網(wǎng)絡抓包與分析培訓

1、為什么要學習抓包和協(xié)議分析協(xié)議分析工具 進行網(wǎng)絡管理和網(wǎng)絡平安管理，不僅要從宏觀上管理網(wǎng)絡的性能，還要從微觀上分析數(shù)據(jù)包的內(nèi)容，這樣才能確保網(wǎng)絡平安并且正常地運行。 使用協(xié)議分析工具的目的，就是為了捕獲網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包并對數(shù)據(jù)包中的比特進行統(tǒng)計和分析。 宏觀上，可以進行統(tǒng)計以確定網(wǎng)絡性能的基線。微觀上，可以從數(shù)據(jù)包分析中了解協(xié)議的實現(xiàn)情況、是否存在網(wǎng)絡攻擊行為等，為制定平安策略及進行平安審計提供直接的依據(jù)。 如果黑客在網(wǎng)絡當中使用協(xié)議分析工具，就是一種消極的平安攻擊。 1、故障分析定位 2、網(wǎng)絡質(zhì)量評估 3、入侵協(xié)議分層從網(wǎng)絡協(xié)議說起協(xié)議分層協(xié)議體系TCP/IP模型各層的功能 協(xié)議分析器概述

2、 協(xié)議分析器就是捕獲網(wǎng)絡數(shù)據(jù)包進行協(xié)議分析的工具。從廣義上可以分為局域網(wǎng)分析器和廣域網(wǎng)分析器，也有的分析器既可以用于局域網(wǎng)又可以用于廣域網(wǎng)。 廣域網(wǎng)分析器用以捕獲分析PPP、幀中繼、ATM和其他鏈路上的數(shù)據(jù)，它采用特殊的接口卡來讀取從廣域網(wǎng)上下載的數(shù)據(jù)幀。廣域網(wǎng)分析器通常用一個“Y形接頭連接到廣域網(wǎng)以便于捕獲流經(jīng)的數(shù)據(jù)流。 局域網(wǎng)分析器用來捕獲和顯示來自局域網(wǎng)的信息數(shù)據(jù)，這些局域網(wǎng)包括以太網(wǎng)、令牌環(huán)網(wǎng)和光纖分布式數(shù)據(jù)接口FDDI等。局域網(wǎng)分析器是通過集線器或者交換機連接到局域網(wǎng)網(wǎng)段上的。將局域網(wǎng)分析器連接到交換機時，需要進行一些特殊的考慮。一般情況下，分析器只能捕獲經(jīng)過它所連接的端口的所有數(shù)據(jù)

3、。某些交換機可以配置監(jiān)視端口，把分析器接入到監(jiān)視端口就可以捕獲監(jiān)視流經(jīng)所有端口的數(shù)據(jù)。 常見的網(wǎng)絡分析器產(chǎn)品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科來協(xié)議分析、allot。 Sniffer公司目前主推硬件分析 還有免費的Ethereal、Wireshark原Ethereal作者自行開發(fā)的協(xié)議分析器等。 另外，Windows中自己帶的網(wǎng)絡監(jiān)視器也可以抓取數(shù)據(jù)包進行協(xié)議分析。 LINNUX中帶的TCPDUMP也可以抓取數(shù)據(jù)包進行協(xié)議分析。協(xié)議分析器的特點 捕獲數(shù)據(jù)包 進行協(xié)議分析的前提是要有捕獲的數(shù)據(jù)包，協(xié)議分析器可以捕獲所有

