網(wǎng)絡(luò)抓包與分析培訓(xùn)

1、為什么要學(xué)習(xí)抓包和協(xié)議分析協(xié)議分析工具 進(jìn)行網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理，不僅要從宏觀上管理網(wǎng)絡(luò)的性能，還要從微觀上分析數(shù)據(jù)包的內(nèi)容，這樣才能確保網(wǎng)絡(luò)安全并且正常地運(yùn)行。 使用協(xié)議分析工具的目的，就是為了捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并對數(shù)據(jù)包中的比特進(jìn)行統(tǒng)計(jì)和分析。 宏觀上，可以進(jìn)行統(tǒng)計(jì)以確定網(wǎng)絡(luò)性能的基線。微觀上，可以從數(shù)據(jù)包分析中了解協(xié)議的實(shí)現(xiàn)情況、是否存在網(wǎng)絡(luò)攻擊行為等，為制定安全策略及進(jìn)行安全審計(jì)提供直接的依據(jù)。 如果黑客在網(wǎng)絡(luò)當(dāng)中使用協(xié)議分析工具，就是一種消極的安全攻擊。 1、故障分析定位 2、網(wǎng)絡(luò)質(zhì)量評估 3、入侵協(xié)議分層從網(wǎng)絡(luò)協(xié)議說起協(xié)議分層協(xié)議體系TCP/IP模型各層的功能 協(xié)議分析器概述

2、 協(xié)議分析器就是捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析的工具。從廣義上可以分為局域網(wǎng)分析器和廣域網(wǎng)分析器，也有的分析器既可以用于局域網(wǎng)又可以用于廣域網(wǎng)。 廣域網(wǎng)分析器用以捕獲分析PPP、幀中繼、ATM和其他鏈路上的數(shù)據(jù)，它采用特殊的接口卡來讀取從廣域網(wǎng)上下載的數(shù)據(jù)幀。廣域網(wǎng)分析器通常用一個“Y”形接頭連接到廣域網(wǎng)以便于捕獲流經(jīng)的數(shù)據(jù)流。 局域網(wǎng)分析器用來捕獲和顯示來自局域網(wǎng)的信息數(shù)據(jù)，這些局域網(wǎng)包括以太網(wǎng)、令牌環(huán)網(wǎng)和光纖分布式數(shù)據(jù)接口（FDDI）等。局域網(wǎng)分析器是通過集線器或者交換機(jī)連接到局域網(wǎng)網(wǎng)段上的。將局域網(wǎng)分析器連接到交換機(jī)時，需要進(jìn)行一些特殊的考慮。一般情況下，分析器只能捕獲經(jīng)過它所連接的端口的所

3、有數(shù)據(jù)。某些交換機(jī)可以配置監(jiān)視端口，把分析器接入到監(jiān)視端口就可以捕獲監(jiān)視流經(jīng)所有端口的數(shù)據(jù)。 常見的網(wǎng)絡(luò)分析器產(chǎn)品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科來協(xié)議分析、allot。 Sniffer公司目前主推硬件分析 還有免費(fèi)的Ethereal、Wireshark（原Ethereal作者自行開發(fā)的）協(xié)議分析器等。 另外，Windows中自己帶的網(wǎng)絡(luò)監(jiān)視器也可以抓取數(shù)據(jù)包進(jìn)行協(xié)議分析。 LINNUX中帶的TCPDUMP也可以抓取數(shù)據(jù)包進(jìn)行協(xié)議分析。協(xié)議分析器的特點(diǎn) 捕獲數(shù)據(jù)包 進(jìn)行協(xié)議分析的前提是要有捕獲的數(shù)據(jù)包，協(xié)議分析器可

