp這種應(yīng)用，有些應(yīng)用慢了增加帶寬沒什么效果，比如telnet應(yīng)用，我們還可以預(yù)測(cè)網(wǎng)絡(luò)帶寬增加的效果，比如我將2兆提高到8兆應(yīng)用性能有多大的提升，sniffer能比較準(zhǔn)確地預(yù)測(cè)在這里我

20、們提到三個(gè)重要概念，網(wǎng)絡(luò)行為特征，異常流量，基準(zhǔn)線，大家理解了嗎在這里，我不想太多介紹產(chǎn)品，我不是來推銷sniffer的（同學(xué)們笑），我們主要探討網(wǎng)絡(luò)分析技術(shù)sniffer的便攜式就是我們用的那種盜版軟件（同學(xué)們笑），我不用介紹了，這門課我們用sniffer的便攜式來講，因?yàn)榉植际胶蚷nfinistream也有一樣的界面，上課的時(shí)候我們都是用便攜式。sniffer的分布式包括4100和6040，主要是放在網(wǎng)絡(luò)核心可以長(zhǎng)期監(jiān)控、分析，4100可以處理千兆流量，6040可以處理8千兆流量，這是業(yè)界性能最高的產(chǎn)品sniffer的infinistream的特點(diǎn)是可以長(zhǎng)期抓包，最多有4個(gè)t的存儲(chǔ)空間，可

21、以長(zhǎng)期抓包，可以進(jìn)行回溯性分析，這點(diǎn)對(duì)有些用戶來說很重要，比如今天早上10點(diǎn)半，某個(gè)應(yīng)用很慢，十分鐘后又正常了，如果沒有infinistream,流量沒有保存，我們就很難分析問題在哪，如果有了infinistream,這些流量都會(huì)保存下來，自動(dòng)的，就是長(zhǎng)期抓包，我們就可以找出當(dāng)時(shí)的流量，進(jìn)行分析，一個(gè)很好的設(shè)備，現(xiàn)在支持1800兆線速捕獲，這也是其他廠商沒有的。這些你們買設(shè)備的時(shí)候代理都給你們說清楚了，我就不多講了。怎么樣，聽了這么久，感覺如何？有興趣嗎？其實(shí)我個(gè)人是很喜歡sniffer的，我當(dāng)時(shí)從三洋出來的時(shí)候，錯(cuò)過了去ibm的機(jī)會(huì)，去了神州數(shù)碼才知道，他們ibm需要做x400的人，去了神州

22、數(shù)碼，老板問我想做網(wǎng)絡(luò)還是想做主機(jī)，我說做網(wǎng)絡(luò)吧，那時(shí)一個(gè)ccie 23十萬(wàn)的收入是有的，結(jié)果到我考過ccie筆試的時(shí)候，ccie就值10萬(wàn)吧，真是絕望了，（同學(xué)們笑）為什么當(dāng)時(shí)不做主機(jī)呢，我那些做6000的同事現(xiàn)在都不錯(cuò)，又不累。做網(wǎng)絡(luò)不就一個(gè)字：累嗎（同學(xué)們笑）我也沒有去考實(shí)驗(yàn)了，01年的時(shí)候我考了ccsi，就是cisco授權(quán)講師，后來講了很多cisco的課，我cisco的學(xué)員有1000個(gè)，后來又講sniffer的課，sniffer的學(xué)員有300個(gè)，我的學(xué)員不少，有不少關(guān)系不錯(cuò)的，他們過的比我好（同學(xué)們笑，你做講師也不錯(cuò)呀，收入不低吧），以前講cisco的時(shí)候收入不高,一天也就1000到1

23、500，講sniffer會(huì)好一些，(同學(xué)們：講sniffer一天多少）這還不好公開，如果你們有興趣開班，我們?cè)倭模ㄍ瑢W(xué)們笑）。后來我考過了scm，sniffer的最高級(jí)認(rèn)證，叫sniffer大師。中國(guó)就我一個(gè)人，（同學(xué)們：哇，難不難考，考幾門），sniffer的考試不難，這個(gè)我后面會(huì)講，考過scm的全球也只有62個(gè)，亞太區(qū)只有5個(gè)，所以sniffer原廠的課程都是我講的。在今年，我會(huì)去協(xié)助組建sniffer中國(guó)技術(shù)服務(wù)中心，以后你們有什么問題都可以聯(lián)系我，我在那里是技術(shù)總監(jiān)。我們還有在各行各業(yè)的sniffer專家小組，都是喜歡使用sniffer的人在一起交流使用心得，分享一些案例，你們?nèi)缬信d趣

24、，到時(shí)我可以邀請(qǐng)你們參加，不過首先要認(rèn)真聽課。（同學(xué)們笑）好了，講了這么多，目標(biāo)只有一個(gè)，提起大家的學(xué)習(xí)興趣，接下來講課程的內(nèi)容，首先把sniffer打開。 好，大家都打開了嗎，有問題隨時(shí)告訴我，（跑去解答問題去了）如果大家在上課的時(shí)候有任何疑問，隨時(shí)可以打斷我，不用給我面子，我也不一定能回答所有問題，不過沒關(guān)系，交流總會(huì)進(jìn)步的。好，我們繼續(xù)第一個(gè)我要介紹的是local agent。select settings什么叫l(wèi)ocal agent，大家打開file這時(shí)候，大家可能只看到一個(gè)local 下面是你的網(wǎng)卡,這就叫做一個(gè)local agent。事實(shí)上，一個(gè)local agent 就像一個(gè)探針