4、流經(jīng)其所控制的媒體的數(shù)據(jù)。高端的協(xié)議分析器還可以制定捕獲的方案和觸發(fā)條件。 數(shù)據(jù)包統(tǒng)計 協(xié)議分析器可以對捕獲到的數(shù)據(jù)包進行統(tǒng)計和分析，根據(jù)時間、協(xié)議類型和錯誤率等進行分析，甚至可以打印出各種直觀的圖表和報表。 過濾數(shù)據(jù) 大量的數(shù)據(jù)包的捕獲會消耗太多的系統(tǒng)資源，性能很低。協(xié)議分析器可以設置過濾，只捕獲滿足特定條件的數(shù)據(jù)包。根據(jù)大量捕獲結(jié)果排錯的時候，也需要能過濾無關(guān)的大量數(shù)據(jù)包，把最有用的數(shù)據(jù)包找出來。協(xié)議分析器往往有強大的過濾功能。 數(shù)據(jù)包解碼 捕獲的數(shù)據(jù)包的內(nèi)容就是0/1的比特流，協(xié)議分析器可以對這些比特流解碼，識別哪些局部是封裝的頭部信息，哪些是有效凈載荷。網(wǎng)絡通信協(xié)議非常多，好的協(xié)議分析

5、器能對各種協(xié)議數(shù)據(jù)包解碼。 讀取其他協(xié)議分析器的數(shù)據(jù)包格式 大局部協(xié)議分析器可以讀取顯示其他協(xié)議分析器捕獲的數(shù)據(jù)包文件。作為嗅探器的協(xié)議分析器 黑客使用協(xié)議分析器的時候，它就成了一種黑客工具，我們可以稱之為嗅探器。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器那么捕獲真實的網(wǎng)絡報文。嗅探器工作在網(wǎng)絡環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡狀態(tài)和整體布局。嗅探是一種安靜的、消極的平安攻擊。 常見的危害有： 捕獲口令 這大概是絕大多數(shù)非法使用嗅探器的理由，嗅探器可以記錄明文傳送的用戶名和

6、密碼。 捕獲專用的或者機密的信息，比方金融賬號 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金賬號，然而嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、賬號和PIN。比方偷窺機密或敏感的信息數(shù)據(jù)，通過攔截數(shù)據(jù)包，入侵者可以很方便地記錄別人之間敏感的信息傳送，或者干脆攔截整個的E-mail會話過程。 可以用來危害網(wǎng)絡鄰居的平安，或者用來獲取更高級別的訪問權(quán)限 窺探低層的協(xié)議信息 抓包接入 共享網(wǎng)絡 - 通過Hub連接上網(wǎng) 使用集線器Hub作為網(wǎng)絡中心交換設備的網(wǎng)絡即為共享式網(wǎng)絡，集線器Hub以共享模式工作在OSI層次的物理層。如果您局域網(wǎng)的中心交換設備是集線器Hub，可將科來

7、網(wǎng)絡分析系統(tǒng)可安裝在局域網(wǎng)中任意一臺主機上，此時科來網(wǎng)絡分析系統(tǒng)可以捕獲整個網(wǎng)絡中所有的數(shù)據(jù)通訊。 抓包接入 交換式網(wǎng)絡 - 交換機具備管理功能端口鏡像 使用交換機Switch作為網(wǎng)絡的中心交換設備的網(wǎng)絡即為交換式網(wǎng)絡。交換機Switch工作在OSI模型的數(shù)據(jù)鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網(wǎng)絡會將整個網(wǎng)絡分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機以及一局部二層交換機都具備端口鏡像功能，當您網(wǎng)絡中的交換機具備此功能時，可在交換機上配置好端口鏡像關(guān)于交換機鏡像端口，再將科來網(wǎng)絡分析系統(tǒng)可安裝在連接鏡像端口的主機上方式 抓包接入 交換式網(wǎng)絡 - 交換機具備管理功能端

8、口鏡像 使用交換機Switch作為網(wǎng)絡的中心交換設備的網(wǎng)絡即為交換式網(wǎng)絡。交換機Switch工作在OSI模型的數(shù)據(jù)鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網(wǎng)絡會將整個網(wǎng)絡分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機以及一局部二層交換機都具備端口鏡像功能，當您網(wǎng)絡中的交換機具備此功能時，可在交換機上配置好端口鏡像關(guān)于交換機鏡像端口，再將科來網(wǎng)絡分析系統(tǒng)可安裝在連接鏡像端口的主機上方式 抓包接入 交換式網(wǎng)絡 - 交換機不具備管理功能無端口鏡像 一般簡易型的交換機不具備管理功能，不能通過端口鏡像來實現(xiàn)網(wǎng)絡的監(jiān)控分析。如果您的中心交換或網(wǎng)段的交換沒有端口鏡像功能，一般可采取串接集