4、以捕獲所有流經(jīng)其所控制的媒體的數(shù)據(jù)。高端的協(xié)議分析器還可以制定捕獲的計(jì)劃和觸發(fā)條件。 數(shù)據(jù)包統(tǒng)計(jì) 協(xié)議分析器可以對捕獲到的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析，根據(jù)時間、協(xié)議類型和錯誤率等進(jìn)行分析，甚至可以打印出各種直觀的圖表和報表。 過濾數(shù)據(jù) 大量的數(shù)據(jù)包的捕獲會消耗太多的系統(tǒng)資源，性能很低。協(xié)議分析器可以設(shè)置過濾，只捕獲滿足特定條件的數(shù)據(jù)包。根據(jù)大量捕獲結(jié)果排錯的時候，也需要能過濾無關(guān)的大量數(shù)據(jù)包，把最有用的數(shù)據(jù)包找出來。協(xié)議分析器往往有強(qiáng)大的過濾功能。 數(shù)據(jù)包解碼 捕獲的數(shù)據(jù)包的內(nèi)容就是0/1的比特流，協(xié)議分析器可以對這些比特流解碼，識別哪些部分是封裝的頭部信息，哪些是有效凈載荷。網(wǎng)絡(luò)通信協(xié)議非常多，好

5、的協(xié)議分析器能對各種協(xié)議數(shù)據(jù)包解碼。 讀取其他協(xié)議分析器的數(shù)據(jù)包格式 大部分協(xié)議分析器可以讀取顯示其他協(xié)議分析器捕獲的數(shù)據(jù)包文件。作為嗅探器的協(xié)議分析器 黑客使用協(xié)議分析器的時候，它就成了一種黑客工具，我們可以稱之為嗅探器。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報文。嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。嗅探是一種安靜的、消極的安全攻擊。 常見的危害有： 捕獲口令 這大概是絕大多數(shù)非法使用嗅探器的理由，嗅探器可以記錄明文傳送的

6、用戶名和密碼。 捕獲專用的或者機(jī)密的信息，比如金融賬號 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金賬號，然而嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、賬號和PIN。比如偷窺機(jī)密或敏感的信息數(shù)據(jù)，通過攔截?cái)?shù)據(jù)包，入侵者可以很方便地記錄別人之間敏感的信息傳送，或者干脆攔截整個的E-mail會話過程。 可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限 窺探低層的協(xié)議信息 抓包接入 共享網(wǎng)絡(luò) - 通過Hub連接上網(wǎng) 使用集線器（Hub）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)即為共享式網(wǎng)絡(luò)，集線器（Hub）以共享模式工作在OSI層次的物理層。如果您局域網(wǎng)的中心交換設(shè)備是集線器

7、（Hub），可將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在局域網(wǎng)中任意一臺主機(jī)上，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。 抓包接入 交換式網(wǎng)絡(luò) - 交換機(jī)具備管理功能（端口鏡像） 使用交換機(jī)（Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機(jī)（Switch）工作在OSI模型的數(shù)據(jù)鏈接層，交換機(jī)各端口之間能有效地分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會將整個網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機(jī)以及一部分二層交換機(jī)都具備端口鏡像功能，當(dāng)您網(wǎng)絡(luò)中的交換機(jī)具備此功能時，可在交換機(jī)上配置好端口鏡像（關(guān)于交換機(jī)鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機(jī)上方式 抓包接入

8、交換式網(wǎng)絡(luò) - 交換機(jī)具備管理功能（端口鏡像） 使用交換機(jī)（Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機(jī)（Switch）工作在OSI模型的數(shù)據(jù)鏈接層，交換機(jī)各端口之間能有效地分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會將整個網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機(jī)以及一部分二層交換機(jī)都具備端口鏡像功能，當(dāng)您網(wǎng)絡(luò)中的交換機(jī)具備此功能時，可在交換機(jī)上配置好端口鏡像（關(guān)于交換機(jī)鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機(jī)上方式 抓包接入 交換式網(wǎng)絡(luò) - 交換機(jī)不具備管理功能（無端口鏡像） 一般簡易型的交換機(jī)不具備管理功能，不能通過端口鏡像來實(shí)現(xiàn)網(wǎng)絡(luò)的監(jiān)控分析。如果您