25、。我們知道sniffer的工作原理很簡(jiǎn)單，就是把網(wǎng)卡設(shè)成混雜模式（叫做promiscuous），所謂混雜模式，就是把所有數(shù)據(jù)包接受下來放入內(nèi)存，大家知道一般情況下,pc機(jī)只接受目的mac地址為自己網(wǎng)卡或廣播、組播的數(shù)據(jù)包。sniffer就是這樣把所有數(shù)據(jù)包都接收下來，在進(jìn)行分析。大家看我這里有多個(gè)agent,怎樣可以做多個(gè)agent呢，可以不同網(wǎng)卡做不同的agent，就像你們的分布式sniffer一樣，有多個(gè)網(wǎng)卡，那就是多個(gè)agent,infinistream也一樣。其實(shí)一個(gè)網(wǎng)卡，也可以做多個(gè)agent,大家試一下，new一個(gè)，給他加上說明，就叫101把，選中你們的網(wǎng)卡，下面選no pod，c

26、opy setting留空，那個(gè)pod是你外接sniffer book時(shí)候用的。大家看看你們的agent多了一個(gè)，101括號(hào)local_2。對(duì)不對(duì)（同學(xué)們：對(duì)）好，不錯(cuò)。我們?yōu)槭裁唇⒍鄠€(gè)agent 呢。不同的agent可以定義不同的閥值，可以有不同的過濾器，可以有不同的觸發(fā)器，不同的地址本。比如說，你們有一臺(tái)筆記本裝著sniffer，大家都用它，那不同的工程師可以自己定義一個(gè)agent，自己定義自己的過濾器，互不干涉，比如不同的網(wǎng)段有不同的閥值，也可以定義不同的agent。那agent的參數(shù)保存在哪里呢，大家打開c:program filesnaisnifferntprogram,大家看到l

27、ocal local_2,這就是兩個(gè)不同的agent保存參數(shù)的地方。大家看到兩個(gè)csf文件，一個(gè)是sniffer.csf，另外一個(gè)是snifferdisplay.csf。這是過濾器文件，當(dāng)我們使用sniffer一段時(shí)間之后，大家會(huì)累積許多好的過濾器，一定記得保存下來，就是把這兩個(gè)文件考出來就行了，如果你看到別人那里有好的過濾器，也可以拷過來。不過當(dāng)你要倒回去的時(shí)候，4.8比較好辦直接倒入就行了，4.75比較麻煩，我后面講定義過濾器的時(shí)候再教大家。過濾器是sniffer最難、最有意思、最重要的一部分，大家放心，我能讓大家成為高手。（同學(xué)們笑）好，local agent講完了，local agen

28、t是什么？事實(shí)上就是定義一個(gè)環(huán)境變量，不同的環(huán)境不同的參數(shù)。好，休息一下，待會(huì)兒講monitor功能。中間休息的時(shí)候，我問了范老師一個(gè)問題：我看書上說，tcp是可靠的,udp是不可靠的，那要不可靠udp來干什么？（各位：我的問題是不是很傻？但我確實(shí)不知道呀）范老師：不錯(cuò)，這個(gè)問題非常好?。ê俸伲。﹖cp叫傳輸控制協(xié)議，他的特點(diǎn)是：有連接，有流控，有順序號(hào)/確認(rèn)號(hào)，開銷比較大，一般是20個(gè)字節(jié)的頭。udp叫用戶數(shù)據(jù)報(bào)協(xié)議，開銷小，8個(gè)字節(jié)的頭，無(wú)可靠保證。我后面有詳細(xì)介紹tcp和udp，我們先看您的問題。首先，udp，不可靠，是指，在傳輸層不提供可靠保證，并不意味著所有使用udp的應(yīng)用都不可靠。

29、我們來比較幾個(gè)應(yīng)用（范老師用他的trace file 給我演示）dns，53端口，進(jìn)行查詢時(shí)，用的是udp，因?yàn)橐笏俣瓤?，比如我要查networkgeneral的地址，你只要告訴我ip是多少就行了，如果要進(jìn)行3次握手建立連接，再去取到ip，那就慢了，所以用的是udp,一個(gè)字：快。沒響應(yīng)怎么辦，事實(shí)你看（他在演示）它會(huì)同時(shí)向多個(gè)dns查詢，所以沒響應(yīng)也沒關(guān)系，你看這個(gè)響應(yīng)名字錯(cuò)誤，找不到。所以u(píng)dp還是有用的，特別是像dns查詢這種應(yīng)用，丟了也就丟了，我再查。但dns也有用tcp的時(shí)候，比如dns服務(wù)器的同步，用的就是tcp的53端口tftp，您所了解的tftp,用的是udp吧，他不可靠嗎，事

