⑴ 如何分析數據包判斷網路故障
從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。
根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、通過數據包的有無來判斷故障,一般用於防火牆策略調試等場景,在防火牆上進行抓包,或交換機上鏡像抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路設備配置不存在問題的情況下,通過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。
1)最常見的是通過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP數據包;攻擊行為也很多時候體現為大量數據包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於通過抓包數量來分析的。
2)通信質量判斷,抓包存在大量的重傳,此時通信質量一般都不太好。另外有視頻和語音的應用場景中,有時需要通過時間統計來判斷通信毛刺,來分析定位視頻和語音通信質量問題。
3)協議判斷,比如win2008和win2003通信時因為window
scale不兼容,導致窗口過小,而程序設計適當時,通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通信對接也有可能會用到協議分析,其中一種方式就是抓包分析。
綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同操作系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。
說了這么多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高級排錯的一部分。
⑵ wireshark鎶撳寘鐢ㄦ硶浠ュ強鏁版嵁鍖呭垎鏋愮郴鍒楁暀紼嬩竴
鏈綃囧皢璇︾粏浠嬬粛濡備綍浣跨敤wireshark杞浠舵姄鍖咃紝騫跺規暟鎹鍖呰繘琛岀畝鍗曠殑鍒嗘瀽銆備互鍙婂規暟鎹鍖呯殑鏉ユ簮Ip浠ュ強鐩鐨処p榪囨護琛ㄨ揪寮忕殑鍐欐硶銆
棣栧厛鎴戜滑鎵撳紑wireshark杞浠剁殑涓葷晫闈錛屽湪涓葷晫闈涓婇夋嫨緗戝崱錛岀劧鍚庣偣鍑籹tart銆倃ireshark鍗寵繘鍏ユ姄鍖呭垎鏋愯繃紼嬨傚湪鏈綃囨垜浠閫夋嫨浠ュお緗戱紝榪涜屾姄鍖呫
鎺ヤ笅鏉ュ啀鐣岄潰鎴戜滑鍙浠ョ湅鍒皐ireshark鎶撳埌鐨勫疄鏃舵暟鎹鍖呫傛垜浠瀵規暟鎹鍖呯殑鍚勪釜瀛楁佃繘琛岃В閲娿 1.No:浠h〃鏁版嵁鍖呮爣鍙楓 2.Time錛氬湪杞浠跺惎鍔ㄧ殑澶氶暱鏃墮棿鍐呮姄鍒般 3.Source錛氭潵婧恑p銆 4.Destination: 鐩鐨剗p銆 5.Protocol錛氬崗璁銆 6.Length:鏁版嵁鍖呴暱搴︺ 7.info錛氭暟鎹鍖呬俊鎮銆
鎺ヤ笅鏉ユ垜浠鐐瑰嚮瑙f瀽鍚庣殑鏌愪竴鏉℃暟鎹鍙浠ユ煡鐪嬫暟鎹鍖呯殑璇︾粏淇℃伅銆
鍦ㄦ姄鍖呰繃紼嬩腑錛屾垜浠鍙浠ョ偣鍑誨浘鏍囧惎鍔ㄦ垨鑰呭仠姝銆傛潵鍚鍔ㄦ垨鑰呭仠姝㈡姄鍙栨暟鎹鍖呫
鎺ヤ笅鏉ユ垜浠灝嗙畝鍗曚粙緇岶ilter澶勶紝瀵規潵婧怚p浠ュ強鐩鐨処p鐨勮繃婊よ〃杈懼紡鐨勫啓娉曘 棣栧厛鎴戜滑鍦‵ilter澶勫~鍐檌p.addr eq 192.168.2.101銆傝〃紺鴻幏鍙栨潵婧恑p浠ュ強鐩鐨剗p閮芥槸192.168.2.101鐨勬暟鎹鍖呫傦紙姝ゅ勮В閲 eq 鎹㈡垚==鍚屾牱鐨勬晥鏋滐級
鍦‵ilter澶勫~鍐欙細ip.src == 192.168.2.101銆傝〃紺鴻幏鍙栨潵婧愬湴鍧涓192.168.2.101鐨勬暟鎹鍖呫
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103銆傝〃紺鴻幏鍙栫洰鐨勫湴鍧涓119.167.140.103鐨勬暟鎹鍖呫
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45銆傝〃紺鴻幏鍙栫洰鐨勫湴鍧涓119.167.140.103鎴栬192.168.2.45鐨勬暟鎹鍖呫傦紙姝ゆ柟娉曚婦渚嬩富瑕佽存槑or鐨勭敤娉曘傚湪or鍓嶅悗鍙浠ヨ窡涓嶅悓鐨勮〃杈懼紡銆傦級
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101銆傝〃紺鴻幏鍙栫洰鐨勫湴鍧涓119.167.140.103涓旀潵婧愬湴鍧涓192.168.2.101鐨勬暟鎹鍖呫傦紙姝ゆ柟娉曚婦渚嬩富瑕佽存槑and 鐨勭敤娉曪級
⑶ 抓包抓到的數據,怎麼分析啊
1, 取決於你抓包的層級。一般來說都是與網站之間交換的,未經格式化的較為數據。
2, 可以從網卡抓取本機收發的數據,也有人把從瀏覽器或其它工作在頂層的軟體獲得的數據,成為抓包。
3, 如果你所在的區域網比較原始,你還是可以嘗試從網卡中獲得廣播的數據。
4, 分析有現成的軟體,主要針對無法加密的部分展開,即發送、接受方地址、時間、路徑、內容體積等進行。不涉及內容的情況下是典型的被動數據分析。