当前位置:文档之家 › 网络抓包与分析培训.pptx

网络抓包与分析培训.pptx

  • 格式:pptx
  • 大小:6.99 MB
  • 文档页数:114

下载文档原格式

  / 114

合集下载

抓包工具和抓包分析

抓包工具和抓包分析

抓包工具和抓包分析1 概述在处理 IP网络的故障时,经常使用以太网抓包工具来查看和抓取 IP网络上某些端口或某些网段的数据包,并对这些数据包进行分析,定位问题。

在IMON项目里,使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端监看模块,一般情况下EPG采集和引流模块比较稳定,软终端监看还涉及SS5代理,这部分出问题的几率比较大,这是就有可能要现场维护人员抓包进行分析、排查、定位问题,确定是网络问题还是软件问题,如果是软件问题则要将抓回的包发给研发解决。

EPG抓包可分为对鉴权过程、采集过程抓包验证,主要是通过通过抓包分析与IPTV鉴权服务器之间的TCP交互。

流媒体交互抓包可分为对组播、点播进行抓包,一般交互的协议分为IGMP、RTSP、RTMP等,组播一般是基于UDP的IGMP流,点播是基于RTP的RTSP流或基于TCP的RTMP流。

软终端抓包主要是抓取软终端与IPTV服务器交互、SS5与IPTV服务器交互的数据包,一般跟流媒体交互的报文协议差不多,也是分为组播IGMP、点播RTSP等协议,不过经过测试发现江苏的部分组播(可能是用户不同所致)发送的是RTSP的包。

2 常用抓包工具2.1 W ireSharkWireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的。

过滤器的区别捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。

需要在开始捕捉前设置。

显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。

他们可以在得到捕捉结果后随意修改。

捕捉过滤器Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。

Wireshark抓包分析PPT学习课件

Wireshark抓包分析PPT学习课件

• H.245 OLC & OLC ACK
© Polycom, Inc. All rights reserved.
15
• H.460.18 (Signaling) • H.460.19 (Media)
© Polycom, Inc. All rights reserved.
16
云视频
© Polycom, Inc. All rights reserved.
• Captures which do not include call signaling will list RTP as UDP packets; H.245 as TCP packets only.
© Polycom, Inc. All rights reserved.
8
• 分析RTP Stream
9
• 分析TCP Stream
© Polycom, Inc. All rights reserved.
10Βιβλιοθήκη 云视频© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
7
• Important things first: Wireshark will not usually recognize any VoIP calls in a capture unless call signaling (H.225.0, H.245, SIP/SDP) is also included inthe capture.
2

WireShark教程详解PPT学习课件

WireShark教程详解PPT学习课件

Enabled Protocols…
已可以WE分AxPp析-aWn的SdPS协ub议tr列ee表s 无线应扩用展协开议数W据AP包和内WS封P装的数协据议的子树结构
Decode As… User Specified Decodes… Follow TCP Stream
Follow SSL stream
21
Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。 Host(s): 可能的值: net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。 例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。 Logical Operations(逻辑运算): 可能的值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左 至右进行。 例如, "not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

WireShark使用培训ppt课件

WireShark使用培训ppt课件


网卡完成收发数据包的工作,两种接收模式
– –
混杂模式:不管数据帧中的目的地址是否与自己的地址匹配, 都接收下来 非混杂模式:只接收目的地址相匹配的数据帧,以及广播数 据包和组播数据包
6
单播、组播和广播
2019
主机
-
10.10.1.0/24 单播 组播 广播
服务器
7
共享网络和交换网络

共享式网络
– –
2019
通过网络的所有数据包发往每一个主机; 最常见的是通过HUB连接起来的子网;
-

交换式网络
通过交换机连接网络; – 由交换机构造一个“MAC地址-端口”映射表; – 发送包的时候,只发到特定的端口上; – 交换机的镜像端口功能

8
共享网络和交换网络
2019
A B to C
D
镜像 端口
-
C
9
2019 -
WIRESHARK概述
10



2019
发展简史:

1998年由Gerald Combs 完成第一个Ethereal(Wireshark前身) 版本的开发。 此后不久,Gilbert Ramirez发现它的潜力,并为其提供了底层 分析 1998年10月,Guy Harris正寻找一种比TcpView更好的工具, 他开始为Ethereal进行改进,并提供分析。 1998年以后,正在进行TCP/IP教学的Richard Sharpe 关注了 它在这些课程中的作用。并开始研究该软件是否他所需要的协 议。如果不行,新协议支持应该很方便被添加。所以他开始从 事Ethereal的分析及改进。 从那以后,帮助Ethereal的人越来越多,他们的开始几乎都是 由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的 解析器,并为团队提供了改进回馈。 11 2006年重新命名为Wireshark.

T常见抓包工具的使用方法初PPT课件

T常见抓包工具的使用方法初PPT课件
Wireshark 实现
基于分解器(dissector) 网络上每一层的协议都有对应的分解器,分解器的作用是把每一层的信息分解,显示出首部字 段,把有效载荷字段(payload)传递给向上一层的分解器,以达到逐层分解的目的 分解器有两种实现方式:作为主程序中的模块实现,或作为插件实现。 Wireshark与对应的TCP5层模型
Page 5
Protocol(协议)
• 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Direction(方向) • src, dst, src and dst, src or dst
Host(s):
Wireshark的功能特点
支持UNIX和Windows等多平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析 …
Page 8
Wireshark 作用
参数说明:
-a
将网络地址和广播地址转变成名字;
-d
将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd
将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e
ห้องสมุดไป่ตู้
在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;
-f
将外部的Internet地址以数字的形式打印出来;
常见抓包工具的使用方法
视讯产品线售后服务部
目录
Contents

一文教会实战网络抓包和分析包

一文教会实战网络抓包和分析包

一文教会实战网络抓包和分析包话不多说,直接上图看内容#显形“不可见”的网络包网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。

但莫慌,自从有了两大分析网络包的利器:tcpdump 和Wireshark,我们“看不见”的数据包,再也没有那么神秘了。

唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。

tcpdump 和 Wireshark 有什么区别?tcpdump 和Wireshark 就是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。

•tcpdump 仅支持命令行格式使用,常用在 Linux 服务器中抓取和分析网络包。

•Wireshark 除了可以抓包外,还提供了可视化分析网络包的图形页面。

所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到Windows 电脑后,用Wireshark 可视化分析。

当然,如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。

tcpdump 在 Linux 下如何抓包?tcpdump 提供了大量的选项以及各式各样的过滤表达式,来帮助你抓取指定的数据包,不过不要担心,只需要掌握一些常用选项和过滤表达式,就可以满足大部分场景的需要了。

假设我们要抓取下面的 ping 的数据包:要抓取上面的 ping 命令数据包,首先我们要知道 ping 的数据包是icmp 协议,接着在使用tcpdump 抓包的时候,就可以指定只抓icmp 协议的数据包:那么当 tcpdump 抓取到 icmp 数据包后,输出格式如下:从 tcpdump 抓取的 icmp 数据包,我们很清楚的看到 icmp echo 的交互过程了,首先发送方发起了 ICMP echo request 请求报文,接收方收到后回了一个 ICMP echo reply 响应报文,之后 seq 是递增的。

实验二 网络抓包及协议分析软件使用说明

实验二 网络抓包及协议分析软件使用说明

实验二网络抓包及协议分析软件使用说明目的及意义: 利用网络协议分析工具Ethereal截获网络中传送的数据包, 通过观察分析, 从而了解和认识(理解)协议的运行机制。