30、實(shí)上文件傳輸,必須保證可靠。不但要保證能知道丟包重傳，還要有順序號(hào)，應(yīng)付錯(cuò)序到達(dá)的情況，也就是我們常說的后發(fā)先至。事實(shí)上tftp是怎樣工作的，你看（他在演示），每一個(gè)數(shù)據(jù)塊都有id號(hào)，一塊512字節(jié)，一次傳輸，一次確認(rèn)，這就相當(dāng)于tcp的順序號(hào)和確認(rèn)號(hào)。所以u(píng)dp是不可靠的，但很多使用udp協(xié)議的應(yīng)用是可靠的，只是在應(yīng)用層去保證可靠性，很多人說用udp效率高，事實(shí)上tftp在傳輸大文件的時(shí)候,比f(wàn)tp效率更地，我們后面有專門的實(shí)驗(yàn)。視頻流量，（沒有演示）對(duì)于視頻流量，也是需要可靠保證的，但要求不是很高，所以不會(huì)像tftp那樣每一個(gè)數(shù)據(jù)報(bào)都確認(rèn)，而是傳多個(gè)數(shù)據(jù)包確認(rèn)一次，要不效率就太低了，究竟多

31、少個(gè)數(shù)據(jù)包確認(rèn)一次，開發(fā)人員需要不斷測(cè)試。我的解釋清楚嗎，sniffer培訓(xùn)課程（二）2007-06-04 03:32（我說：明白了！謝謝?。ù_實(shí)看著演示，很容易就理解了，中間我們有許多對(duì)話，我省略了，確實(shí)如果只聽錄音是不明白的，這是我為什么要整理成文字給大家看，好累呀！大家給我加油?。┖?，我們繼續(xù)！我們來看一下sniffer的七大monitor功能，有dashboard,hosttable,matrix,art，protocol distribution,history sample,global statistics我們一個(gè)一個(gè)來看，先看dashboard。這個(gè)大家很熟悉了，我不用多講，

32、dashboard有3個(gè)儀表，分別是使用率，每秒鐘包數(shù)量，每秒鐘錯(cuò)誤率，下面都有兩個(gè)數(shù)字，前面一個(gè)表示當(dāng)前值，后面一個(gè)表示最大值。下面還有l(wèi)ong term,和short termlong term 每30分鐘采樣一次，一共可以采樣24小時(shí)，short term 每30秒鐘采樣一次，可以采樣25分鐘大家自己試一下，首先把file里面的loopback 選上，這樣我們發(fā)的數(shù)據(jù)包就不會(huì)發(fā)到網(wǎng)絡(luò)中去，然后打開101目錄里的tcpdemo7a那個(gè)trace file ,再用packet general 發(fā)包，選send current buffer，連續(xù)發(fā)送。（我們是跟著范老師做的）好了，大家試了一遍

33、，感覺應(yīng)該是一樣的，就是這有什么用？沒用，對(duì)吧，我也這樣覺得（同學(xué)們笑）但如果你要監(jiān)控某一臺(tái)服務(wù)器的時(shí)候，這個(gè)是有用的，比如你把一臺(tái)服務(wù)器的接口monitor 過來，這樣你就可以看到這臺(tái)服務(wù)器的流量狀況了，這就是一個(gè)很好的基準(zhǔn)線呀。當(dāng)然大家用的是硬件產(chǎn)品，就更方便了。大家注意到下面還有錯(cuò)誤報(bào)的統(tǒng)計(jì)，要注意的是一般的網(wǎng)卡是抓不了錯(cuò)誤包的，要用專用網(wǎng)卡，一塊網(wǎng)卡上萬(wàn)塊，ng好黑呀（同學(xué)們笑）其實(shí)大家知道通過交換機(jī)的存儲(chǔ)轉(zhuǎn)發(fā)，基本上很少錯(cuò)誤包，所以不用關(guān)注它。在這里我想解釋一下以太網(wǎng)的錯(cuò)誤包，這對(duì)大家學(xué)習(xí)網(wǎng)絡(luò)是很有幫助的，特別是了解一下封裝的概念。（請(qǐng)看下一頁(yè)：以太網(wǎng)為什么要64個(gè)字節(jié)）(這是范老師

34、的板書,我畫不出來,大家將就點(diǎn)吧) (這是范老師的板書,我畫不出來,大家將就點(diǎn)吧)以太網(wǎng)是無(wú)連接的，不可靠的服務(wù)，采用盡力傳輸?shù)臋C(jī)制。以太網(wǎng)csma/cd我就不多講了，我相信大家都了解這個(gè)原理。以太網(wǎng)是不可靠的，這意味著它并不知道對(duì)方有沒有收到自己發(fā)出的數(shù)據(jù)包，但如果他發(fā)出的數(shù)據(jù)包發(fā)生錯(cuò)誤，他會(huì)進(jìn)行重傳。以太網(wǎng)的錯(cuò)誤主要是發(fā)生碰撞，碰撞是指兩臺(tái)機(jī)器同時(shí)監(jiān)聽到網(wǎng)絡(luò)是空閑的，同時(shí)發(fā)送數(shù)據(jù)，就會(huì)發(fā)生碰撞，碰撞對(duì)于以太網(wǎng)來說是正常的。我們來看一下，假設(shè)a檢測(cè)到網(wǎng)絡(luò)是空閑的，開始發(fā)數(shù)據(jù)包，盡力傳輸，當(dāng)數(shù)據(jù)包還沒有到達(dá)b時(shí)，b也監(jiān)測(cè)到網(wǎng)絡(luò)是空閑的，開始發(fā)數(shù)據(jù)包，這時(shí)就會(huì)發(fā)生碰撞，b首先發(fā)現(xiàn)發(fā)生碰撞，開始發(fā)