9、的中心交換或網(wǎng)段的交換沒有端口鏡像功能，一般可采取串接集線器（Hub）或分接器（Tap）的方法進(jìn)行部署。如圖所示： 使用網(wǎng)絡(luò)分接器(Taps) 使用Tap時，成本較高，需要安裝雙網(wǎng)卡，并且在管理機(jī)器不能上網(wǎng)，如果要上網(wǎng)，需要再安裝另外的網(wǎng)卡。 用用集線器(Hub) Hub成本低，但網(wǎng)絡(luò)流量大時，性能不高，Tap即使在網(wǎng)絡(luò)流量高時，也對網(wǎng)絡(luò)性能不會造成任何影響， 接入方式對比常見的協(xié)議分析工具 主要功能如下： 為網(wǎng)絡(luò)協(xié)議分析捕獲網(wǎng)絡(luò)數(shù)據(jù)包 分析診斷網(wǎng)絡(luò)故障 實(shí)時監(jiān)控網(wǎng)絡(luò)的活動情況 收集單個工作站、會話、或者網(wǎng)絡(luò)中的任何一部分的詳細(xì)的網(wǎng)絡(luò)利用情況和錯誤統(tǒng)計(jì)； 保存網(wǎng)絡(luò)情況的歷史記錄和錯誤信息，建立

10、基線 當(dāng)檢測到網(wǎng)絡(luò)故障的時候，生成直觀的實(shí)時警報并通知網(wǎng)絡(luò)管理員 模擬網(wǎng)絡(luò)數(shù)據(jù)來探測網(wǎng)絡(luò)，衡量響應(yīng)時間，路由跳數(shù)計(jì)數(shù)，排錯 Microsoft Network Monitor Windows中自帶的組件網(wǎng)絡(luò)監(jiān)視器Network Monitor，其工作原理類似于其他協(xié)議。Network Monitor可以捕獲所有經(jīng)過指定的網(wǎng)絡(luò)接口的數(shù)據(jù)包，并進(jìn)行協(xié)議分析。使用網(wǎng)絡(luò)監(jiān)視器，可以發(fā)現(xiàn)網(wǎng)絡(luò)通信模式和網(wǎng)絡(luò)問題。例如，可以定位客戶端到服務(wù)器的連接問題，發(fā)現(xiàn)工作請求數(shù)目不成比例的計(jì)算機(jī)，以及發(fā)現(xiàn)網(wǎng)絡(luò)上未經(jīng)授權(quán)的用戶。系統(tǒng)自帶也可以下載：http:/ 這是個小巧的協(xié)議分析器，包含了對許多常用協(xié)議的分析解碼功能

11、。Ethereal也可以設(shè)置過濾器，以便于把真正用戶關(guān)心的數(shù)據(jù)捕獲并顯示出來。 已不用了！WireShark簡介 Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個強(qiáng)大的工具是世界上最流行的網(wǎng)絡(luò)分析工具。這個強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用也使用pcap network library來進(jìn)行封包捕捉。來進(jìn)行封包捕捉。wireshark的原名是的原名是Ethereal，新名字是，新名字是2006年起用的。當(dāng)時年起用的。

12、當(dāng)時Ethereal的主要開發(fā)的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，Wireshark這個新名字也就應(yīng)運(yùn)而生了。這個新名字也就應(yīng)運(yùn)而生了。 官方網(wǎng)站：官方網(wǎng)站：/3. DISPLAY FILTER（顯示過濾器） 顯示過濾器用于查找捕捉記錄中的內(nèi)容。請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細(xì)內(nèi)容。 4. PACKET LIST PANE（

13、封包列表） 封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的方的MAC/IP地址，地址，TCP/UDP端口號，協(xié)議或者封包的內(nèi)容。端口號，協(xié)議或者封包的內(nèi)容。 如果捕獲的是一個如果捕獲的是一個OSI layer 2的封包，您在的封包，您在Source（來源）和（來源）和Destination（目的地）列中看到的將是（目的地）列中看到的將是MAC地址，當(dāng)然，此時地址，當(dāng)然，此時Port（端口）列將會為空。（端口）列將會為空。 如果捕獲的是一個如果捕獲的是一個OSI layer 3或者更高層的封包，您在或者更高層的封包，您