下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap, 可先安装Winpcap。

有关Winpcap的详细信息可参考。

一. 实验目的:1. 了解抓包与协议分析软件的简单使用方法。

2. 了解并验证网络上数据包的基本结构。

二. 实验环境1.硬件:PC.配备网卡, 局域网环境。

2. 软件: Windows 2000或者XP操作系统、winpcap、analyzer。

三. 实验内容利用Ethereal软件抓取网络上的数据包, 并作相应分析。

(1)四. 实验范例(2)安装(3)E theral的安装非常简单, 只要按照提示安装即可。

(4)运行(5)双击桌面的Ethereal, 显示“The Ethereal Network Analyzer”的主界面, 菜单的功能是:(6)设置规则●这里有两种方式可以设置规则:●使用interface选择Capture—>interfaces, 将显示该主机的所有网络接口和所有流经的数据包, 单击“Capture”按钮, 及执行捕获。

●如果要修改捕获过程中的参数, 可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中, 可以进一步设置捕获条件:●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

●选择该项是为了节省空间, 只捕获包头, 在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

●在该模式下, 可以记录所有的分组, 包括目的地址非本机的分组。

网络协议分析与抓包

网络协议分析与抓包

网络协议分析与抓包网络协议是计算机网络中进行信息交换的规则和约定。

它们负责在网络中传输数据,并确保数据的可靠性、完整性和安全性。

网络协议分为多个层次,每个层次都有特定的功能和任务。

在网络分析中,抓包是一种常用的技术手段,可以用来分析网络协议的通信过程,以及检查网络中的问题和安全威胁。

本文将对网络协议分析与抓包技术进行介绍和讨论。

首先将简要介绍常见的网络协议,然后探讨网络协议分析的重要性和作用。

接着,将详细介绍抓包技术的原理和应用,包括使用网络协议分析工具进行抓包、抓包的步骤和方法以及抓包数据的解读和分析。

最后,将讨论网络协议分析与抓包在网络安全中的应用和意义。

一、常见的网络协议网络协议是计算机网络中的基础,它们定义了网络中主机之间的通信方式和规则。

常见的网络协议有以下几类:1.传输层协议:如TCP和UDP。

2.网络层协议:如IP和ICMP。

3.链路层协议:如以太网和Wi-Fi。

4.应用层协议:如HTTP和FTP。

二、网络协议分析的重要性和作用网络协议分析是一种用于检查和验证网络通信的技术手段。

通过对网络协议进行分析,可以了解网络中数据传输的过程和细节,并检查网络中的错误和问题。

网络协议分析的重要性主要体现在以下几个方面:1.网络故障分析:通过分析网络协议,可以快速定位和解决网络故障,提高网络的可靠性和稳定性。

2.网络优化和性能调优:网络协议分析可以识别网络中的瓶颈和性能问题,并提供相应的优化策略。

3.网络安全监测:通过分析网络协议,可以检测网络中的安全威胁和攻击,并采取相应的防御措施。

4.软件开发和测试:网络协议分析可以用于软件开发和测试阶段,验证网络应用的正确性和稳定性。

三、抓包技术的原理和应用抓包是通过网络协议分析工具来捕获网络中的数据包,并对其进行解读和分析的过程。

抓包技术的原理主要包括以下几个方面:1.网络接口监听:抓包工具在计算机网络接口处监听数据包的传输,截获需要分析的数据包。

2.数据包过滤和存储:抓包工具可以根据用户设定的过滤规则,选择性地存储需要的数据包,避免存储大量无关的数据。

WireShark使用说明PPT课件

WireShark使用说明PPT课件

Wireshark的使用
设置多文件连续存储 Use multiple files 如果指定条件达到临界值,Wireshark将会自动生成一个新文件。 Next n megabyte(s) 如果捕捉文件容量达到指定值,将会生成切换到新文件 Next n minutes(s) 如果捕捉文件持续时间达到指定值,将会切换到新文件。 Ring buffer with n files 仅生成制定数目的文件。 Stop caputure after n file(s) 当生成指定数目文件时,停止捕捉。
设置网卡是否为混杂捕获模式