35、送碰撞信號(hào)，所謂碰撞信號(hào)，就是連續(xù)的01010101或者10101010,十六進(jìn)制就是55或aa。這個(gè)碰撞信號(hào)會(huì)返回到a，如果碰撞信號(hào)到達(dá)a時(shí)，a還沒有發(fā)完這個(gè)數(shù)據(jù)包，a就知道這個(gè)數(shù)據(jù)包發(fā)生了錯(cuò)誤，就會(huì)重傳這個(gè)數(shù)據(jù)包。但如果碰撞信號(hào)會(huì)返回到a時(shí)，數(shù)據(jù)包已經(jīng)發(fā)完，則a不會(huì)重傳這個(gè)數(shù)據(jù)包。我們先看一下，以太網(wǎng)為什么要設(shè)計(jì)這樣的重傳機(jī)制。首先，以太網(wǎng)不想采用連接機(jī)制，因?yàn)闀?huì)降低效率，但他又想有一定的重傳機(jī)制，因?yàn)橐蕴W(wǎng)的重傳是微秒級(jí)，而傳輸層的重傳，如tcp的重傳達(dá)到毫秒級(jí)，應(yīng)用層的重傳更達(dá)到秒級(jí)，我們可以看到越底層的重傳，速度越快，所以對(duì)于以太網(wǎng)錯(cuò)誤，以太網(wǎng)必須有重傳機(jī)制。要保證以太網(wǎng)的重傳，必須

36、保證a收到碰撞信號(hào)的時(shí)候，數(shù)據(jù)包沒有傳完，要實(shí)現(xiàn)這一要求，a和b之間的距離很關(guān)鍵，也就是說信號(hào)在a和b之間傳輸?shù)膩砘貢r(shí)間必須控制在一定范圍之內(nèi)。ieee定義了這個(gè)標(biāo)準(zhǔn)，一個(gè)碰撞域內(nèi)，最遠(yuǎn)的兩臺(tái)機(jī)器之間的round-trip time 要小于512bit time.(來回時(shí)間小于512位時(shí)，所謂位時(shí)就是傳輸一個(gè)比特需要的時(shí)間）。這也是我們常說的一個(gè)碰撞域的直徑。512個(gè)位時(shí)，也就是64字節(jié)的傳輸時(shí)間，如果以太網(wǎng)數(shù)據(jù)包大于或等于64個(gè)字節(jié)，就能保證碰撞信號(hào)到達(dá)a的時(shí)候，數(shù)據(jù)包還沒有傳完。這就是為什么以太網(wǎng)要最小64個(gè)字節(jié)，同樣，在正常的情況下，碰撞信號(hào)應(yīng)該出現(xiàn)在64個(gè)字節(jié)之內(nèi)，這是正常的以太網(wǎng)碰撞

37、，如果碰撞信號(hào)出現(xiàn)在64個(gè)字節(jié)之后，叫 late collision。這是不正常的。我們以前學(xué)習(xí)cisco網(wǎng)絡(luò)的時(shí)候，cisco交換機(jī)有一種轉(zhuǎn)發(fā)方式叫fragment-free，叫無(wú)碎片轉(zhuǎn)發(fā)，他就是檢查64個(gè)字節(jié)之內(nèi)有沒有錯(cuò)誤，有的話不轉(zhuǎn)發(fā)，這樣就排除了正常的以太網(wǎng)錯(cuò)誤包。(這是范老師的板書,我畫不出來,大家將就點(diǎn)吧) 我們?cè)賮砜匆豢匆蕴W(wǎng)的幀結(jié)構(gòu)。 要講幀結(jié)構(gòu)，就要說一說osi七層參考模型。七層參考模型大家很熟悉，以前我們看書的時(shí)候會(huì)覺得不知所云，我剛學(xué)的時(shí)候就是這感覺，其實(shí)我們只要掌握兩點(diǎn)就行了。 一個(gè)是訪問服務(wù)點(diǎn)，每一層都對(duì)上層提供訪問服務(wù)點(diǎn)（sap），或者我們可以說，每一層的頭里面都有

38、一個(gè)字段來區(qū)分上層協(xié)議。 比如說傳輸層對(duì)應(yīng)上層的訪問服務(wù)點(diǎn)就是端口號(hào)，比如說23端口是telnet，80端口是http。ip層的sap是什么？（同學(xué)們沒說話） 其實(shí)就是protocol字段，17表示上層是udp，6是tcp,89是ospf，88是egirp,1是icmp等等。 以太網(wǎng)對(duì)應(yīng)上層的sap是什么呢？就是這個(gè)type或length。比如 0800表示上層是ip，0806表示上層是arp。我后面還會(huì)將各種以太網(wǎng)的幀類型。 第二個(gè)要了解的就是對(duì)等層通訊，對(duì)等層通訊比較好理解，發(fā)送端某一層的封裝，接收端要同一層才能解封裝。 我們?cè)賮砜纯磶Y(jié)構(gòu)，以太網(wǎng)發(fā)送方式是一個(gè)幀一個(gè)幀發(fā)送的，幀與幀之間需

