網(wǎng)絡(luò)抓包與培訓(xùn)

1、為什么要學(xué)習(xí)抓包和協(xié)議分析協(xié)議分析工具 進(jìn)行網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理，不僅要從宏觀上管理網(wǎng)絡(luò)的性能，還要從微觀上分析數(shù)據(jù)包的內(nèi)容，這樣才能確保網(wǎng)絡(luò)安全并且正常地運(yùn)行。 使用協(xié)議分析工具的目的，就是為了捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并對(duì)數(shù)據(jù)包中的比特進(jìn)行統(tǒng)計(jì)和分析。 宏觀上，可以進(jìn)行統(tǒng)計(jì)以確定網(wǎng)絡(luò)性能的基線。微觀上，可以從數(shù)據(jù)包分析中了解協(xié)議的實(shí)現(xiàn)情況、是否存在網(wǎng)絡(luò)攻擊行為等，為制定安全策略及進(jìn)行安全審計(jì)提供直接的依據(jù)。 如果黑客在網(wǎng)絡(luò)當(dāng)中使用協(xié)議分析工具，就是一種消極的安全攻擊。 1、故障分析定位 2、網(wǎng)絡(luò)質(zhì)量評(píng)估 3、入侵協(xié)議分層從網(wǎng)絡(luò)協(xié)議說起協(xié)議分層協(xié)議體系TCP/IP模型各層的功能 協(xié)議分析器概述

2、 協(xié)議分析器就是捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析的工具。從廣義上可以分為局域網(wǎng)分析器和廣域網(wǎng)分析器，也有的分析器既可以用于局域網(wǎng)又可以用于廣域網(wǎng)。 廣域網(wǎng)分析器用以捕獲分析PPP、幀中繼、ATM和其他鏈路上的數(shù)據(jù)，它采用特殊的接口卡來讀取從廣域網(wǎng)上下載的數(shù)據(jù)幀。廣域網(wǎng)分析器通常用一個(gè)“Y”形接頭連接到廣域網(wǎng)以便于捕獲流經(jīng)的數(shù)據(jù)流。 局域網(wǎng)分析器用來捕獲和顯示來自局域網(wǎng)的信息數(shù)據(jù)，這些局域網(wǎng)包括以太網(wǎng)、令牌環(huán)網(wǎng)和光纖分布式數(shù)據(jù)接口（FDDI）等。局域網(wǎng)分析器是通過集線器或者交換機(jī)連接到局域網(wǎng)網(wǎng)段上的。將局域網(wǎng)分析器連接到交換機(jī)時(shí)，需要進(jìn)行一些特殊的考慮。一般情況下，分析器只能捕獲經(jīng)過它所連接的端口的所

3、有數(shù)據(jù)。某些交換機(jī)可以配置監(jiān)視端口，把分析器接入到監(jiān)視端口就可以捕獲監(jiān)視流經(jīng)所有端口的數(shù)據(jù)。 常見的網(wǎng)絡(luò)分析器產(chǎn)品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科來協(xié)議分析、allot。 Sniffer公司目前主推硬件分析 還有免費(fèi)的Ethereal、Wireshark（原Ethereal作者自行開發(fā)的）協(xié)議分析器等。 另外，Windows中自己帶的網(wǎng)絡(luò)監(jiān)視器也可以抓取數(shù)據(jù)包進(jìn)行協(xié)議分析。 LINNUX中帶的TCPDUMP也可以抓取數(shù)據(jù)包進(jìn)行協(xié)議分析。協(xié)議分析器的特點(diǎn) 捕獲數(shù)據(jù)包 進(jìn)行協(xié)議分析的前提是要有捕獲的數(shù)據(jù)包，協(xié)議分析器可

4、以捕獲所有流經(jīng)其所控制的媒體的數(shù)據(jù)。高端的協(xié)議分析器還可以制定捕獲的計(jì)劃和觸發(fā)條件。 數(shù)據(jù)包統(tǒng)計(jì) 協(xié)議分析器可以對(duì)捕獲到的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析，根據(jù)時(shí)間、協(xié)議類型和錯(cuò)誤率等進(jìn)行分析，甚至可以打印出各種直觀的圖表和報(bào)表。 過濾數(shù)據(jù) 大量的數(shù)據(jù)包的捕獲會(huì)消耗太多的系統(tǒng)資源，性能很低。協(xié)議分析器可以設(shè)置過濾，只捕獲滿足特定條件的數(shù)據(jù)包。根據(jù)大量捕獲結(jié)果排錯(cuò)的時(shí)候，也需要能過濾無關(guān)的大量數(shù)據(jù)包，把最有用的數(shù)據(jù)包找出來。協(xié)議分析器往往有強(qiáng)大的過濾功能。 數(shù)據(jù)包解碼 捕獲的數(shù)據(jù)包的內(nèi)容就是0/1的比特流，協(xié)議分析器可以對(duì)這些比特流解碼，識(shí)別哪些部分是封裝的頭部信息，哪些是有效凈載荷。網(wǎng)絡(luò)通信協(xié)議非常多，好