设置缓存大小
限制捕获包大小
设置捕获过滤条件
设置捕获包存储文件
显示设置
设置多文件连续存储
设置停止捕获条件
Mac 对应设备制造商解析 IP 地址对应的域名解析
端口的对应服务名称解析
名称解析设置
Wireshark的使用
3、实时捕获数据包
设置捕获缓存大小(Buffer size)
Wireshark的使用
1、Wireshark的主窗口
菜单栏 工具栏 过滤器
包序号
捕获时间 源地址
目的地址
上层协议 包内容提要
包概况显 示窗体
协议树显 示窗体
数据显示 窗体
状态栏
包的16进制代码区
包的ASCII代码区
Wireshark的使用
2、网络数据流的监测接入点
在被监测计算机上直接捕获; 利用集线器将被检测端口的数据分为多路进行捕获;
设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包,可尝试增大该值。
设置网卡是否为混杂捕获模式(Capture packets in promiscuous mode)

抓包分析初步

抓包分析初步

remount adb push D:\tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:\1.pcap

测试:
程序员+黑客
抓包工具
Sniffer Pro Wireshark WinNetCap WinSock Expert TCPDUMP 网络封包分析软件的功能可想像成 "电工技师 使用电表来量测电流、电压、电阻" 的工作 只是将场景移植到网络上,并将电线替换成网 络线。

抓包分析初步
目录
何为网络包 为何抓包 如何抓包 接口数据构成
何为网络包
网络数据是由数据包构成的 众多的数据包构成完整的数据信息 每个数据包的格式各不相同何为网络包来自 为何抓包程序员:
分析网络数据,理解程序 定位程序错误 作为接口错误的证据

黑客:
监听数据,方便破解程序 嗅探用户敏感信息
WIRESHARK

GUI界面 自动抓包 分析TCPDUMP文件 支持各种协议 开源支持
接口数据构成

检测新版本:
/interface/f/ttt/v3/getlatestversion.php?ua=HTCHTC+S715e__weibo__2.5.2__android&c=me511&wm=9005_0001&fro m=5010&lang=1
TCPDUMP

Http详解及请求抓包工具使用 ppt课件

Http详解及请求抓包工具使用 ppt课件

8
Http响应报文组成—响应头
下面仅列举了一些常用的响应头,还有一些用的比较少也就不一一列举
协议头
说明
例子
Server 服务器所使用的Web服务器名称
Server:nginx/1.9.7
SetCookie
ContentLanguage
ContentEncoding
ContentType
ContentLength
Host
Referer
ppt课U件serAgent
可接受的字符集
Accept-Charset: utf-8
可接受的语言
Accept-Language: zh-CN,zh;q=0.9
可接受的响应内容的编码方式,比如gzip。Servlet能够向支持 gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减 少5到10倍的下载时间
Allow
向客户端设置Cookie。与Cookie请求头相互对应。Set-Cookie 头是服务器向客户端设置Cookie,Cookie头是客户端向服务器传 Set-Cookie:username=xxx 客户端已经保存的Cookie信息
响应资源所使用的语言
Content-Language: zh-CN,zh;q=0.9
5
DELETE
请求服务器删除指定的页面。
6
OPTIONS 允许客户端查看服务器的性能。一般用于查看该URL支持的请求方法。
7
TRACE
回显服务器收到的请求,主要用于测试或诊断。
8
CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
ppt课件
6
Http请求报文组成—请求头

第8章 网络抓包实训

第8章 网络抓包实训

传输层协议及报文格式 传输层的主要协议 传输层端口的含义 TCP报文段格式 UDP报文段格式
8.3传输层协议及报文格式



传输层位于OSI七层模型中的第四层; 传输层协议为运行在不同主机上的应用进程 之间提供了逻辑通信; 传输层的主要功能就是提供端到端的服务。
8.3.1 传输层的主要协议