39、要間隙。這個(gè)叫幀間隙ifginterframe gap ifg長(zhǎng)度是96bit。當(dāng)然還可能有idle時(shí)間。 以太網(wǎng)的幀是從目的mac地址到fcs,事實(shí)上以太網(wǎng)幀的前面還有preamble，我們把它叫做先導(dǎo)字段。作用是用來同步的，當(dāng)接受端收到preamble，就知道以太網(wǎng)幀就要來了。preamble有8個(gè)字節(jié)前面7個(gè)字節(jié)是10101010也就是16進(jìn)制的aa，最后一個(gè)字節(jié)是10101011,也就是ab，當(dāng)接受端接受到連續(xù)的兩個(gè)高點(diǎn)平，就知道接著來的就是d_mac。所以最后一個(gè)字節(jié)ab我們也叫他sfd（幀開始標(biāo)示符）。 所以在以太網(wǎng)傳輸過程中，即使沒有idle，也就是連續(xù)傳輸，也有20個(gè)字節(jié)的間隔

40、。對(duì)于大量64字節(jié)數(shù)據(jù)來說，效率也就顯得不高。 所以，有時(shí)我們用下載數(shù)據(jù)來檢查我們的網(wǎng)速，這是不完全準(zhǔn)確地，我們要了解他的傳輸特征，才能準(zhǔn)確判斷電信究竟給了你多少帶寬。我有一個(gè)移動(dòng)的學(xué)員，他說用戶總懷疑我給他的帶寬不夠，其實(shí)我肯定給他兩兆了，所以有時(shí)運(yùn)營(yíng)商也挺不容易（同學(xué)們笑）。后來我告訴他怎么樣用sniffer來測(cè)帶寬，不知道他后來成功了嗎，我沒有得到反饋。后面我會(huì)介紹怎樣用sniffer來做帶寬測(cè)試，非常精確的喔。我給很多用戶作過帶寬測(cè)試，他們大多都是懷疑電信給的帶寬不夠。（同學(xué)們問：有沒有不夠的時(shí)候？）我測(cè)試的案例里還沒有。還有就是幫集成商作方案驗(yàn)證，比如，集成商給用戶作了多鏈路捆綁，或

41、路由負(fù)載均衡，用戶說比原來更慢了，我去證明給用戶看，負(fù)載均衡確實(shí)做起來了，流量分擔(dān)很正常。（同學(xué)們問：那為什么會(huì)慢呢），這就涉及到應(yīng)用的特征和不同廠商采用均衡的機(jī)制。我還沒試過作進(jìn)一步分析。因?yàn)檫@是集成商的朋友叫我去幫忙的，我只要證明給用戶看方案沒問題，并告訴集成商如何給用戶解釋就行了，在做下去，就會(huì)畫蛇添足了，因?yàn)榭赡茏層脩粲X得我的水平比我朋友高，那不是幫倒忙了。（同學(xué)們笑）所以幫忙也要適可而止。 （同學(xué)們笑） 好了，有點(diǎn)扯遠(yuǎn)了。前面講這些主要是幫大家復(fù)習(xí)以下以太網(wǎng)知識(shí)，大家別擔(dān)心，時(shí)間是足夠的，因?yàn)檫@門課里有很一些基礎(chǔ)的知識(shí)，比如交換原理、vlan原理，那些知識(shí)我都會(huì)跳過，我第一天的內(nèi)容不

42、會(huì)很難，考慮到大家遠(yuǎn)道而來，第一天都很累。但后面回越來越難，大家要有心理準(zhǔn)備。晚上要早點(diǎn)睡覺（同學(xué)們笑）。還有一個(gè)，就是大家別指望能記得住我講得全部?jī)?nèi)容，今天講得明天還記得一點(diǎn)，后天就全忘了，（同學(xué)們笑），到了課程結(jié)束的時(shí)候，基本上全忘光了，（同學(xué)們大笑），所以做筆記很重要，我建議大家把筆記寫在書上，到時(shí)才對(duì)得起來。我也注意到一些同學(xué)在錄音，我知道的，不用放在桌子底下(同學(xué)們笑），那樣效果不好，（同學(xué)們大笑），其實(shí)這是不允許的，不過沒關(guān)系，只有一個(gè)要求，不要放在互聯(lián)網(wǎng)上。 （編者：寫到這里，有點(diǎn)寫不下去了，覺得很內(nèi)疚，覺得對(duì)不起范老師。我參加過很多培訓(xùn)，范老師是我很喜歡的一個(gè)老師，他講課不會(huì)非

43、常幽默，但很實(shí)用，這是因?yàn)樗泻芏嘟?jīng)歷，他在講課過程中，會(huì)補(bǔ)充很多課程以外的東西，比如很多網(wǎng)絡(luò)中的細(xì)節(jié)知識(shí)，很多工作中的思路，我覺得這方面收獲很大，我個(gè)人覺得是對(duì)我知識(shí)的全面補(bǔ)充，學(xué)完之后覺得不僅學(xué)會(huì)了sniffer，網(wǎng)絡(luò)管理的思路更清晰了，現(xiàn)在我指導(dǎo)工程師時(shí)，套了很多范老師的話，我覺得范老師很好。怎么辦？我在進(jìn)行思想斗爭(zhēng)。該不該再寫下去。我想在論壇里發(fā)起投票，聽聽大家的意見，我該不該再寫下去。） （編者：范老師的課程內(nèi)容： 第一天 monitor功能，sniffer的部署 第二天 expert，capture filter ，troubleshooting 第三天 decode，displa