14、在Source（來源）（來源）和和Destination（目的地）列中看到的將是（目的地）列中看到的將是IP地址。地址。Port（端口）列僅會（端口）列僅會在這個封包屬于第在這個封包屬于第4或者更高層時才會顯示?；蛘吒邔訒r才會顯示。 您可以在這里添加您可以在這里添加/刪除列或者改變各列的顏色：刪除列或者改變各列的顏色：Edit menu - Preferences PACKET DETAILS PANE（封包詳細(xì)信息） 這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的照不同的OSI layer進(jìn)行了分組，您可以展開每個項(xiàng)目查看。

15、進(jìn)行了分組，您可以展開每個項(xiàng)目查看。下面截圖中展開的是下面截圖中展開的是HTTP信息。信息。6. DISSECTOR PANE（16進(jìn)制數(shù)據(jù)） “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進(jìn)制數(shù)據(jù)查看面板進(jìn)制數(shù)據(jù)查看面板”。這。這里顯示的內(nèi)容與里顯示的內(nèi)容與“封包詳細(xì)信息封包詳細(xì)信息”中相同，只是改為以中相同，只是改為以16進(jìn)制進(jìn)制的格式表述。的格式表述。在上面的例子里，我們在在上面的例子里，我們在“封包詳細(xì)信息封包詳細(xì)信息”中選擇查看中選擇查看TCP端口端口（80），其對應(yīng)的），其對應(yīng)的16進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中（0050）。）。

16、MISCELLANOUS（雜項(xiàng)） 在程序的最下端，您可以獲得如下信息：在程序的最下端，您可以獲得如下信息：- 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開始或已經(jīng)停止。捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。已捕捉的數(shù)據(jù)量。- 已捕捉封包的數(shù)量。已捕捉封包的數(shù)量。(P)- 顯示的封包數(shù)量。顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封經(jīng)過顯示過濾器過濾后仍然顯示的封包包)- 被標(biāo)記的封包數(shù)量。被標(biāo)記的封包數(shù)量。(M) 非混雜模式及混雜模式下抓包 非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)

17、據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。 混雜模式指： WireShark能夠抓取主機(jī)所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包。過濾器 捕捉過濾器（捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器（顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。他們可以在得到捕捉結(jié)果后隨意修改。那么我應(yīng)該使用哪一種過濾器呢？那么我應(yīng)該使用哪一種過濾器呢？ 兩種過

18、濾器的目的是不同的。兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。日志文件中迅速準(zhǔn)確地找到所需要的記錄。 兩種過濾器使用的語法是完全不同的。兩種過濾器使用的語法是完全不同的。1. 捕捉過濾器 捕捉過濾器的語法與其它使用捕捉過濾器的語法與其它使用Lipcap（Linux）或者）或者Winpcap（Win

19、dows）庫開發(fā)的軟件一樣，比如著名的）庫開發(fā)的軟件一樣，比如著名的TCPdump。捕。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器是不同的。是不同的。 設(shè)置捕捉過濾器的步驟是：設(shè)置捕捉過濾器的步驟是： 選擇選擇 capture - options。 填寫填寫“capture filter”欄或者點(diǎn)擊欄或者點(diǎn)擊“capture filter”按鈕為您的過濾器起按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。中繼續(xù)使用這個過濾器。 點(diǎn)擊開始（點(diǎn)擊開始（Start）進(jìn)行捕捉。）進(jìn)行

20、捕捉。捕捉過濾器語法 Protocol（協(xié)議）（協(xié)議）:可能的值可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）（方向）:可能的值可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)作為關(guān)鍵字。鍵字。例如，例如，“h

21、ost ”與與“src or dst host ”是一樣的。是一樣的。語法語法 Protocol Direction Host(s) ValueLogical OperationsOther expression_r例子例子tcpdst80andtcp dst 3128捕捉過濾器語法 Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。例如，“src ”與“src host ”相同。 Logical Operations

22、（邏輯運(yùn)算）（邏輯運(yùn)算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級。或(or)和與(and)具有相同的優(yōu)先級，運(yùn)算時從左至右進(jìn)行。例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。捕捉過濾器語法舉例 tcp dst port 3128 顯示目的TCP端口為3128的封包。 ip src host 顯示來源IP地址

23、為的封包。 host 顯示目的或來源IP地址為的封包。 src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。捕捉過濾器語法舉例 not imcp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 2 and not dst net /16 顯示來源IP地址為2，但目的地不是/16的封包。 (src host 2 or src net /16)

