轻松看懂上CPU报文
- 格式:doc
- 大小:52.50 KB
- 文档页数:2
轻松读懂上CPU报文
平时在处理网上问题时,经常会遇到CPU利用率高的问题,这种情况通常都是由于有大量异常报文上送CPU处理,占用了CPU资源。解决办法都是在设备上做相应的ACL,来拒绝这些报文,同时找到发这些异常报文的源,在源上杀毒做到根本地解决问题。要做这些,就要分析这些报文,得到 源ip,目的ip,协议类型,端口号等信息,以方便做ACL及找到攻击源。但是直接看这些报文很费力,而且能看出的信息有限,举例如下:
ff ff ff ff ff ff 00 e0 fc 12 34 80 81 00 00 64
08 06 00 01 08 00 06 04 00 01 00 e0 fc 12 34 80
0a 0b 71 64 00 00 00 00 00 00 0a 0b 71 7f
上面的报文从颜色相间可以看到arp request报文的格式,依次为
1.目的MAC地址
2.源MAC地址
3.tag和vlan号
4.帧类型
5.硬件类型和协议类型各2字节
6.硬件地址长度
7.IP地址长度
8.ARP报文类型
9.发送端MAC地址
10.发送端IP地址
11.目的端MAC地址
12.目的端IP地址
如果有大量的报文,每个报文都对应着这些表项来看相应字段,是一件很痛苦的事。有没有偷懒的办法呢,答案是——有, 方法就是利用Ethereal 软件中一个工具text2pcap.exe
将txt 文件转化成 cap文件,具体的步骤为:
1、 将报文存储在一个txt文件,编辑好报文的格式,举一个报文的例子如下:
原报文:
00 e0 fc 5e 59 8a 00 e0 4c b0 d1 31 81 00 60 84
08 00 45 00 00 30 0c 83 40 00 80 06 78 0a 0a 85
26 01 0a 85 3b 30 13 27 00 87 0f aa a8 fa 00 00
00 00 70 02 fa f0 45 a1 00 00 02 04 05 b4 01 01
04 02
编辑成:
0000: 00 e0 fc 5e 59 8a 00 e0 4c b0 d1 31 81 00 60 84
0010: 08 00 45 00 00 30 0c 83 40 00 80 06 78 0a 0a 85
0020: 26 01 0a 85 3b 30 13 27 00 87 0f aa a8 fa 00 00
0030: 00 00 70 02 fa f0 45 a1 00 00 02 04 05 b4 01 01
0040: 04 02
注意:每行前面加上行号,如从0000-0040,冒号(英文格式)后面要加一个空格,每行最后的回车换行前至少加一个空格。每个报文都编辑成这种格式,而且只需保证报文的格式正确就行,如果在其中夹杂有其它语句可以不必理会,不影响结果。编辑时可以利用Ultraedit的列格式(ALT+C)功能,方便一些。 2、 将编辑好后的txt文件保存到Ethereal 目录下,利用text2pcap.exe转换
在 DOS 命令中切换到Ethereal 目录下,执行转换,比如转换test.txt :
C:\Program Files\Ethereal>text2pcap.exe test.txt test.cap (原文件名 目标文件名)
3、 执行上面的命令后,会生成一个test.cap 文件,用Ethereal 打开就可以分析了。
举一个具体的例子:
通过查看转换后的CAP文件,很明了,就是网络中的一些PC在不停的发目的端口号为135的TCP包,造成CPU利用率高。