44、y filter ，trigger 第四天 應(yīng)用的類型，應(yīng)用的剖析，應(yīng)用的分析思路 第五天 應(yīng)用性能的分析，應(yīng)用性能預(yù)測(cè)） 好，我們繼續(xù)看第二個(gè)monitor功能，host table，我們叫他主機(jī)列表 這是非常好用的一個(gè)功能，有什么用呢？ 第一看流量最大的top10主機(jī)， 第二看廣播量有多少，當(dāng)時(shí)我發(fā)現(xiàn)沖擊波、振蕩波的時(shí)候，就是看這個(gè)host table，發(fā)現(xiàn)有大量的全子網(wǎng)廣播 第三可以快速過濾單一主機(jī)流量。 第四通過過濾功能可以看到單一業(yè)務(wù)主機(jī)的流量分布，當(dāng)然也可以通過鏡像接口去實(shí)現(xiàn) 我們一個(gè)一個(gè)來看。 首先top10主機(jī)， 我們可以點(diǎn)擊各列的標(biāo)題來排序，方便我們分析，比如收發(fā)包情況。大家

45、可以試一下。 第二廣播量有多少 我們點(diǎn)擊broadcast或multicast的標(biāo)題，查看廣播量，有一點(diǎn)要注意，不要忘記看mac層的廣播和組播，因?yàn)閙ac的廣播不一定有ip頭，比如arp，同樣ip的廣播在mac也可能是單播，比如子網(wǎng)廣播。 mac層的廣播是目的mac為48個(gè)1，mac層的組播為目的mac第一個(gè)字節(jié)最低位是1。（范老師有板書，我的本子上有，懶得畫了） ip的廣播有三種：55叫本地廣播，也叫直播，direct broadcast，不跨路由器。 55叫子網(wǎng)廣播，廣播給這個(gè)子網(wǎng)，可以跨路由器。 172.16.255.

46、255叫全子網(wǎng)廣播，廣播給這個(gè)主網(wǎng)，可以跨路由器。 大家以前學(xué)網(wǎng)絡(luò)的時(shí)候，老師會(huì)給一個(gè)概念，說路由器是三層設(shè)備，隔離廣播，對(duì)吧，我也是這樣給同學(xué)介紹的，但我在后面會(huì)告訴同學(xué)，并不是所有廣播都隔離。 事實(shí)上只有55這類本地廣播，路由器才不轉(zhuǎn)發(fā)，對(duì)于子網(wǎng)廣播和全子網(wǎng)廣播，路由器是轉(zhuǎn)發(fā)的，這是為什么呢？ 我們來看4個(gè)255的廣播，在mac的封裝中，對(duì)應(yīng)的目的mac是廣播，而子網(wǎng)廣播和全子網(wǎng)廣播，對(duì)應(yīng)的目的mac是單播，所以路由器會(huì)轉(zhuǎn)發(fā)。（范老師在演示）所以我們注意到，路由器隔離的廣播是目的mac為全1的廣播，對(duì)于目的mac是單播的上層廣播，路由器是不能隔

47、離的。 現(xiàn)在想想沖擊波震蕩波為什么影響那么大，因?yàn)樗捎玫氖侨泳W(wǎng)廣播，可以跨路由感染。所以對(duì)于這種流量我們要小心，希望下次再出現(xiàn)蠕蟲病毒時(shí)，大家能快速發(fā)現(xiàn)，做個(gè)世界第一（同學(xué)們笑），同樣我們要關(guān)注mac層的廣播。 第三，就是我們可以關(guān)注單一主機(jī)流量。 第一種辦法，抓包。選中主機(jī)，點(diǎn)一下抓蝴蝶的工具，這樣通過專家系統(tǒng)和解碼你就可以分析他在干什么了。這個(gè)我們后面再講 第二種辦法，用single station。選中主機(jī)，點(diǎn)一下下面這個(gè)電腦的圖標(biāo)，你可以看到他在跟誰(shuí)通信，如果你看到他跟幾十臺(tái)、上百臺(tái)機(jī)器同時(shí)通訊，可能是什么？（同學(xué)們：bt)，對(duì)，像bt,電驢等p2p應(yīng)用會(huì)有這個(gè)特征。 第四，就是我

48、們?nèi)绻覀儼褑我粯I(yè)務(wù)服務(wù)器的接口鏡像過來，我們就可以看到這臺(tái)機(jī)器的流量狀況，我們也可以采用過濾的方式。 sniffer有一種叫monitor 過濾器。大家選中一臺(tái)機(jī)器，假設(shè)這是你要關(guān)心的業(yè)務(wù)主機(jī)，再點(diǎn)一下這個(gè)定義過濾器的圖標(biāo)，（范老師在演示），你看他自動(dòng)產(chǎn)生一個(gè)叫new1的過濾器，就是這臺(tái)機(jī)器跟任何機(jī)器通訊這樣的一個(gè)過濾器。我們點(diǎn)一下確定。 我們?cè)谶x擇monitor菜單上的select filter，選apply monitor filter，再選new1，確定。 大家注意到，現(xiàn)在host table就只有和這臺(tái)機(jī)器通訊的所有主機(jī)流量情況。要注意一點(diǎn)是，monitor filter應(yīng)用的時(shí)候，

