《网络抓包与分析培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络抓包与分析培训ppt课件.ppt(113页珍藏版)》请在三一办公上搜索。
1、为什么要学习抓包和协议分析,协议分析工具,进行网络管理和网络安全管理,不仅要从宏观上管理网络的性能,还要从微观上分析数据包的内容,这样才能确保网络安全并且正常地运行。使用协议分析工具的目的,就是为了捕获网络中传输的数据包并对数据包中的比特进行统计和分析。宏观上,可以进行统计以确定网络性能的基线。微观上,可以从数据包分析中了解协议的实现情况、是否存在网络攻击行为等,为制定安全策略及进行安全审计提供直接的依据。 如果黑客在网络当中使用协议分析工具,就是一种消极的安全攻击。1、故障分析定位2、网络质量评估3、入侵,协议分层,从网络协议说起,协议分层,协议体系,TCP/IP模型各层的功能,协议分析器概
2、述,协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。 广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广域网以便于捕获流经的数据流。 局域网分析器用来捕获和显示来自局域网的信息数据,这些局域网包括以太网、令牌环网和光纤分布式数据接口(FDDI)等。局域网分析器是通过集线器或者交换机连接到局域网网段上的。将局域网分析器连接到交换机时,需要进行一些特殊的考虑。一般情况下,分析器只能捕获经过它所连接的端口的
3、所有数据。某些交换机可以配置监视端口,把分析器接入到监视端口就可以捕获监视流经所有端口的数据。 常见的网络分析器产品有:Network Associates公司的Sniffer、NetXray公司的Sniffer Basic,科来协议分析、allot。 Sniffer公司目前主推硬件分析还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析。 LINNUX中带的TCPDUMP也可以抓取数据包进行协议分析。,协议分析器的特点,捕获数据包 进行协议分析的前提是要有捕获的数据包,协议分析器可
4、以捕获所有流经其所控制的媒体的数据。高端的协议分析器还可以制定捕获的计划和触发条件。 数据包统计 协议分析器可以对捕获到的数据包进行统计和分析,根据时间、协议类型和错误率等进行分析,甚至可以打印出各种直观的图表和报表。 过滤数据 大量的数据包的捕获会消耗太多的系统资源,性能很低。协议分析器可以设置过滤,只捕获满足特定条件的数据包。根据大量捕获结果排错的时候,也需要能过滤无关的大量数据包,把最有用的数据包找出来。协议分析器往往有强大的过滤功能。 数据包解码 捕获的数据包的内容就是0/1的比特流,协议分析器可以对这些比特流解码,识别哪些部分是封装的头部信息,哪些是有效净载荷。网络通信协议非常多,好
5、的协议分析器能对各种协议数据包解码。 读取其他协议分析器的数据包格式 大部分协议分析器可以读取显示其他协议分析器捕获的数据包文件。,作为嗅探器的协议分析器,黑客使用协议分析器的时候,它就成了一种黑客工具,我们可以称之为嗅探器。 嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。嗅探器工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。嗅探是一种安静的、消极的安全攻击。常见的危害有: 捕获口令 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的
6、用户名和密码。 捕获专用的或者机密的信息,比如金融账号许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和PIN。比如偷窥机密或敏感的信息数据,通过拦截数据包,入侵者可以很方便地记录别人之间敏感的信息传送,或者干脆拦截整个的E-mail会话过程。 可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限 窥探低层的协议信息,抓包接入共享网络 - 通过Hub连接上网使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hu
7、b),可将科来网络分析系统可安装在局域网中任意一台主机上,此时科来网络分析系统可以捕获整个网络中所有的数据通讯。,抓包接入交换式网络 - 交换机具备管理功能(端口镜像)使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络分析系统可安装在连接镜像端口的主机上方式,抓包接入交换式网络 -
8、 交换机具备管理功能(端口镜像)使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络分析系统可安装在连接镜像端口的主机上方式,抓包接入交换式网络 - 交换机不具备管理功能(无端口镜像)一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。如果您的中心交换或网段的交换
9、没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap)的方法进行部署。如图所示:使用网络分接器(Taps)使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再安装另外的网卡。用集线器(Hub)Hub成本低,但网络流量大时,性能不高,Tap即使在网络流量高时,也对网络性能不会造成任何影响,,接入方式对比,常见的协议分析工具,主要功能如下: 为网络协议分析捕获网络数据包 分析诊断网络故障 实时监控网络的活动情况 收集单个工作站、会话、或者网络中的任何一部分的详细的网络利用情况和错误统计; 保存网络情况的历史记录和错误信息,建立基线 当检测到网络故障的时候,
10、生成直观的实时警报并通知网络管理员 模拟网络数据来探测网络,衡量响应时间,路由跳数计数,排错,Microsoft Network Monitor,Windows中自带的组件网络监视器Network Monitor,其工作原理类似于其他协议。Network Monitor可以捕获所有经过指定的网络接口的数据包,并进行协议分析。使用网络监视器,可以发现网络通信模式和网络问题。例如,可以定位客户端到服务器的连接问题,发现工作请求数目不成比例的计算机,以及发现网络上未经授权的用户。系统自带也可以下载:http:/,Ethereal,这是个小巧的协议分析器,包含了对许多常用协议的分析解码功能。Ether
11、eal也可以设置过滤器,以便于把真正用户关心的数据捕获并显示出来。 已不用了!,WireShark简介,Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 官方网站:
12、http:/www.wireshark.org/,3. DISPLAY FILTER(显示过滤器),显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。,4. PACKET LIST PANE(封包列表),封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。如果捕获的是一个OSI layer 2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。如果捕获的是一个OSI lay