5、的協(xié)議分析器能對(duì)各種協(xié)議數(shù)據(jù)包解碼。 讀取其他協(xié)議分析器的數(shù)據(jù)包格式 大部分協(xié)議分析器可以讀取顯示其他協(xié)議分析器捕獲的數(shù)據(jù)包文件。作為嗅探器的協(xié)議分析器 黑客使用協(xié)議分析器的時(shí)候，它就成了一種黑客工具，我們可以稱之為嗅探器。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。嗅探是一種安靜的、消極的安全攻擊。 常見的危害有： 捕獲口令 這大概是絕大多數(shù)非法使用嗅探器的理由，嗅探器可以記錄明文傳送的

6、用戶名和密碼。 捕獲專用的或者機(jī)密的信息，比如金融賬號(hào) 許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金賬號(hào)，然而嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、賬號(hào)和PIN。比如偷窺機(jī)密或敏感的信息數(shù)據(jù)，通過攔截?cái)?shù)據(jù)包，入侵者可以很方便地記錄別人之間敏感的信息傳送，或者干脆攔截整個(gè)的E-mail會(huì)話過程。 可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級(jí)別的訪問權(quán)限 窺探低層的協(xié)議信息 抓包接入 共享網(wǎng)絡(luò) - 通過Hub連接上網(wǎng) 使用集線器（Hub）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)即為共享式網(wǎng)絡(luò)，集線器（Hub）以共享模式工作在OSI層次的物理層。如果您局域網(wǎng)的中心交換設(shè)備是集線器

7、（Hub），可將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在局域網(wǎng)中任意一臺(tái)主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個(gè)網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。 抓包接入 交換式網(wǎng)絡(luò) - 交換機(jī)具備管理功能（端口鏡像） 使用交換機(jī)（Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機(jī)（Switch）工作在OSI模型的數(shù)據(jù)鏈接層，交換機(jī)各端口之間能有效地分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會(huì)將整個(gè)網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機(jī)以及一部分二層交換機(jī)都具備端口鏡像功能，當(dāng)您網(wǎng)絡(luò)中的交換機(jī)具備此功能時(shí)，可在交換機(jī)上配置好端口鏡像（關(guān)于交換機(jī)鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機(jī)上方式 抓包接入

8、交換式網(wǎng)絡(luò) - 交換機(jī)具備管理功能（端口鏡像） 使用交換機(jī)（Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機(jī)（Switch）工作在OSI模型的數(shù)據(jù)鏈接層，交換機(jī)各端口之間能有效地分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會(huì)將整個(gè)網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。 大多數(shù)三層或三層以上交換機(jī)以及一部分二層交換機(jī)都具備端口鏡像功能，當(dāng)您網(wǎng)絡(luò)中的交換機(jī)具備此功能時(shí)，可在交換機(jī)上配置好端口鏡像（關(guān)于交換機(jī)鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機(jī)上方式 抓包接入 交換式網(wǎng)絡(luò) - 交換機(jī)不具備管理功能（無端口鏡像） 一般簡(jiǎn)易型的交換機(jī)不具備管理功能，不能通過端口鏡像來實(shí)現(xiàn)網(wǎng)絡(luò)的監(jiān)控分析。如果您