49、對(duì)所有monitor功能生效，所以在分析單一業(yè)務(wù)的時(shí)候，特別好用。當(dāng)然如果你們買的是infinistream的話，就更方便了，想分析那個(gè)業(yè)務(wù)就分析哪個(gè)業(yè)務(wù)。 怎么樣？host table好用吧？ （同學(xué)問：為什么廣播也是一臺(tái)主機(jī)？不是說廣播地址不會(huì)作為主機(jī)地址嗎？）（編者：這個(gè)問題好像比較低級(jí)） 這是流量分析技術(shù)的特點(diǎn)，再流量分析中，它純粹從包結(jié)構(gòu)中去取得主機(jī)信息，也就是目的mac,源mac,目的ip，源ip,他都作為主機(jī)處理，廣播地址不會(huì)在原地址中出現(xiàn)，但在目的地址中出現(xiàn)，也是一臺(tái)主機(jī)。這并不影響我們分析。 好。還有什么問題嗎？大家用5分鐘自己試一下。 好，我們繼續(xù)看第3個(gè)monitor功能

50、，matrix，我們叫他矩陣，其實(shí)就是主機(jī)會(huì)話情況，很多人用他來發(fā)現(xiàn)病毒，其實(shí)用他來評(píng)估網(wǎng)絡(luò)狀況，和異常流量，是一個(gè)很好用的工具。 大家看，一下子就滿了，大多數(shù)網(wǎng)絡(luò)中都是這樣的，我們可以按一下嶄停。 然后來分析 分析什么呢？ 看那一臺(tái)主機(jī)的連接數(shù)最多，要注意這個(gè)連接數(shù)不是傳輸層的連接數(shù)，是指誰(shuí)跟最多的主機(jī)連接 按右建選zoom，放大。 找到對(duì)外連接最多的機(jī)器，選中，按右建，選show select nodes,大家自己試一下。我們注意到這臺(tái)機(jī)器跟很多機(jī)器通訊，這正常嗎？（同學(xué)們：不正常） 這要看實(shí)際情況，如果這時(shí)一臺(tái)業(yè)務(wù)主機(jī)，太正常了，如果這時(shí)一臺(tái)pc機(jī)，或許在作p2p。 我們注意到這臺(tái)機(jī)器向

51、公網(wǎng)發(fā)出大量的icmp包，那是在作什么？（同學(xué)們：在ping) 對(duì)！ping采用icmp協(xié)議，ping可以用來掃描，也可以用來攻擊。 掃描就是看那一臺(tái)機(jī)器活著，接著掃描端口，在攻擊，所以掃描是攻擊主機(jī)的前奏。 另外 ，還可以用ping 來沖擊路由器，或占用帶寬，是一種dos攻擊。 大家看這個(gè)過程更像哪一種類sniffer培訓(xùn)課程（三）2007-06-04 03:33（同學(xué)們：掃描，dos攻擊） 一般情況下，掃描會(huì)是比較連續(xù)的地址，我們看這個(gè)地址并不連續(xù)，我們先排除掃描，當(dāng)然不是絕對(duì)的，也有比較聰明的掃描。 有同學(xué)說，這是dos攻擊，那是沖擊路由器，還是占用帶寬？ （同學(xué)們：沖擊路由器） 嘿，這

52、次比較統(tǒng)一，我也覺得他在沖擊路由器，我們看，他的目標(biāo)地址基本不在一個(gè)網(wǎng)段，這樣路由器收到這樣的數(shù)據(jù)包會(huì)消耗大量資源在查找路由表上面。所以對(duì)路由器有一定沖擊。 一般來說，如果他想占用帶寬的話，會(huì)發(fā)大包，我們發(fā)現(xiàn)，包的長(zhǎng)度不大，并且一秒鐘才發(fā)10幾個(gè)包，所以對(duì)貸款沖擊不大。 或許大家會(huì)覺得這沒秒10幾個(gè)包對(duì)路由器沖擊也不大呀。大家想像一下，如果有很多機(jī)器在作這個(gè)操作，那影響就會(huì)很大。 大家自己在找一找，是否還有其他機(jī)器在作同類事情。 （同學(xué)們找出7臺(tái)這樣的機(jī)器） 好大家找出7臺(tái)這樣的機(jī)器，怎么找出來的？有同學(xué)用鋼材的辦法，有同學(xué)用過濾，都市好辦法。 現(xiàn)在假設(shè)在你們的網(wǎng)絡(luò)中出現(xiàn)這樣的情況，我們發(fā)現(xiàn)了

53、異常，接下來怎么做？ （同學(xué)們：找到這臺(tái)機(jī)器） 然后呢？ 我們可以看看這臺(tái)機(jī)器的任務(wù)管理器，看看有什么不常見的進(jìn)程，把他去掉，看是否解決。在看其他的機(jī)器，是否有類似的特征。 這是我的一個(gè)學(xué)員發(fā)給我的，當(dāng)時(shí)他發(fā)現(xiàn)這7臺(tái)機(jī)器都有一個(gè)特殊的進(jìn)程，但是他的防病毒軟件沒有查出來。他手工解決了。 這很好說明用sniffer可以比防病毒軟件更快發(fā)現(xiàn)病毒，因?yàn)榉啦《拒浖呛笾笥X得，什么意思？防病毒軟件必須有相應(yīng)的特征才能查病毒。而sniffer通過流量可以發(fā)現(xiàn)一些特征，一些異常。 但是有一點(diǎn)，我們不能拿sniffer當(dāng)防病毒軟件用，那不是他的特長(zhǎng)，同時(shí)也太低沽sniffer的功能了（同學(xué)們笑） 好我們?cè)诳纯?/p>