9、線器Hub或分接器Tap的方法進行部署。如下圖： 使用網(wǎng)絡分接器(Taps) 使用Tap時，本錢較高，需要安裝雙網(wǎng)卡，并且在管理機器不能上網(wǎng)，如果要上網(wǎng)，需要再安裝另外的網(wǎng)卡。 用集線器(Hub) Hub本錢低，但網(wǎng)絡流量大時，性能不高，Tap即使在網(wǎng)絡流量高時，也對網(wǎng)絡性能不會造成任何影響， 接入方式比照常見的協(xié)議分析工具 主要功能如下： 為網(wǎng)絡協(xié)議分析捕獲網(wǎng)絡數(shù)據(jù)包 分析診斷網(wǎng)絡故障 實時監(jiān)控網(wǎng)絡的活動情況 收集單個工作站、會話、或者網(wǎng)絡中的任何一局部的詳細的網(wǎng)絡利用情況和錯誤統(tǒng)計； 保存網(wǎng)絡情況的歷史記錄和錯誤信息，建立基線 當檢測到網(wǎng)絡故障的時候，生成直觀的實時警報并通知網(wǎng)絡管理員 模

10、擬網(wǎng)絡數(shù)據(jù)來探測網(wǎng)絡，衡量響應時間，路由跳數(shù)計數(shù)，排錯 Microsoft Network MonitorEthereal 這是個小巧的協(xié)議分析器，包含了對許多常用協(xié)議的分析解碼功能。Ethereal也可以設置過濾器，以便于把真正用戶關(guān)心的數(shù)據(jù)捕獲并顯示出來。 已不用了！WireShark簡介3. DISPLAY FILTER顯示過濾器 顯示過濾器用于查找捕捉記錄中的內(nèi)容。請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細內(nèi)容。 4. PACKET LIST PANE封包列表 封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收封包列表中顯示所有已經(jīng)捕獲

11、的封包。在這里您可以看到發(fā)送或接收方的方的MAC/IP地址，地址，TCP/UDP端口號，協(xié)議或者封包的內(nèi)容。端口號，協(xié)議或者封包的內(nèi)容。 如果捕獲的是一個如果捕獲的是一個OSI layer 2的封包，您在的封包，您在Source來源和來源和Destination目的地列中看到的將是目的地列中看到的將是MAC地址，當然，此時地址，當然，此時Port端口列將會為空。端口列將會為空。 如果捕獲的是一個如果捕獲的是一個OSI layer 3或者更高層的封包，您在或者更高層的封包，您在Source來源來源和和Destination目的地列中看到的將是目的地列中看到的將是IP地址。地址。Port端口列僅會

12、端口列僅會在這個封包屬于第在這個封包屬于第4或者更高層時才會顯示?；蛘吒邔訒r才會顯示。 您可以在這里添加您可以在這里添加/刪除列或者改變各列的顏色：刪除列或者改變各列的顏色：Edit menu - Preferences PACKET DETAILS PANE封包詳細信息 這里顯示的是在封包列表中被選中工程的詳細信息。信息按這里顯示的是在封包列表中被選中工程的詳細信息。信息按照不同的照不同的OSI layer進行了分組，您可以展開每個工程查看。進行了分組，您可以展開每個工程查看。下面截圖中展開的是下面截圖中展開的是HTTP信息。信息。6. DISSECTOR PANE16進制數(shù)據(jù) “解析器在

13、解析器在Wireshark中也被叫做中也被叫做“16進制數(shù)據(jù)查看面板。進制數(shù)據(jù)查看面板。這里顯示的內(nèi)容與這里顯示的內(nèi)容與“封包詳細信息中相同，只是改為以封包詳細信息中相同，只是改為以16進制的格式表述。進制的格式表述。在上面的例子里，我們在在上面的例子里，我們在“封包詳細信息中選擇查看封包詳細信息中選擇查看TCP端端口口80，其對應的，其對應的16進制數(shù)據(jù)將自動顯示在下面的面板中進制數(shù)據(jù)將自動顯示在下面的面板中0050。MISCELLANOUS雜項 在程序的最下端，您可以獲得如下信息：在程序的最下端，您可以獲得如下信息：- 正在進行捕捉的網(wǎng)絡設備。正在進行捕捉的網(wǎng)絡設備。- 捕捉是否已經(jīng)開始或