8.1.4 以太网帧格式



数据在网络上是以帧为单位进行传输的,帧 是通过数据链路层(二层)协议封装而成的 。以太网技术属于一种数据链路层技术。 确切地说,相邻两个节点的传输是以帧为单 位传输的,帧由相邻两个节点中的发送方封 装的,由接收方解封装。 发送方在封装帧时,需要指定目的MAC地址 ,并填写自己的MAC地址到源地址,指明上 层协议类型,把网络层传递下来的IP数据包 全部放入数据段,并计算出CRC校验和,才 能创建一个数据帧。
8.1.4 以太网帧格式



数据字段:帧所携带的数据载荷(来自上一层IP 分组)。以太网的最大传输单元(MTU)是1500 字节,如果一个IP数据包长度超过1500字节,就 必须将该IP数据包分组,帧的最大长度规定为 1518字节。 填充域字段:帧的最短长度规定为64字节,这就 要求“数据字段”的最小长度是46字节。如果IP 数据包小于46个字节,将被填充到46字节。 CRC字段:CRC,即循环冗余校验(Cyclic Redundancy Check),CRC字段的目的是允许接 收方适配器检测数据帧是否存在差错。
8.3.2 传输层端口的含义


由于同一台机器上可能会运行多个网络应用 程序,计算机需要确保目标计算机上接收源 主机数据包的软件应用程序的正确性 确保源主机的应用程序进程也能够正确响应 目标主机的回复。 该过程是通过使用TCP 或 UDP 端口号来实 现的。