24、 and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項(xiàng) 當(dāng)使用關(guān)鍵字作為值時，需使用反斜杠“”?！癳ther proto ip” (與關(guān)鍵字“ip”相同).這樣寫將會以IP協(xié)議作為目標(biāo)。 “ip proto icmp” (與關(guān)鍵字“icmp”相同).這樣寫將會以ping工具常用的icmp作為目標(biāo)。 可以在“ip”或“ether”后面使用“multicast”及“bro

25、adcast”關(guān)鍵字。 當(dāng)您想排除廣播請求時，no broadcast就會非常有用。 2. 顯示過濾器 通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。 顯示過濾器語法 Protocol（協(xié)議） 您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊“Expression.”按鈕后，您可以看到它們。 比如：IP，TCP，DNS，SSH語法語法Protocol String 1 String 2ComparisonoperatorValueLogicalOperationsOther

26、expression_r例子例子ftppassiveip=xoricmp.type顯示過濾器語法 您同樣可以在如下所示位置找到所支持的協(xié)議： 顯示過濾器語法 String1, String2 (可選項(xiàng)) 協(xié)議的子類。 點(diǎn)擊相關(guān)父類旁的+號，然后選擇其子類。 顯示過濾器語法 Comparison operators （比較運(yùn)算符） 可以使用6種比較運(yùn)算符：英文寫法： C語言寫法： 含義：eq = 等于ne!=不等于gt大于lt=大于等于le=小于等于顯示過濾器語法 Logical expression_rs（邏輯運(yùn)算符）（邏輯運(yùn)算符） 被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)

27、其被用在過濾器的兩個條件之間時，只有當(dāng)且僅當(dāng)其中的一個條件滿足時，這樣的結(jié)果才會被顯示在屏幕上。讓我們舉個例子：tcp.dstport 80 xor tcp.dstport 1025只有當(dāng)目的TCP端口為80或者來源于端口1025（但又不能同時滿足這兩點(diǎn)）時，這樣的封包才會被顯示。英文寫法： C語言寫法： 含義：and&邏輯與or|邏輯或xor邏輯異或not!邏輯非顯示過濾器語法舉例 snmp | dns | icmp 顯示顯示SNMP或或DNS或或ICMP封包。封包。 ip.addr = 顯示來源或目的顯示來源或目的IP地址為地址為的封包。的封包。

28、ip.src != or ip.dst != 顯示來源不為顯示來源不為或者目的不為或者目的不為的封包。的封包。換句話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了：除了以外任意；目的以外任意；目的IP：任意：任意以及來源以及來源IP：任意；目的：任意；目的IP：除了：除了以外任意以外任意 ip.src != and ip.dst != 顯示來源不為顯示來源不為并且目的并且目的IP不為不為的封包。的封包。換句

29、話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了：除了以外任意；同時須滿足，目的以外任意；同時須滿足，目的IP：除了：除了以外任意以外任意顯示過濾器語法舉例 tcp.port = 25 顯示來源或目的TCP端口號為25的封包。 tcp.dstport = 25 顯示目的TCP端口號為25的封包。 tcp.flags 顯示包含TCP標(biāo)志的封包。 tcp.flags.syn = 0 x02 顯示包含TCP SYN標(biāo)志的封包。如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤。 表達(dá)式正確表達(dá)式錯誤表達(dá)式正確表達(dá)式正確表達(dá)式

30、錯誤表達(dá)式錯誤網(wǎng)絡(luò)常見的ARP攻擊安全問題定位攻擊者收發(fā)比異常快速定位各種arp 攻擊 出現(xiàn)網(wǎng)絡(luò)故障，只要能快速定位診斷，就可以最快速的解決問題，減少損失。 網(wǎng)絡(luò)通訊分析通過對底層數(shù)據(jù)包的診斷，能最有效的找出問題的所在。 特點(diǎn)： 快速定位故障點(diǎn) 自動發(fā)現(xiàn)并提取問題 智能的專家建議，提供故障原因、可解決的辦法等按照網(wǎng)絡(luò)層次分類自動診斷發(fā)生地址根據(jù)不同類型級別顯示故障事件的詳細(xì)描述提供48種以上網(wǎng)絡(luò)故障診斷并且為每個故障提供閾值修改每個故障發(fā)生的原因發(fā)生沖突的兩個MAC事件的詳細(xì)描述提高網(wǎng)絡(luò)性能，才可以合理的利用網(wǎng)絡(luò)資源。性能分析有助于實(shí)現(xiàn)資源的合理分配；為規(guī)劃和調(diào)整網(wǎng)絡(luò)提供準(zhǔn)確依據(jù)。特點(diǎn)：提供精