9、的中心交換或網(wǎng)段的交換沒有端口鏡像功能，一般可采取串接集線器（Hub）或分接器（Tap）的方法進(jìn)行部署。如圖所示： 使用網(wǎng)絡(luò)分接器(Taps) 使用Tap時(shí)，成本較高，需要安裝雙網(wǎng)卡，并且在管理機(jī)器不能上網(wǎng)，如果要上網(wǎng)，需要再安裝另外的網(wǎng)卡。 用用集線器(Hub) Hub成本低，但網(wǎng)絡(luò)流量大時(shí)，性能不高，Tap即使在網(wǎng)絡(luò)流量高時(shí)，也對(duì)網(wǎng)絡(luò)性能不會(huì)造成任何影響， 接入方式對(duì)比常見的協(xié)議分析工具 主要功能如下： 為網(wǎng)絡(luò)協(xié)議分析捕獲網(wǎng)絡(luò)數(shù)據(jù)包 分析診斷網(wǎng)絡(luò)故障 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的活動(dòng)情況 收集單個(gè)工作站、會(huì)話、或者網(wǎng)絡(luò)中的任何一部分的詳細(xì)的網(wǎng)絡(luò)利用情況和錯(cuò)誤統(tǒng)計(jì)； 保存網(wǎng)絡(luò)情況的歷史記錄和錯(cuò)誤信息，建立

10、基線 當(dāng)檢測(cè)到網(wǎng)絡(luò)故障的時(shí)候，生成直觀的實(shí)時(shí)警報(bào)并通知網(wǎng)絡(luò)管理員 模擬網(wǎng)絡(luò)數(shù)據(jù)來探測(cè)網(wǎng)絡(luò)，衡量響應(yīng)時(shí)間，路由跳數(shù)計(jì)數(shù)，排錯(cuò) Microsoft Network Monitor Windows中自帶的組件網(wǎng)絡(luò)監(jiān)視器Network Monitor，其工作原理類似于其他協(xié)議。Network Monitor可以捕獲所有經(jīng)過指定的網(wǎng)絡(luò)接口的數(shù)據(jù)包，并進(jìn)行協(xié)議分析。使用網(wǎng)絡(luò)監(jiān)視器，可以發(fā)現(xiàn)網(wǎng)絡(luò)通信模式和網(wǎng)絡(luò)問題。例如，可以定位客戶端到服務(wù)器的連接問題，發(fā)現(xiàn)工作請(qǐng)求數(shù)目不成比例的計(jì)算機(jī)，以及發(fā)現(xiàn)網(wǎng)絡(luò)上未經(jīng)授權(quán)的用戶。系統(tǒng)自帶也可以下載：http:/ 這是個(gè)小巧的協(xié)議分析器，包含了對(duì)許多常用協(xié)議的分析解碼功能

11、。Ethereal也可以設(shè)置過濾器，以便于把真正用戶關(guān)心的數(shù)據(jù)捕獲并顯示出來。 已不用了！WireShark簡(jiǎn)介 Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用也使用pcap network library來進(jìn)行封包捕捉。來進(jìn)行封包捕捉。wireshark的原名是的原名是Ethereal，新名字是，新名字是2006年起用的。當(dāng)時(shí)年起用的。

12、當(dāng)時(shí)Ethereal的主要開發(fā)的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由于于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來那個(gè)公司注冊(cè)，這個(gè)名稱的使用權(quán)已經(jīng)被原來那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。這個(gè)新名字也就應(yīng)運(yùn)而生了。 官方網(wǎng)站：官方網(wǎng)站：/3. DISPLAY FILTER（顯示過濾器） 顯示過濾器用于查找捕捉記錄中的內(nèi)容。請(qǐng)不要將捕捉過濾器和顯示過濾器的概念相混淆。請(qǐng)參考Wireshark過濾器中的詳細(xì)內(nèi)容。 4. PACKET LIST PANE（

13、封包列表） 封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的方的MAC/IP地址，地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。端口號(hào)，協(xié)議或者封包的內(nèi)容。 如果捕獲的是一個(gè)如果捕獲的是一個(gè)OSI layer 2的封包，您在的封包，您在Source（來源）和（來源）和Destination（目的地）列中看到的將是（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)地址，當(dāng)然，此時(shí)Port（端口）列將會(huì)為空。（端口）列將會(huì)為空。 如果捕獲的是一個(gè)如果捕獲的是一個(gè)OSI layer 3或者更高層的封包，您在或者更高層的封包，您

14、在Source（來源）（來源）和和Destination（目的地）列中看到的將是（目的地）列中看到的將是IP地址。地址。Port（端口）列僅會(huì)（端口）列僅會(huì)在這個(gè)封包屬于第在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示?；蛘吒邔訒r(shí)才會(huì)顯示。 您可以在這里添加您可以在這里添加/刪除列或者改變各列的顏色：刪除列或者改變各列的顏色：Edit menu - Preferences PACKET DETAILS PANE（封包詳細(xì)信息） 這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的照不同的OSI layer進(jìn)行了分組，您可以展開每個(gè)項(xiàng)目查看。