14、已經(jīng)停止。捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。已捕捉的數(shù)據(jù)量。- 已捕捉封包的數(shù)量。已捕捉封包的數(shù)量。(P)- 顯示的封包數(shù)量。顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封經(jīng)過顯示過濾器過濾后仍然顯示的封包包)- 被標記的封包數(shù)量。被標記的封包數(shù)量。(M) 非混雜模式及混雜模式下抓包 非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。 混雜模式指： WireShark能夠抓取主機所在局域網(wǎng)內(nèi)的全部網(wǎng)絡包，即接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機的包。過濾器 捕捉過濾器捕

15、捉過濾器CaptureFilters：用于決定將什么樣的信息記：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設置。錄在捕捉結(jié)果中。需要在開始捕捉前設置。顯示過濾器顯示過濾器DisplayFilters：在捕捉結(jié)果中進行詳細查找。：在捕捉結(jié)果中進行詳細查找。他們可以在得到捕捉結(jié)果后隨意修改。他們可以在得到捕捉結(jié)果后隨意修改。那么我應該使用哪一種過濾器呢？那么我應該使用哪一種過濾器呢？ 兩種過濾器的目的是不同的。兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以防止產(chǎn)生過大的日志文件。據(jù)的數(shù)量，

16、以防止產(chǎn)生過大的日志文件。顯示過濾器是一種更為強大復雜的過濾器。它允許您在顯示過濾器是一種更為強大復雜的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。日志文件中迅速準確地找到所需要的記錄。 兩種過濾器使用的語法是完全不同的。兩種過濾器使用的語法是完全不同的。1. 捕捉過濾器 捕捉過濾器的語法與其它使用捕捉過濾器的語法與其它使用LipcapLinux或者或者WinpcapWindows庫開發(fā)的軟件一樣，比方著名的庫開發(fā)的軟件一樣，比方著名的TCPdump。捕。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。是不同的。

17、設置捕捉過濾器的步驟是：設置捕捉過濾器的步驟是： 選擇選擇 capture - options。 填寫填寫“capture filter欄或者點擊欄或者點擊“capture filter按鈕為您的過濾按鈕為您的過濾器起一個名字并保存，以便在今后器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。的捕捉中繼續(xù)使用這個過濾器。 點擊開始點擊開始Start進行捕捉。進行捕捉。捕捉過濾器語法 Protocol協(xié)議協(xié)議:可能的值可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明

18、是什么協(xié)議，那么默認使用所有支持的協(xié)議。如果沒有特別指明是什么協(xié)議，那么默認使用所有支持的協(xié)議。 Direction方向方向:可能的值可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，那么默認使用如果沒有特別指明來源或目的地，那么默認使用 “src or dst 作為作為關(guān)鍵字。關(guān)鍵字。例如，例如，“host 與與“src or dst host 是一樣的。是一樣的。語法語法 Protocol Direction Host(s) ValueLogical OperationsOther expressio

19、n_r例子例子tcpdst80andtcp dst 3128捕捉過濾器語法 Host(s):可能的值：可能的值： net, port, host, portrange.如果沒有指定此值，那么默認使用如果沒有指定此值，那么默認使用“host關(guān)鍵字。關(guān)鍵字。例如，例如，“src 與與“src host 相同。相同。 Logical Operations邏輯運算邏輯運算:可能的值：可能的值：not, and, or.否否(not)具有最高的優(yōu)先級?；蚓哂凶罡叩膬?yōu)先級?；?or)和與和與(and)具有相同具有相同的優(yōu)先級，運算時從左至右