31、確的性能分析數(shù)據(jù)，微秒級的數(shù)據(jù)響應(yīng)時間、時間差、相對時間等；各種協(xié)議的詳細(xì)統(tǒng)計(jì)深入到每個節(jié)點(diǎn)數(shù)據(jù)的分析每個應(yīng)用的會話情況微秒級定位時間4百多種協(xié)議的詳細(xì)解碼分析某IP的概要統(tǒng)計(jì)HTTP應(yīng)用的連接情況可以讓管理者了解每個端點(diǎn)、會話的通訊情況查看通訊數(shù)據(jù)，迅速定位異常端點(diǎn)和會話特點(diǎn)：多達(dá)22種端點(diǎn)統(tǒng)計(jì)參數(shù)端點(diǎn)與會話的完美組合TCP會話的時序圖呈現(xiàn)可視化的連接矩陣圖DNS/Email/FTP/HTTP日志分析持續(xù)時間最長的會話主機(jī)占用帶寬最大的通訊IP端點(diǎn)會話統(tǒng)計(jì)TCP標(biāo)志、負(fù)載可查看日志的詳細(xì)信息，并支持保存功能提供精確的流量分析數(shù)據(jù)，才可以使您解決廣播風(fēng)暴、網(wǎng)絡(luò)阻塞、帶寬非法占用、網(wǎng)絡(luò)濫用等問題

32、。特點(diǎn)：提供非常豐富的數(shù)據(jù)，42種以上的流量統(tǒng)計(jì)數(shù)據(jù)豐富的實(shí)時監(jiān)控圖提供每個主機(jī)的各種流量綁定IP與MAC流量對應(yīng)關(guān)系統(tǒng)計(jì)內(nèi)網(wǎng)流量、廣播/組播流量、私有流量可根據(jù)協(xié)議、物理、IP進(jìn)行瀏覽這是所有TCP會話的IP發(fā)送的流量接收的流量協(xié)議、重傳及亂序等右擊顯示更多參數(shù)總流量的歷史變化TCP會話的建立情況利用率的實(shí)時監(jiān)控SYN 個數(shù)的統(tǒng)計(jì)各種流量分析只有深入到協(xié)議，挖掘到數(shù)據(jù)包內(nèi)容才能真正掌握整個網(wǎng)絡(luò)通過數(shù)據(jù)包重組數(shù)據(jù)流，可以重現(xiàn)網(wǎng)絡(luò)通信內(nèi)容特點(diǎn)： 支持四百多種協(xié)議的解碼 對整個數(shù)據(jù)包內(nèi)容結(jié)構(gòu)的呈現(xiàn) 對數(shù)據(jù)流重組樹狀呈現(xiàn)各層協(xié)議各層報頭十六進(jìn)制顯示ASCII編碼顯示會話節(jié)點(diǎn)會話的數(shù)據(jù)流TCPDUMP

33、 命令參數(shù)-i: 指定網(wǎng)卡;-n:以數(shù)值方式顯示網(wǎng)絡(luò)地址及端口號;-s:snapshot長度，通常指定為0，即不做限制;-X:以16進(jìn)制方式顯示網(wǎng)絡(luò)包的內(nèi)容;-w:輸出到文件port n:指定監(jiān)聽的端口號n，如果不指定則監(jiān)聽所有端口;dst host:指定發(fā)送包的目的主機(jī);src host:指定發(fā)送包的源主機(jī);TCPDUMP tcpdump -ni eth0 -s 0 -X port 8080 and dst tcpdump -n -s 0 -w /sdcard/dopool.pcapTCPDUMP Android下的操作步驟 root手機(jī) 下載tcpdump執(zhí)行文件