15、進(jìn)行了分組，您可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是下面截圖中展開的是HTTP信息。信息。6. DISSECTOR PANE（16進(jìn)制數(shù)據(jù)） “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進(jìn)制數(shù)據(jù)查看面板進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與這里顯示的內(nèi)容與“封包詳細(xì)信息封包詳細(xì)信息”中相同，只是改為以中相同，只是改為以16進(jìn)制的格式表述。進(jìn)制的格式表述。在上面的例子里，我們?cè)谠谏厦娴睦永铮覀冊(cè)凇胺獍敿?xì)信息封包詳細(xì)信息”中選擇查看中選擇查看TCP端端口（口（80），其對(duì)應(yīng)的），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。）。

16、MISCELLANOUS（雜項(xiàng)） 在程序的最下端，您可以獲得如下信息：在程序的最下端，您可以獲得如下信息：- 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開始或已經(jīng)停止。捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。已捕捉的數(shù)據(jù)量。- 已捕捉封包的數(shù)量。已捕捉封包的數(shù)量。(P)- 顯示的封包數(shù)量。顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封經(jīng)過顯示過濾器過濾后仍然顯示的封包包)- 被標(biāo)記的封包數(shù)量。被標(biāo)記的封包數(shù)量。(M) 非混雜模式及混雜模式下抓包 非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)

17、據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。 混雜模式指： WireShark能夠抓取主機(jī)所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包。過濾器 捕捉過濾器（捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器（顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。他們可以在得到捕捉結(jié)果后隨意修改。那么我應(yīng)該使用哪一種過濾器呢？那么我應(yīng)該使用哪一種過濾器呢？ 兩種過

18、濾器的目的是不同的。兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。日志文件中迅速準(zhǔn)確地找到所需要的記錄。 兩種過濾器使用的語(yǔ)法是完全不同的。兩種過濾器使用的語(yǔ)法是完全不同的。1. 捕捉過濾器 捕捉過濾器的語(yǔ)法與其它使用捕捉過濾器的語(yǔ)法與其它使用Lipcap（Linux）或者）或者Winpcap（Win

19、dows）庫(kù)開發(fā)的軟件一樣，比如著名的）庫(kù)開發(fā)的軟件一樣，比如著名的TCPdump。捕。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器是不同的。是不同的。 設(shè)置捕捉過濾器的步驟是：設(shè)置捕捉過濾器的步驟是： 選擇選擇 capture - options。 填寫填寫“capture filter”欄或者點(diǎn)擊欄或者點(diǎn)擊“capture filter”按鈕為您的過濾器起按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。中繼續(xù)使用這個(gè)過濾器。 點(diǎn)擊開始（點(diǎn)擊開始（Start）進(jìn)行捕捉。）進(jìn)行

20、捕捉。捕捉過濾器語(yǔ)法 Protocol（協(xié)議）（協(xié)議）:可能的值可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）（方向）:可能的值可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)作為關(guān)鍵字。鍵字。例如，例如，“h

21、ost ”與與“src or dst host ”是一樣的。是一樣的。語(yǔ)法語(yǔ)法 Protocol Direction Host(s) ValueLogical OperationsOther expression_r例子例子tcpdst80andtcp dst 3128捕捉過濾器語(yǔ)法 Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。例如，“src ”與“src host ”相同。 Logical Operations

22、（邏輯運(yùn)算）（邏輯運(yùn)算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級(jí)。或(or)和與(and)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。捕捉過濾器語(yǔ)法舉例 tcp dst port 3128 顯示目的TCP端口為3128的封包。 ip src host 顯示來源IP地址

23、為的封包。 host 顯示目的或來源IP地址為的封包。 src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。捕捉過濾器語(yǔ)法舉例 not imcp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 2 and not dst net /16 顯示來源IP地址為2，但目的地不是/16的封包。 (src host 2 or src net /16)

24、 and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項(xiàng) 當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“”?！癳ther proto ip” (與關(guān)鍵字“ip”相同).這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。 “ip proto icmp” (與關(guān)鍵字“icmp”相同).這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)。 可以在“ip”或“ether”后面使用“multicast”及“bro