20、進行。的優(yōu)先級，運算時從左至右進行。例如，例如，not tcp port 3128 and tcp port 23與與(not tcp port 3128) and tcp port 23相同。相同。not tcp port 3128 and tcp port 23與與not (tcp port 3128 and tcp port 23)不同。不同。捕捉過濾器語法舉例 tcp dst port 3128 顯示目的TCP端口為3128的封包。 顯示來源IP地址為的封包。 顯示目的或來源IP地址為的封包。 src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在200

21、0至2500范圍內(nèi)的封包。捕捉過濾器語法舉例 not imcp 顯示除了顯示除了icmp以外的所有封包。以外的所有封包。icmp通常被通常被ping工具使工具使用用 顯示來源顯示來源IP地址為，但目的地不是的封包。地址為，但目的地不是的封包。 顯示來源顯示來源IP為或者來源網(wǎng)絡為，目的地為或者來源網(wǎng)絡為，目的地TCP端口號在端口號在200至至10000之間，并且目的位于網(wǎng)絡內(nèi)的所有封包。之間，并且目的位于網(wǎng)絡內(nèi)的所有封包。本卷須知 當使用關(guān)鍵字作為值時，需使用反斜杠“。“ether proto ip (與關(guān)鍵字“ip相同).這樣寫將會以IP協(xié)議作為目標。 “ip proto icmp (與關(guān)鍵

22、字“icmp相同).這樣寫將會以ping工具常用的icmp作為目標。 可以在“ip或“ether后面使用“multicast及“broadcast關(guān)鍵字。 當您想排除播送請求時，no broadcast就會非常有用。 2. 顯示過濾器 通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。它的功能比捕捉過濾器更為強大，而且在您想修改正濾器條件時，并不需要重新捕捉一次。 顯示過濾器語法 Protocol協(xié)議 您可以使用大量位于OSI模型第2至7層的協(xié)議。點擊“Expression.按鈕后，您可以看到它們。 比方：IP，TCP，DNS，SSH語法語法Protocol

23、 String 1 String 2ComparisonoperatorValueLogicalOperationsOtherexpression_r例子例子ftppassiveip=xoricmp.type顯示過濾器語法 您同樣可以在如下所示位置找到所支持的協(xié)議： 顯示過濾器語法 String1, String2 (可選項) 協(xié)議的子類。 點擊相關(guān)父類旁的+號，然后選擇其子類。 顯示過濾器語法 Comparison operators 比較運算符 可以使用6種比較運算符：英文寫法： C語言寫法： 含義：eq = 等于ne!=不等于gt大于lt=大于等于le=小于等于顯示過濾器

24、語法 Logical expression_rs邏輯運算符邏輯運算符 被程序員們熟知的邏輯異或是一種排除性的或。當其被用在被程序員們熟知的邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時，只有當且僅當其中的一個條件滿過濾器的兩個條件之間時，只有當且僅當其中的一個條件滿足時，這樣的結(jié)果才會被顯示在屏幕上。足時，這樣的結(jié)果才會被顯示在屏幕上。讓我們舉個例子：讓我們舉個例子：tcp.dstport 80 xor tcp.dstport 1025只有當目的只有當目的TCP端口為端口為80或者來源于端口或者來源于端口1025但又不能同時但又不能同時滿足這兩點時，這樣的封包才會被顯示。滿足這兩點

25、時，這樣的封包才會被顯示。英文寫法： C語言寫法： 含義：and&邏輯與or|邏輯或xor邏輯異或not!邏輯非顯示過濾器語法舉例 snmp | dns | icmp 顯示顯示SNMP或或DNS或或ICMP封包。封包。 顯示來源或目的顯示來源或目的IP地址為的封包。地址為的封包。 顯示來源不為或者目的不為的封包。顯示來源不為或者目的不為的封包。換句話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了以外任意；目的：除了以外任意；目的IP：任意：任意以及來源以及來源IP：任意；目的：任意；目的IP：除了以外任意：除了以外任意 顯示來源不為并且目的顯示來源不為并且目的IP