34、 adb remount adb push D:tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:1.pcappingping大包丟包故障大包丟包故障 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境說明：1、辦公機(jī)器都屬于/24網(wǎng)段；2、辦公機(jī)器通過一個二層的接入交換機(jī)、光電轉(zhuǎn)換器接入集團(tuán)核心交換機(jī)。連接拓?fù)洌?故障

35、現(xiàn)象 Ping大包丟包嚴(yán)重 ping小包正常 前期使用單機(jī)ping大包未出現(xiàn)丟包現(xiàn)象故障前期簡單分析 鏈路測試、策略檢查均無異常，該故障非一般連通性故障 此類丟包問題，主要是需要定位出丟包的位置 可能故障點(diǎn)主要有：故障分析-分析方法 數(shù)據(jù)包分析法數(shù)據(jù)包分析法l對比分析法 在此次的故障解決過程中，我們主要使用對比分析法分析出將大數(shù)據(jù)包丟棄的中間設(shè)備或鏈路。主要通過專有的網(wǎng)絡(luò)分析工具（科來網(wǎng)絡(luò)分析系統(tǒng)）將故障時相應(yīng)的數(shù)據(jù)包捕獲下來進(jìn)行深度分析，并通過分析發(fā)現(xiàn)相應(yīng)的異常，從而定位故障原因的方法 主要指通過對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的對比，分析出數(shù)據(jù)包在傳輸過程中各個中間設(shè)備對數(shù)據(jù)包的相應(yīng)處理過程，包括更改

36、、丟棄和轉(zhuǎn)發(fā)等 故障分析過程-選取抓包故障點(diǎn) 在實(shí)際的分析過程中，我們需要考慮到抓包的方便性和相應(yīng)中間設(shè)備的功能特性選取數(shù)據(jù)包捕獲點(diǎn) 在這個故障環(huán)境下，我們主要選在接入交換機(jī)與核心交換機(jī)上抓取數(shù)據(jù)包故障分析過程-重現(xiàn)故障 在測試機(jī)器6上使用如下命令測試網(wǎng)絡(luò)的大包傳輸情況：ping -l 10000 t 。 我們可以簡單計(jì)算一下ping10000字節(jié)的大包在以太網(wǎng)中會被分成多少個分片：PING產(chǎn)生的產(chǎn)生的IP負(fù)載負(fù)載=10000(ping負(fù)載）+8（icmp頭長度）一個以太網(wǎng)一個以太網(wǎng)IP包的最大有效負(fù)載包的最大有效負(fù)載=1500（以太網(wǎng)MTU)-20（

37、IP包頭長度）=1480B 產(chǎn)生IP分片數(shù)的計(jì)算方式為： 10008/1480=6余1128，即一個1500B的icmp報文，5個1500B的ip分片包，1個1148B的ip分片包通過該測試命令重現(xiàn)了故障現(xiàn)象：大文件傳輸丟包情況較為嚴(yán)重。故障分析過程-抓包 我們分別在核心交換機(jī)6509、接入交換機(jī)上做端口鏡像（端口鏡像的詳細(xì)命令和過程在此不再描述），將其相應(yīng)鏈路的數(shù)據(jù)包鏡像到我們選取的監(jiān)聽口，我們再通過科來網(wǎng)絡(luò)分析系統(tǒng)捕獲相應(yīng)的數(shù)據(jù)包 故障分析過程-對比分析1.分析接入交換機(jī)上抓取的數(shù)據(jù)包1個1500字節(jié)icmp包5個1500字節(jié)ip分片包1個1148字節(jié)ip分片包接入交換機(jī)數(shù)據(jù)包分析結(jié)論lP