25、adcast”關(guān)鍵字。 當(dāng)您想排除廣播請(qǐng)求時(shí)，no broadcast就會(huì)非常有用。 2. 顯示過濾器 通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時(shí)，并不需要重新捕捉一次。 顯示過濾器語(yǔ)法 Protocol（協(xié)議） 您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊“Expression.”按鈕后，您可以看到它們。 比如：IP，TCP，DNS，SSH語(yǔ)法語(yǔ)法Protocol String 1 String 2ComparisonoperatorValueLogicalOperationsOther

26、expression_r例子例子ftppassiveip=xoricmp.type顯示過濾器語(yǔ)法 您同樣可以在如下所示位置找到所支持的協(xié)議： 顯示過濾器語(yǔ)法 String1, String2 (可選項(xiàng)) 協(xié)議的子類。 點(diǎn)擊相關(guān)父類旁的+號(hào)，然后選擇其子類。 顯示過濾器語(yǔ)法 Comparison operators （比較運(yùn)算符） 可以使用6種比較運(yùn)算符：英文寫法： C語(yǔ)言寫法： 含義：eq = 等于ne!=不等于gt大于lt=大于等于le=小于等于顯示過濾器語(yǔ)法 Logical expression_rs（邏輯運(yùn)算符）（邏輯運(yùn)算符） 被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)

27、其被用在過濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會(huì)被顯示在屏幕上。讓我們舉個(gè)例子：tcp.dstport 80 xor tcp.dstport 1025只有當(dāng)目的TCP端口為80或者來源于端口1025（但又不能同時(shí)滿足這兩點(diǎn)）時(shí)，這樣的封包才會(huì)被顯示。英文寫法： C語(yǔ)言寫法： 含義：and&邏輯與or|邏輯或xor邏輯異或not!邏輯非顯示過濾器語(yǔ)法舉例 snmp | dns | icmp 顯示顯示SNMP或或DNS或或ICMP封包。封包。 ip.addr = 顯示來源或目的顯示來源或目的IP地址為地址為的封包。的封包。 ip.s

28、rc != or ip.dst != 顯示來源不為顯示來源不為或者目的不為或者目的不為的封包。的封包。換句話說，顯示的封包將會(huì)為：換句話說，顯示的封包將會(huì)為：來源來源IP：除了：除了以外任意；目的以外任意；目的IP：任意：任意以及來源以及來源IP：任意；目的：任意；目的IP：除了：除了以外任意以外任意 ip.src != and ip.dst != 顯示來源不為顯示來源不為并且目的并且目的IP不為不為的封包。的封包。換句話說，顯

29、示的封包將會(huì)為：換句話說，顯示的封包將會(huì)為：來源來源IP：除了：除了以外任意；同時(shí)須滿足，目的以外任意；同時(shí)須滿足，目的IP：除了：除了以外任意以外任意顯示過濾器語(yǔ)法舉例 tcp.port = 25 顯示來源或目的TCP端口號(hào)為25的封包。 tcp.dstport = 25 顯示目的TCP端口號(hào)為25的封包。 tcp.flags 顯示包含TCP標(biāo)志的封包。 tcp.flags.syn = 0 x02 顯示包含TCP SYN標(biāo)志的封包。如果過濾器的語(yǔ)法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤。 表達(dá)式正確表達(dá)式錯(cuò)誤表達(dá)式正確表達(dá)式正確表達(dá)式錯(cuò)誤表達(dá)

30、式錯(cuò)誤網(wǎng)絡(luò)常見的ARP攻擊安全問題定位攻擊者收發(fā)比異?？焖俣ㄎ桓鞣Narp 攻擊 出現(xiàn)網(wǎng)絡(luò)故障，只要能快速定位診斷，就可以最快速的解決問題，減少損失。 網(wǎng)絡(luò)通訊分析通過對(duì)底層數(shù)據(jù)包的診斷，能最有效的找出問題的所在。 特點(diǎn)： 快速定位故障點(diǎn) 自動(dòng)發(fā)現(xiàn)并提取問題 智能的專家建議，提供故障原因、可解決的辦法等按照網(wǎng)絡(luò)層次分類自動(dòng)診斷發(fā)生地址根據(jù)不同類型級(jí)別顯示故障事件的詳細(xì)描述提供48種以上網(wǎng)絡(luò)故障診斷并且為每個(gè)故障提供閾值修改每個(gè)故障發(fā)生的原因發(fā)生沖突的兩個(gè)MAC事件的詳細(xì)描述提高網(wǎng)絡(luò)性能，才可以合理的利用網(wǎng)絡(luò)資源。性能分析有助于實(shí)現(xiàn)資源的合理分配；為規(guī)劃和調(diào)整網(wǎng)絡(luò)提供準(zhǔn)確依據(jù)。特點(diǎn)：提供精確的性能