26、不為的封包。不為的封包。換句話說，顯示的封包將會為：換句話說，顯示的封包將會為：來源來源IP：除了以外任意；同時須滿足，目的：除了以外任意；同時須滿足，目的IP：除了以外任意：除了以外任意顯示過濾器語法舉例 tcp.port = 25 顯示來源或目的TCP端口號為25的封包。 tcp.dstport = 25 顯示目的TCP端口號為25的封包。 顯示包含TCP標志的封包。 tcp.flags.syn = 0 x02 顯示包含TCP SYN標志的封包。如果過濾器的語法是正確的，表達式的背景呈綠色。如果呈紅色，說明表達式有誤。 表達式正確表達式錯誤表達式正確表達式正確表達式錯誤表達式錯誤網(wǎng)絡常見的

27、ARP攻擊平安問題定位攻擊者收發(fā)比異?？焖俣ㄎ桓鞣Narp 攻擊 出現(xiàn)網(wǎng)絡故障，只要能快速定位診斷，就可以最快速的解決問題，減少損失。 網(wǎng)絡通訊分析通過對底層數(shù)據(jù)包的診斷，能最有效的找出問題的所在。 特點： 快速定位故障點 自動發(fā)現(xiàn)并提取問題 智能的專家建議，提供故障原因、可解決的方法等按照網(wǎng)絡層次分類自動診斷發(fā)生地址根據(jù)不同類型級別顯示故障事件的詳細描述提供48種以上網(wǎng)絡故障診斷并且為每個故障提供閾值修改每個故障發(fā)生的原因發(fā)生沖突的兩個MAC事件的詳細描述提高網(wǎng)絡性能，才可以合理的利用網(wǎng)絡資源。性能分析有助于實現(xiàn)資源的合理分配；為規(guī)劃和調(diào)整網(wǎng)絡提供準確依據(jù)。特點：提供精確的性能分析數(shù)據(jù)，微秒級

28、的數(shù)據(jù)響應時間、時間差、相對時間等；各種協(xié)議的詳細統(tǒng)計深入到每個節(jié)點數(shù)據(jù)的分析每個應用的會話情況微秒級定位時間4百多種協(xié)議的詳細解碼分析某IP的概要統(tǒng)計HTTP應用的連接情況可以讓管理者了解每個端點、會話的通訊情況查看通訊數(shù)據(jù)，迅速定位異常端點和會話特點：多達22種端點統(tǒng)計參數(shù)端點與會話的完美組合TCP會話的時序圖呈現(xiàn)可視化的連接矩陣圖DNS/Email/FTP/HTTP日志分析持續(xù)時間最長的會話主機占用帶寬最大的通訊IP端點會話統(tǒng)計TCP標志、負載可查看日志的詳細信息，并支持保存功能提供精確的流量分析數(shù)據(jù)，才可以使您解決播送風暴、網(wǎng)絡阻塞、帶寬非法占用、網(wǎng)絡濫用等問題。特點：提供非常豐富的數(shù)

29、據(jù)，42種以上的流量統(tǒng)計數(shù)據(jù)豐富的實時監(jiān)控圖提供每個主機的各種流量綁定IP與MAC流量對應關(guān)系統(tǒng)計內(nèi)網(wǎng)流量、播送/組播流量、私有流量可根據(jù)協(xié)議、物理、IP進行瀏覽這是所有TCP會話的IP發(fā)送的流量接收的流量協(xié)議、重傳及亂序等右擊顯示更多參數(shù)總流量的歷史變化TCP會話的建立情況利用率的實時監(jiān)控SYN 個數(shù)的統(tǒng)計各種流量分析只有深入到協(xié)議，挖掘到數(shù)據(jù)包內(nèi)容才能真正掌握整個網(wǎng)絡通過數(shù)據(jù)包重組數(shù)據(jù)流，可以重現(xiàn)網(wǎng)絡通信內(nèi)容特點： 支持四百多種協(xié)議的解碼 對整個數(shù)據(jù)包內(nèi)容結(jié)構(gòu)的呈現(xiàn) 對數(shù)據(jù)流重組樹狀呈現(xiàn)各層協(xié)議各層報頭十六進制顯示ASCII編碼顯示會話節(jié)點會話的數(shù)據(jù)流TCPDUMP 命令參數(shù) -i: 指定