54、掃描是怎么一回事，大家看這個(gè)trace file（范老師在演示，我就不寫了） 先是arp掃描，再端口掃描，接下來就是攻擊了。 （編者：接著我們做了一個(gè)游戲，范老師讓大家用sniffer攻擊他的機(jī)器，結(jié)果1臺(tái)機(jī)器就把他的機(jī)器搞死了，這個(gè)就不細(xì)說了） 好，我們?cè)倏吹谒膫€(gè)monitor功能，art，application response time，應(yīng)用響應(yīng)時(shí)間。 應(yīng)用響應(yīng)時(shí)間是分析應(yīng)用的一個(gè)很好工具，主要用來分析應(yīng)用的性能。 art是指一個(gè)客戶端發(fā)出一個(gè)請(qǐng)求，到服務(wù)器響應(yīng)回來的時(shí)間差。 一般來說，應(yīng)用響應(yīng)的快慢，是應(yīng)用性能的一個(gè)重要指標(biāo)。 應(yīng)用性能主要決定于幾個(gè)因素：網(wǎng)絡(luò)因素、服務(wù)器因素、客戶端因

55、素、應(yīng)用協(xié)議因素 我們先看看如何操作,再來看看應(yīng)用這個(gè)功能。 我們打開art，大家看到http的應(yīng)用響應(yīng)時(shí)間分析，這里有幾個(gè)列，server address,client address. 他是怎么知道誰(shuí)是server，誰(shuí)是client?其實(shí)也就是看端口號(hào)和ip的對(duì)應(yīng)關(guān)系，比如如果一個(gè)數(shù)據(jù)包的目的ip是，目的端口是80，sniffer就會(huì)認(rèn)為就是http服務(wù)器。對(duì)應(yīng)的源ip就是client。 avgrsp平均響應(yīng)時(shí)間 90%rsp90%響應(yīng)時(shí)間，去掉頭尾個(gè)5%，其實(shí)我個(gè)人覺得去掉最大的10%更合理一些。 還有最大最小的響應(yīng)時(shí)間，這些都是以毫秒為單位。 接著就是tot

56、alrsp,這個(gè)是響應(yīng)次數(shù)，單位是次。 接著是0到25毫秒的響應(yīng)有多少次，25到50毫秒的響應(yīng)有多少次。等等。 后面還有server發(fā)送子節(jié)數(shù)，client發(fā)送子節(jié)數(shù)，timeout次數(shù)等等，5秒不響應(yīng)則timeout。 我們?cè)倏纯丛趺丛黾悠渌麘?yīng)用，按屬性，選擇display protocol,添加你關(guān)心的協(xié)議，再確定，art會(huì)重新刷新（范老師在演示） 你看我這里就有了telnet,oracle。（同學(xué)們：我們沒有oracle) 我知道，其實(shí)平時(shí)我們更關(guān)心的是我們關(guān)鍵業(yè)務(wù)，所以我們要把我們關(guān)鍵業(yè)務(wù)的端口添加進(jìn)來，怎么添加？大家跟我來， 選菜單上的toolsoptionsprotocol，拉到下

57、面,添加一種應(yīng)用，比如oracle,端口1521。 再在屬性里把這個(gè)新協(xié)議選上，有了嗎？（跑去解答問題去了） 好，大家都做出來了，我們平常分析關(guān)鍵業(yè)務(wù)就行了，有一點(diǎn)要說明，一種業(yè)務(wù)可能有多個(gè)應(yīng)用，也就是多個(gè)端口，需要同時(shí)分析。 有些同學(xué)喜歡把所有well known的協(xié)議添加到協(xié)議列表里，我在共享目錄上有兩個(gè)注冊(cè)表注入工具，大家只要運(yùn)行以下就可以將這些常用端口都注入到協(xié)議列表里，就不用一個(gè)一個(gè)敲了。其實(shí)我個(gè)人覺得不太必要，多了反而亂。 大家打開注冊(cè)表，我們看一下協(xié)議列表，找到這兩項(xiàng)： hkey_local_machinesoftwarenetwork associates, inc.sniff

58、er4.71commonsettingsprotocolsip protocolstcp hkey_local_machinesoftwarenetwork associates, inc.sniffer4.71commonsettingsprotocolsip protocolsudp 這就是協(xié)議列表。注意不要有重復(fù)的，否則會(huì)報(bào)錯(cuò)。 （編者：這是范老師的板書） 應(yīng)用響應(yīng)時(shí)間是評(píng)估影響應(yīng)用性能因素的一種很好的工具。我們看這樣一個(gè)例子。 比如通過client通過廣域網(wǎng)連接到服務(wù)器。 我們同時(shí)在ab兩點(diǎn)部署sniffer，分析某一業(yè)務(wù)的響應(yīng)時(shí)間。 假設(shè)sniffer在a點(diǎn)，他所看到的響應(yīng)時(shí)間包括網(wǎng)