31、分析數(shù)據(jù)，微秒級(jí)的數(shù)據(jù)響應(yīng)時(shí)間、時(shí)間差、相對(duì)時(shí)間等；各種協(xié)議的詳細(xì)統(tǒng)計(jì)深入到每個(gè)節(jié)點(diǎn)數(shù)據(jù)的分析每個(gè)應(yīng)用的會(huì)話情況微秒級(jí)定位時(shí)間4百多種協(xié)議的詳細(xì)解碼分析某IP的概要統(tǒng)計(jì)HTTP應(yīng)用的連接情況可以讓管理者了解每個(gè)端點(diǎn)、會(huì)話的通訊情況查看通訊數(shù)據(jù)，迅速定位異常端點(diǎn)和會(huì)話特點(diǎn)：多達(dá)22種端點(diǎn)統(tǒng)計(jì)參數(shù)端點(diǎn)與會(huì)話的完美組合TCP會(huì)話的時(shí)序圖呈現(xiàn)可視化的連接矩陣圖DNS/Email/FTP/HTTP日志分析持續(xù)時(shí)間最長(zhǎng)的會(huì)話主機(jī)占用帶寬最大的通訊IP端點(diǎn)會(huì)話統(tǒng)計(jì)TCP標(biāo)志、負(fù)載可查看日志的詳細(xì)信息，并支持保存功能提供精確的流量分析數(shù)據(jù)，才可以使您解決廣播風(fēng)暴、網(wǎng)絡(luò)阻塞、帶寬非法占用、網(wǎng)絡(luò)濫用等問題。特點(diǎn)：

32、提供非常豐富的數(shù)據(jù)，42種以上的流量統(tǒng)計(jì)數(shù)據(jù)豐富的實(shí)時(shí)監(jiān)控圖提供每個(gè)主機(jī)的各種流量綁定IP與MAC流量對(duì)應(yīng)關(guān)系統(tǒng)計(jì)內(nèi)網(wǎng)流量、廣播/組播流量、私有流量可根據(jù)協(xié)議、物理、IP進(jìn)行瀏覽這是所有TCP會(huì)話的IP發(fā)送的流量接收的流量協(xié)議、重傳及亂序等右擊顯示更多參數(shù)總流量的歷史變化TCP會(huì)話的建立情況利用率的實(shí)時(shí)監(jiān)控SYN 個(gè)數(shù)的統(tǒng)計(jì)各種流量分析只有深入到協(xié)議，挖掘到數(shù)據(jù)包內(nèi)容才能真正掌握整個(gè)網(wǎng)絡(luò)通過數(shù)據(jù)包重組數(shù)據(jù)流，可以重現(xiàn)網(wǎng)絡(luò)通信內(nèi)容特點(diǎn)： 支持四百多種協(xié)議的解碼 對(duì)整個(gè)數(shù)據(jù)包內(nèi)容結(jié)構(gòu)的呈現(xiàn) 對(duì)數(shù)據(jù)流重組樹狀呈現(xiàn)各層協(xié)議各層報(bào)頭十六進(jìn)制顯示ASCII編碼顯示會(huì)話節(jié)點(diǎn)會(huì)話的數(shù)據(jù)流TCPDUMP 命令參

33、數(shù)-i: 指定網(wǎng)卡;-n:以數(shù)值方式顯示網(wǎng)絡(luò)地址及端口號(hào);-s:snapshot長(zhǎng)度，通常指定為0，即不做限制;-X:以16進(jìn)制方式顯示網(wǎng)絡(luò)包的內(nèi)容;-w:輸出到文件port n:指定監(jiān)聽的端口號(hào)n，如果不指定則監(jiān)聽所有端口;dst host:指定發(fā)送包的目的主機(jī);src host:指定發(fā)送包的源主機(jī);TCPDUMP tcpdump -ni eth0 -s 0 -X port 8080 and dst tcpdump -n -s 0 -w /sdcard/dopool.pcapTCPDUMP Android下的操作步驟 root手機(jī) 下載tcpdump執(zhí)行文件 adb