30、網(wǎng)卡; -n:以數(shù)值方式顯示網(wǎng)絡地址及端口號; -s:snapshot長度，通常指定為0，即不做限制; -X:以16進制方式顯示網(wǎng)絡包的內(nèi)容; -w:輸出到文件 port n:指定監(jiān)聽的端口號n，如果不指定那么監(jiān)聽所有端口; dst host:指定發(fā)送包的目的主機; src host:指定發(fā)送包的源主機;TCPDUMP TCPDUMP Android下的操作步驟 root 下載tcpdump執(zhí)行文件 adb remount adb push D:tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdumppingpi

31、ng大包丟包故障大包丟包故障 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境說明：1、辦公機器都屬于網(wǎng)段；2、辦公機器通過一個二層的接入交換機、光電轉(zhuǎn)換器接入集團核心交換機。連接拓撲： 故障現(xiàn)象 Ping大包丟包嚴重 ping小包正常 前期使用單機ping大包未出現(xiàn)丟包現(xiàn)象故障前期簡單分析 鏈路測試、策略檢查均無異常，該故障非一般連通性故障 此類丟包問題，主要是需要定位出丟包的位置 可能故障點主要有：故障分析-分析方法 數(shù)據(jù)包分析法數(shù)據(jù)包分析法 比照分析法 在此次的故障解決過程中，我們主要使用比照分析法分析出將大數(shù)據(jù)包丟棄的中間設備或鏈路。主要通過專有的網(wǎng)絡分析工具科來網(wǎng)絡分析系統(tǒng)將

32、故障時相應的數(shù)據(jù)包捕獲下來進行深度分析，并通過分析發(fā)現(xiàn)相應的異常，從而定位故障原因的方法 主要指通過對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包的比照，分析出數(shù)據(jù)包在傳輸過程中各個中間設備對數(shù)據(jù)包的相應處理過程，包括更改、丟棄和轉(zhuǎn)發(fā)等 故障分析過程-選取抓包故障點 在實際的分析過程中，我們需要考慮到抓包的方便性和相應中間設備的功能特性選取數(shù)據(jù)包捕獲點 在這個故障環(huán)境下，我們主要選在接入交換機與核心交換機上抓取數(shù)據(jù)包故障分析過程-重現(xiàn)故障 在測試機器上使用如下命令測試網(wǎng)絡的大包傳輸情況：ping -l 10000 t 。 我們可以簡單計算一下ping10000字節(jié)的大包在以太網(wǎng)中會被分成多少個分片：

33、 PING產(chǎn)生的IP負載=10000(ping負載+8icmp頭長度 一個以太網(wǎng)IP包的最大有效負載=1500以太網(wǎng)MTU)-20IP包頭長度=1480B 產(chǎn)生IP分片數(shù)的計算方式為： 10008/1480=6余1128，即一個1500B的icmp報文，5個1500B的ip分片包，1個1148B的ip分片包通過該測試命令重現(xiàn)了故障現(xiàn)象：大文件傳輸丟包情況較為嚴重。故障分析過程-抓包 我們分別在核心交換機6509、接入交換機上做端口鏡像端口鏡像的詳細命令和過程在此不再描述，將其相應鏈路的數(shù)據(jù)包鏡像到我們選取的監(jiān)聽口，我們再通過科來網(wǎng)絡分析系統(tǒng)捕獲相應的數(shù)據(jù)包 故障分析過程-比照分析1.分析接入交