网络协议分析与抓包技术

网络协议分析与抓包技术

网络协议分析与抓包技术随着互联网的快速发展,网络通信已成为当今社会日常生活和工作中不可或缺的一部分。

网络协议是保障网络通信正常运行的基础,而抓包技术则是分析网络流量、调试网络问题的重要方法。

本文将对网络协议分析与抓包技术进行详细介绍。

一、网络协议分析网络协议是指计算机网络中通信实体之间为了实现特定功能而进行的规则和约定。

在进行网络协议分析时,我们需要了解常见的网络协议,如TCP/IP协议栈、HTTP协议、FTP协议等。

1. TCP/IP协议栈TCP/IP协议栈是互联网通信的核心协议,它由四层构成:网络接口层、网络层、传输层和应用层。

网络接口层负责网卡的数据传输,网络层负责数据包的路由和寻址,传输层负责数据的分段和重组,应用层则负责具体应用程序的数据交互。

2. HTTP协议HTTP(Hypertext Transfer Protocol)是一种用于传输超文本的应用层协议。

通过HTTP协议,可以在Web浏览器和Web服务器之间传输HTML页面、图片、视频等数据。

在进行网络协议分析时,我们可以通过抓包工具来查看HTTP请求和响应的数据内容,以便调试和优化Web应用程序。

3. FTP协议FTP(File Transfer Protocol)是一种用于在计算机之间传输文件的协议。

FTP客户端可以通过FTP协议连接到FTP服务器,并进行文件的上传、下载、删除等操作。

在进行网络协议分析时,我们可以通过抓包来查看FTP协议的命令和响应,以便排查文件传输的问题。

二、抓包技术抓包技术是指通过网络抓包工具截取网络数据包,并对其进行分析和解析的过程。

通过抓包技术,可以获取到网络通信中的详细信息,包括源IP地址、目标IP地址、端口号、数据内容等。

常见的抓包工具有Wireshark、tcpdump等。

抓包技术对于网络故障的定位和网络性能的优化非常重要。

通过抓包工具,我们可以查看网络通信中的数据包传输情况,寻找是否存在丢包、延迟、重传等问题。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
常见的网络分析器产品有:Network Associates公司的Sniffer、NetXray公司的Sniffer Basic,科来协议分析、allot。 Sniffer公司目前主推硬件分析
还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。
另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
抓包接入
交换式网络 - 交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交 换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络 分析系统可安装在连接镜像端口的主机上方式
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析 器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接 口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广 域网以便于捕获流经的数据流。
常见的危害有:
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息,比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上
传送的用户姓名、口令、信用卡号码、截止日期、账号和PIN。比如偷窥机密或敏感的信息 数据,通过拦截数据包,入侵者可以很方便地记录别人之间敏感的信息传送,或者干脆拦截 整个的E-mail会话过程。
可以用层的协议信息
抓包接入 共享网络 - 通过Hub连接上网
使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享 模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将科来网 络分析系统可安装在局域网中任意一台主机上,此时科来网络分析系统可以捕获整个网络中 所有的数据通讯。
LINNUX中带的TCPDUMP也可以抓取数据包进行协议分析。
协议分析器的特点
捕获数据包
◦ 进行协议分析的前提是要有捕获的数据包,协议分析器可以捕获所有流经其所控制的媒体的数 据。高端的协议分析器还可以制定捕获的计划和触发条件。
数据包统计
◦ 协议分析器可以对捕获到的数据包进行统计和分析,根据时间、协议类型和错误率等进行分析, 甚至可以打印出各种直观的图表和报表。
抓包接入
交换式网络 - 交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交 换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络 分析系统可安装在连接镜像端口的主机上方式
抓包接入
交换式网络 - 交换机不具备管理功能(无端口镜像)
一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。如果您的 中心交换或网段的交换没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap) 的方法进行部署。如图所示: 使用网络分接器(Taps) 使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再 安装另外的网卡。 用集线器(Hub) Hub成本低,但网络流量大时,性能不高,Tap即使在网络流量高时,也对网 络性能不会造成任何影响,
读取其他协议分析器的数据包格式
◦ 大部分协议分析器可以读取显示其他协议分析器捕获的数据包文件。
作为嗅探器的协议分析器
黑客使用协议分析器的时候,它就成了一种黑客工具,我们可以称之为嗅探器。
嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获 真实的网络报文。嗅探器工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据, 并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布 局。嗅探是一种安静的、消极的安全攻击。
局域网分析器用来捕获和显示来自局域网的信息数据,这些局域网包括以太网、令牌 环网和光纤分布式数据接口(FDDI)等。局域网分析器是通过集线器或者交换机连接 到局域网网段上的。将局域网分析器连接到交换机时,需要进行一些特殊的考虑。一 般情况下,分析器只能捕获经过它所连接的端口的所有数据。某些交换机可以配置监 视端口,把分析器接入到监视端口就可以捕获监视流经所有端口的数据。
过滤数据
◦ 大量的数据包的捕获会消耗太多的系统资源,性能很低。协议分析器可以设置过滤,只捕获满 足特定条件的数据包。根据大量捕获结果排错的时候,也需要能过滤无关的大量数据包,把最 有用的数据包找出来。协议分析器往往有强大的过滤功能。
数据包解码
◦ 捕获的数据包的内容就是0/1的比特流,协议分析器可以对这些比特流解码,识别哪些部分是 封装的头部信息,哪些是有效净载荷。网络通信协议非常多,好的协议分析器能对各种协议数 据包解码。
为什么要学习抓包和协议分析
协议分析工具
进行网络管理和网络安全管理,不仅要从宏观上管理网络的性能,还要从微观上 分析数据包的内容,这样才能确保网络安全并且正常地运行。 使用协议分析工具的目的,就是为了捕获网络中传输的数据包并对数据包中的比 特进行统计和分析。 宏观上,可以进行统计以确定网络性能的基线。微观上,可以从数据包分析中了 解协议的实现情况、是否存在网络攻击行为等,为制定安全策略及进行安全审计 提供直接的依据。 如果黑客在网络当中使用协议分析工具,就是一种消极的安全攻击。