34、 remount adb push D:tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:1.pcappingping大包丟包故障大包丟包故障 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境說明：1、辦公機(jī)器都屬于/24網(wǎng)段；2、辦公機(jī)器通過一個(gè)二層的接入交換機(jī)、光電轉(zhuǎn)換器接入集團(tuán)核心交換機(jī)。連接拓?fù)洌?故障現(xiàn)象 P

35、ing大包丟包嚴(yán)重 ping小包正常 前期使用單機(jī)ping大包未出現(xiàn)丟包現(xiàn)象故障前期簡(jiǎn)單分析 鏈路測(cè)試、策略檢查均無異常，該故障非一般連通性故障 此類丟包問題，主要是需要定位出丟包的位置 可能故障點(diǎn)主要有：故障分析-分析方法 數(shù)據(jù)包分析法數(shù)據(jù)包分析法l對(duì)比分析法 在此次的故障解決過程中，我們主要使用對(duì)比分析法分析出將大數(shù)據(jù)包丟棄的中間設(shè)備或鏈路。主要通過專有的網(wǎng)絡(luò)分析工具（科來網(wǎng)絡(luò)分析系統(tǒng)）將故障時(shí)相應(yīng)的數(shù)據(jù)包捕獲下來進(jìn)行深度分析，并通過分析發(fā)現(xiàn)相應(yīng)的異常，從而定位故障原因的方法 主要指通過對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的對(duì)比，分析出數(shù)據(jù)包在傳輸過程中各個(gè)中間設(shè)備對(duì)數(shù)據(jù)包的相應(yīng)處理過程，包括更改、丟棄和

36、轉(zhuǎn)發(fā)等 故障分析過程-選取抓包故障點(diǎn) 在實(shí)際的分析過程中，我們需要考慮到抓包的方便性和相應(yīng)中間設(shè)備的功能特性選取數(shù)據(jù)包捕獲點(diǎn) 在這個(gè)故障環(huán)境下，我們主要選在接入交換機(jī)與核心交換機(jī)上抓取數(shù)據(jù)包故障分析過程-重現(xiàn)故障 在測(cè)試機(jī)器6上使用如下命令測(cè)試網(wǎng)絡(luò)的大包傳輸情況：ping -l 10000 t 。 我們可以簡(jiǎn)單計(jì)算一下ping10000字節(jié)的大包在以太網(wǎng)中會(huì)被分成多少個(gè)分片：PING產(chǎn)生的產(chǎn)生的IP負(fù)載負(fù)載=10000(ping負(fù)載）+8（icmp頭長(zhǎng)度）一個(gè)以太網(wǎng)一個(gè)以太網(wǎng)IP包的最大有效負(fù)載包的最大有效負(fù)載=1500（以太網(wǎng)MTU)-20（IP包頭

37、長(zhǎng)度）=1480B 產(chǎn)生IP分片數(shù)的計(jì)算方式為： 10008/1480=6余1128，即一個(gè)1500B的icmp報(bào)文，5個(gè)1500B的ip分片包，1個(gè)1148B的ip分片包通過該測(cè)試命令重現(xiàn)了故障現(xiàn)象：大文件傳輸丟包情況較為嚴(yán)重。故障分析過程-抓包 我們分別在核心交換機(jī)6509、接入交換機(jī)上做端口鏡像（端口鏡像的詳細(xì)命令和過程在此不再描述），將其相應(yīng)鏈路的數(shù)據(jù)包鏡像到我們選取的監(jiān)聽口，我們?cè)偻ㄟ^科來網(wǎng)絡(luò)分析系統(tǒng)捕獲相應(yīng)的數(shù)據(jù)包 故障分析過程-對(duì)比分析1.分析接入交換機(jī)上抓取的數(shù)據(jù)包1個(gè)1500字節(jié)icmp包5個(gè)1500字節(jié)ip分片包1個(gè)1148字節(jié)ip分片包接入交換機(jī)數(shù)據(jù)包分析結(jié)論lPing超