38、ing超時的原因?yàn)橹虚g某個大包在傳輸?shù)倪^程中 被丟棄了，導(dǎo)致接收端重組超時l接入交換機(jī)轉(zhuǎn)發(fā)了所有的分片包，即某個分片包不 是在接入交換機(jī)上丟棄的1個1500字節(jié)icmp包4個1500字節(jié)ip分片包故障分析過程-對比分析2.分析核心交換機(jī)6509上抓取的數(shù)據(jù)包1個1148字節(jié)ip分片包結(jié)論：這個被丟棄的某個分片在到達(dá)核心交換機(jī)6509前就被丟棄對比分析結(jié)果根據(jù)前面的對比分析，結(jié)合拓?fù)浣Y(jié)構(gòu)，我們可以知道，某個分片包是在接入交交換機(jī)轉(zhuǎn)發(fā)之后、核心交換機(jī)6509接收之前被丟棄的，那么可能被丟棄的位置只剩下光電轉(zhuǎn)換器了！在線視頻不定時異常中斷 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境故障

39、拓?fù)洌赫f明：1.VOD在線視頻是通過web頁面觀看的，通訊流全部使用HTTP的80端口傳輸數(shù)據(jù)2.客戶端與服務(wù)器是純路由環(huán)境下完成數(shù)據(jù)交互的故障現(xiàn)象 客戶端通過瀏覽器在線觀看VOD視頻時，不定時（有時幾分鐘、有時十幾分鐘，沒有規(guī)律）的出現(xiàn)中斷情況。 使用ping命令長時間測試VOD服務(wù)器的連通性，一直正常。 異常時，VOD服務(wù)器的web頁面訪問正常前期簡單分析 Ping命令測試正常，說明不存在連通性問題 不定時出現(xiàn)、無規(guī)律性說明應(yīng)該不是策略（時間控制等）原因?qū)е碌?其他應(yīng)用未反應(yīng)異常通過簡單分析，沒有什么明顯的突破口，此類故障應(yīng)屬于較高層次的故障，只能借助科來抓包分析來找突破口了客戶端抓包分析

40、可能原因首先在客戶端在線視頻時，開啟科來抓包，在故障出現(xiàn)后停止抓包，并分析故障時間段的數(shù)據(jù)包，看能否找到一些突破口。一般而言，這種應(yīng)用都是服務(wù)器向客戶端傳輸數(shù)據(jù)，而客戶端僅對服務(wù)器端發(fā)送確認(rèn)即可，這種確認(rèn)不包含任何的數(shù)據(jù)，其大小在填充完后只有64B而在故障發(fā)生時，我們竟然發(fā)現(xiàn)了客戶端向服務(wù)器發(fā)送的大小為70B的ackTCP選項(xiàng)字段導(dǎo)致的70B的ackTCP選項(xiàng)解碼1.選項(xiàng)字段解碼，顯示為客戶端使用的為SACK選項(xiàng)，其左右邊邊界都已表示出2.科來抓包顯示客戶端多次向服務(wù)器發(fā)送帶SACK選項(xiàng)的ACK包3.通過科來解碼，顯示SACK左左邊界內(nèi)容一致4.顯示客戶端沒有收到來自服務(wù)器的某個數(shù)據(jù)段服務(wù)器端

41、抓包確認(rèn)問題原因1.查看服務(wù)器端是否收到客戶端的帶有SACK選項(xiàng)的ACK報文2.查看服務(wù)器端是否重傳了客戶端未收到的數(shù)據(jù)段3.通過查看服務(wù)器給客戶端傳輸數(shù)據(jù)的次序與序列號，我們可以看出服務(wù)器重傳了客戶端未收到的數(shù)據(jù)包可能故障點(diǎn)可能故障點(diǎn)通過前面的深入分析，我們可以知道，客戶端由于沒有收到某段來自服務(wù)器的數(shù)據(jù)，導(dǎo)致了在線電影視頻的異常中斷，但是客戶端向服務(wù)器端發(fā)送看帶有SACK選項(xiàng)的ACK報文，告知服務(wù)器端重傳其未收到的數(shù)據(jù)段，服務(wù)器端收到了這個重傳信息，也重傳了客戶端要求的數(shù)據(jù)段，但客戶端還是未收到，可見，該故障與端系統(tǒng)無關(guān)，是中間系統(tǒng)導(dǎo)致的，接下來明確中間系統(tǒng)可能故障點(diǎn)：由于交換機(jī)丟棄數(shù)據(jù)包的可能性極小，因此