⑴ 如何分析数据包判断网络故障
从网络抓包是可以分析出很多东西,其中一项就是用来做排错。
根据个人的实际经验,用抓包来排错有分为几种情况:
1、通过数据包的有无来判断故障,一般用于防火墙策略调试等场景,在防火墙上进行抓包,或交换机上镜像抓包,或者这交换机内嵌抓包功能。这种抓包无需进行过多分析。
2、网络故障,已经明确网络设备配置不存在问题的情况下,通过抓包来判断问题,我把这主要分为行为判断和协议判断。
1)最常见的是通过抓包数量来判定网络行为的是否正常,比如ARP病毒爆发一定会收到大量ARP数据包;攻击行为也很多时候体现为大量数据包(但是一般判断这种攻击行为抓包不会放在第一步,只是在确定攻击特征时需要抓包);当然还有其他很多情况,适用于通过抓包数量来分析的。
2)通信质量判断,抓包存在大量的重传,此时通信质量一般都不太好。另外有视频和语音的应用场景中,有时需要通过时间统计来判断通信毛刺,来分析定位视频和语音通信质量问题。
3)协议判断,比如win2008和win2003通信时因为window
scale不兼容,导致窗口过小,而程序设计适当时,通信变动极其缓慢。这些判断都是建立在抓包协议分析的基础上的;另外不同厂商SIP通信对接也有可能会用到协议分析,其中一种方式就是抓包分析。
综合而言,协议分析时要求比较高,很多人都可以说把基础学好,但是对应实际工作多年的人,TCP/IP的协议学习一般都是多年前的事情,而且不同操作系统,对于协议栈的实现是有区别的,这部分析的工作一般都是出现问题后有针对性查资料来解决的。
说了这么多,针对抓包分析我个人的意见是:排查问题关键是思路,真的用到协议层判断的场景相对而言还是比较少,初学这不必过分纠结。但是从另外一个方面来看,能深入协议层进行排错的网工,都是具备钻研精神的,属于高级排错的一部分。
⑵ wireshark鎶揿寘鐢ㄦ硶浠ュ强鏁版嵁鍖呭垎鏋愮郴鍒楁暀绋嬩竴
链绡囧皢璇︾粏浠嬬粛濡备綍浣跨敤wireshark杞浠舵姄鍖咃纴骞跺规暟鎹鍖呰繘琛岀亩鍗旷殑鍒嗘瀽銆备互鍙婂规暟鎹鍖呯殑𨱒ユ簮Ip浠ュ强鐩镄処p杩囨护琛ㄨ揪寮忕殑鍐欐硶銆
棣栧厛鎴戜滑镓揿紑wireshark杞浠剁殑涓荤晫闱锛屽湪涓荤晫闱涓婇夋嫨缃戝崱锛岀劧钖庣偣鍑籹tart銆倃ireshark鍗宠繘鍏ユ姄鍖呭垎鏋愯繃绋嬨傚湪链绡囨垜浠阃夋嫨浠ュお缃戯纴杩涜屾姄鍖呫
鎺ヤ笅𨱒ュ啀鐣岄溃鎴戜滑鍙浠ョ湅鍒皐ireshark鎶揿埌镄勫疄镞舵暟鎹鍖呫傛垜浠瀵规暟鎹鍖呯殑钖勪釜瀛楁佃繘琛岃В閲娿 1.No:浠h〃鏁版嵁鍖呮爣鍙枫 2.Time锛氩湪杞浠跺惎锷ㄧ殑澶氶暱镞堕棿鍐呮姄鍒般 3.Source锛氭潵婧恑p銆 4.Destination: 鐩镄刬p銆 5.Protocol锛氩岗璁銆 6.Length:鏁版嵁鍖呴暱搴︺ 7.info锛氭暟鎹鍖呬俊鎭銆
鎺ヤ笅𨱒ユ垜浠镣瑰嚮瑙f瀽钖庣殑镆愪竴𨱒℃暟鎹鍙浠ユ煡鐪嬫暟鎹鍖呯殑璇︾粏淇℃伅銆
鍦ㄦ姄鍖呰繃绋嬩腑锛屾垜浠鍙浠ョ偣鍑诲浘镙囧惎锷ㄦ垨钥呭仠姝銆傛潵钖锷ㄦ垨钥呭仠姝㈡姄鍙栨暟鎹鍖呫
鎺ヤ笅𨱒ユ垜浠灏嗙亩鍗曚粙缁岶ilter澶勶纴瀵规潵婧怚p浠ュ强鐩镄処p镄勮繃婊よ〃杈惧纺镄勫啓娉曘 棣栧厛鎴戜滑鍦‵ilter澶勫~鍐檌p.addr eq 192.168.2.101銆傝〃绀鸿幏鍙栨潵婧恑p浠ュ强鐩镄刬p閮芥槸192.168.2.101镄勬暟鎹鍖呫傦纸姝ゅ勮В閲 eq 鎹㈡垚==钖屾牱镄勬晥鏋滐级
鍦‵ilter澶勫~鍐欙细ip.src == 192.168.2.101銆傝〃绀鸿幏鍙栨潵婧愬湴鍧涓192.168.2.101镄勬暟鎹鍖呫
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103銆傝〃绀鸿幏鍙栫洰镄勫湴鍧涓119.167.140.103镄勬暟鎹鍖呫
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45銆傝〃绀鸿幏鍙栫洰镄勫湴鍧涓119.167.140.103鎴栬192.168.2.45镄勬暟鎹鍖呫傦纸姝ゆ柟娉曚妇渚嬩富瑕佽存槑or镄勭敤娉曘傚湪or鍓嶅悗鍙浠ヨ窡涓嶅悓镄勮〃杈惧纺銆傦级
鍦‵ilter澶勫~鍐:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101銆傝〃绀鸿幏鍙栫洰镄勫湴鍧涓119.167.140.103涓旀潵婧愬湴鍧涓192.168.2.101镄勬暟鎹鍖呫傦纸姝ゆ柟娉曚妇渚嬩富瑕佽存槑and 镄勭敤娉曪级
⑶ 抓包抓到的数据,怎么分析啊
1, 取决于你抓包的层级。一般来说都是与网站之间交换的,未经格式化的较为数据。
2, 可以从网卡抓取本机收发的数据,也有人把从浏览器或其它工作在顶层的软件获得的数据,成为抓包。
3, 如果你所在的局域网比较原始,你还是可以尝试从网卡中获得广播的数据。
4, 分析有现成的软件,主要针对无法加密的部分展开,即发送、接受方地址、时间、路径、内容体积等进行。不涉及内容的情况下是典型的被动数据分析。