38、時(shí)的原因?yàn)橹虚g某個(gè)大包在傳輸?shù)倪^程中 被丟棄了，導(dǎo)致接收端重組超時(shí)l接入交換機(jī)轉(zhuǎn)發(fā)了所有的分片包，即某個(gè)分片包不 是在接入交換機(jī)上丟棄的1個(gè)1500字節(jié)icmp包4個(gè)1500字節(jié)ip分片包故障分析過程-對(duì)比分析2.分析核心交換機(jī)6509上抓取的數(shù)據(jù)包1個(gè)1148字節(jié)ip分片包結(jié)論：這個(gè)被丟棄的某個(gè)分片在到達(dá)核心交換機(jī)6509前就被丟棄對(duì)比分析結(jié)果根據(jù)前面的對(duì)比分析，結(jié)合拓?fù)浣Y(jié)構(gòu)，我們可以知道，某個(gè)分片包是在接入交交換機(jī)轉(zhuǎn)發(fā)之后、核心交換機(jī)6509接收之前被丟棄的，那么可能被丟棄的位置只剩下光電轉(zhuǎn)換器了！在線視頻不定時(shí)異常中斷 故障環(huán)境 故障現(xiàn)象 故障分析 故障解決 技巧小結(jié)故障環(huán)境故障拓?fù)洌赫f

39、明：1.VOD在線視頻是通過web頁(yè)面觀看的，通訊流全部使用HTTP的80端口傳輸數(shù)據(jù)2.客戶端與服務(wù)器是純路由環(huán)境下完成數(shù)據(jù)交互的故障現(xiàn)象 客戶端通過瀏覽器在線觀看VOD視頻時(shí)，不定時(shí)（有時(shí)幾分鐘、有時(shí)十幾分鐘，沒有規(guī)律）的出現(xiàn)中斷情況。 使用ping命令長(zhǎng)時(shí)間測(cè)試VOD服務(wù)器的連通性，一直正常。 異常時(shí)，VOD服務(wù)器的web頁(yè)面訪問正常前期簡(jiǎn)單分析 Ping命令測(cè)試正常，說明不存在連通性問題 不定時(shí)出現(xiàn)、無規(guī)律性說明應(yīng)該不是策略（時(shí)間控制等）原因?qū)е碌?其他應(yīng)用未反應(yīng)異常通過簡(jiǎn)單分析，沒有什么明顯的突破口，此類故障應(yīng)屬于較高層次的故障，只能借助科來抓包分析來找突破口了客戶端抓包分析可能原因

40、首先在客戶端在線視頻時(shí)，開啟科來抓包，在故障出現(xiàn)后停止抓包，并分析故障時(shí)間段的數(shù)據(jù)包，看能否找到一些突破口。一般而言，這種應(yīng)用都是服務(wù)器向客戶端傳輸數(shù)據(jù)，而客戶端僅對(duì)服務(wù)器端發(fā)送確認(rèn)即可，這種確認(rèn)不包含任何的數(shù)據(jù)，其大小在填充完后只有64B而在故障發(fā)生時(shí)，我們竟然發(fā)現(xiàn)了客戶端向服務(wù)器發(fā)送的大小為70B的ackTCP選項(xiàng)字段導(dǎo)致的70B的ackTCP選項(xiàng)解碼1.選項(xiàng)字段解碼，顯示為客戶端使用的為SACK選項(xiàng)，其左右邊邊界都已表示出2.科來抓包顯示客戶端多次向服務(wù)器發(fā)送帶SACK選項(xiàng)的ACK包3.通過科來解碼，顯示SACK左左邊界內(nèi)容一致4.顯示客戶端沒有收到來自服務(wù)器的某個(gè)數(shù)據(jù)段服務(wù)器端抓包確認(rèn)

41、問題原因1.查看服務(wù)器端是否收到客戶端的帶有SACK選項(xiàng)的ACK報(bào)文2.查看服務(wù)器端是否重傳了客戶端未收到的數(shù)據(jù)段3.通過查看服務(wù)器給客戶端傳輸數(shù)據(jù)的次序與序列號(hào)，我們可以看出服務(wù)器重傳了客戶端未收到的數(shù)據(jù)包可能故障點(diǎn)可能故障點(diǎn)通過前面的深入分析，我們可以知道，客戶端由于沒有收到某段來自服務(wù)器的數(shù)據(jù)，導(dǎo)致了在線電影視頻的異常中斷，但是客戶端向服務(wù)器端發(fā)送看帶有SACK選項(xiàng)的ACK報(bào)文，告知服務(wù)器端重傳其未收到的數(shù)據(jù)段，服務(wù)器端收到了這個(gè)重傳信息，也重傳了客戶端要求的數(shù)據(jù)段，但客戶端還是未收到，可見，該故障與端系統(tǒng)無關(guān)，是中間系統(tǒng)導(dǎo)致的，接下來明確中間系統(tǒng)可能故障點(diǎn)：由于交換機(jī)丟棄數(shù)據(jù)包的可能性極小