34、換機上抓取的數(shù)據(jù)包1個1500字節(jié)icmp包5個1500字節(jié)ip分片包1個1148字節(jié)ip分片包接入交換機數(shù)據(jù)包分析結(jié)論lPing超時的原因為中間某個大包在傳輸?shù)倪^程中 被丟棄了，導致接收端重組超時l接入交換機轉(zhuǎn)發(fā)了所有的分片包，即某個分片包不 是在接入交換機上丟棄的1個1500字節(jié)icmp包4個1500字節(jié)ip分片包故障分析過程-比照分析2.分析核心交換機6509上抓取的數(shù)據(jù)包1個1148字節(jié)ip分片包結(jié)論：這個被丟棄的某個分片在到達核心交換機6509前就被丟棄比照分析結(jié)果根據(jù)前面的比照分析，結(jié)合拓撲結(jié)構(gòu)，我們可以知道，某個分片包是在接入交交換機轉(zhuǎn)發(fā)之后、核心交換機6509接收之前被丟棄的，

35、那么可能被丟棄的位置只剩下光電轉(zhuǎn)換器了！在線視頻不定時異常中斷 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境故障拓撲：說明：在線視頻是通過web頁面觀看的，通訊流全部使用HTTP的80端口傳輸數(shù)據(jù)2.客戶端與效勞器是純路由環(huán)境下完成數(shù)據(jù)交互的故障現(xiàn)象 客戶端通過瀏覽器在線觀看VOD視頻時，不定時有時幾分鐘、有時十幾分鐘，沒有規(guī)律的出現(xiàn)中斷情況。 使用ping命令長時間測試VOD效勞器的連通性，一直正常。 異常時，VOD效勞器的web頁面訪問正常前期簡單分析 Ping命令測試正常，說明不存在連通性問題 不定時出現(xiàn)、無規(guī)律性說明應該不是策略時間控制等原因?qū)е碌?其他應用未反響異常通過簡

36、單分析，沒有什么明顯的突破口，此類故障應屬于較高層次的故障，只能借助科來抓包分析來找突破口了客戶端抓包分析可能原因首先在客戶端在線視頻時，開啟科來抓包，在故障出現(xiàn)后停止抓包，并分析故障時間段的數(shù)據(jù)包，看能否找到一些突破口。一般而言，這種應用都是效勞器向客戶端傳輸數(shù)據(jù)，而客戶端僅對效勞器端發(fā)送確認即可，這種確認不包含任何的數(shù)據(jù)，其大小在填充完后只有64B而在故障發(fā)生時，我們竟然發(fā)現(xiàn)了客戶端向效勞器發(fā)送的大小為70B的ackTCP選項字段導致的70B的ackTCP選項解碼1.選項字段解碼，顯示為客戶端使用的為SACK選項，其左右邊邊界都已表示出2.科來抓包顯示客戶端屢次向服務器發(fā)送帶SACK選項的

37、ACK包3.通過科來解碼，顯示SACK左左邊界內(nèi)容一致4.顯示客戶端沒有收到來自效勞器的某個數(shù)據(jù)段效勞器端抓包確認問題原因1.查看效勞器端是否收到客戶端的帶有SACK選項的ACK報文2.查看效勞器端是否重傳了客戶端未收到的數(shù)據(jù)段3.通過查看效勞器給客戶端傳輸數(shù)據(jù)的次序與序列號，我們可以看出效勞器重傳了客戶端未收到的數(shù)據(jù)包可能故障點可能故障點通過前面的深入分析，我們可以知道，客戶端由于沒有收到某段來自效勞器的數(shù)據(jù)，導致了在線電影視頻的異常中斷，但是客戶端向效勞器端發(fā)送看帶有SACK選項的ACK報文，告知效勞器端重傳其未收到的數(shù)據(jù)段，效勞器端收到了這個重傳信息，也重傳了客戶端要求的數(shù)據(jù)段，但客戶端還是未收到，可見，該故障與端系統(tǒng)無關(guān)，是中間系統(tǒng)導致的，接下來明確中間系統(tǒng)可能故障點：由于交換機丟棄數(shù)據(jù)包的可能性極小，因此，我們應該將分析的重點放在網(wǎng)關(guān)設備上抓包分析定位故障點首先，已經(jīng)明確了是效勞器發(fā)送給客戶端的某個數(shù)據(jù)段被丟棄了，那么我們只需要在效勞器、防火墻進出接口分別抓包，并做比照分析即可定位出是否是防火墻將數(shù)據(jù)包丟棄的，確認三個捕包位置分別如