13、er 3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。您可以在这里添加/删除列或者改变各列的颜色:Edit menu - Preferences,PACKET DETAILS PANE(封包详细信息),这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。下面截图中展开的是HTTP信息。,6. DISSECTOR PANE(16进制数据),“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与
14、“封包详细信息”中相同,只是改为以16进制的格式表述。在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。,MISCELLANOUS(杂项),在程序的最下端,您可以获得如下信息:- 正在进行捕捉的网络设备。- 捕捉是否已经开始或已经停止。- 捕捉结果的保存位置。- 已捕捉的数据量。- 已捕捉封包的数量。(P)- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)- 被标记的封包数量。(M),非混杂模式及混杂模式下抓包,非混杂模式指:WireShark只抓取指定网卡上的发出与接收的数据包,与指定网卡无关的数据包
15、将被忽略。混杂模式指: WireShark能够抓取主机所在局域网内的全部网络包,即接收所有经过网卡的数据包,包括不是发给本机的包。,过滤器,捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么我应该使用哪一种过滤器呢?两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的
16、语法是完全不同的。,1. 捕捉过滤器,捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。,设置捕捉过滤器的步骤是:选择 capture - options。填写“capture filter”栏或者点击“capture filter”按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。点击开始(Start)进行捕捉。,捕捉过滤器语法,Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, de
17、cnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议,则默认使用所有支持的协议。Direction(方向):可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。例如,“host 10.2.2.2”与“src or dst host 10.2.2.2”是一样的。,捕捉过滤器语法,Host(s):可能的值: net, port, host, portrange.如果没有指定此值,则默认使用“host”关键字。例如,“src 10.1.1
18、.1”与“src host 10.1.1.1”相同。Logical Operations(逻辑运算):可能的值:not, and, or.否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级,运算时从左至右进行。例如,not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。,捕捉过滤器语法举例,tcp dst port 3128 显示目的TCP端口
19、为3128的封包。ip src host 10.1.1.1 显示来源IP地址为10.1.1.1的封包。host 10.1.2.3 显示目的或来源IP地址为10.1.2.3的封包。src portrange 2000-2500 显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。,捕捉过滤器语法举例,not imcp 显示除了icmp以外的所有封包。(icmp通常被ping工具使用)src host 10.7.2.12 and not dst net 10.200.0.0/16 显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。(src hos
20、t 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。,注意事项,当使用关键字作为值时,需使用反斜杠“”。“ether proto ip” (与关键字“ip”相同).这样写将会以IP协议作为目标。“ip proto icmp” (与关键字“icmp”相同).这样写将会以ping工具常用的icmp作为目标。可
21、以在“ip”或“ether”后面使用“multicast”及“broadcast”关键字。当您想排除广播请求时,no broadcast就会非常有用。,2. 显示过滤器,通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。,显示过滤器语法,Protocol(协议)您可以使用大量位于OSI模型第2至7层的协议。点击“Expression.”按钮后,您可以看到它们。比如:IP,TCP,DNS,SSH,显示过滤器语法,您同样可以在如下所示位置找到所支持的协议:,显示过滤器语法,Strin
22、g1, String2 (可选项) 协议的子类。点击相关父类旁的+号,然后选择其子类。,显示过滤器语法,Comparison operators (比较运算符)可以使用6种比较运算符:,显示过滤器语法,Logical expression_rs(逻辑运算符) 被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。让我们举个例子:tcp.dstport 80 xor tcp.dstport 1025只有当目的TCP端口为80或者来源于端口1025(但又不能同时满足这两点)时,这样的封包才会被显示。,显示过滤器语
23、法举例,snmp | dns | icmp 显示SNMP或DNS或ICMP封包。ip.addr = 10.1.1.1 显示来源或目的IP地址为10.1.1.1的封包。ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。换句话说,显示的封包将会为:来源IP:除了10.1.2.3以外任意;目的IP:任意以及来源IP:任意;目的IP:除了10.4.5.6以外任意ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封
24、包。换句话说,显示的封包将会为:来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意,显示过滤器语法举例,tcp.port = 25 显示来源或目的TCP端口号为25的封包。tcp.dstport = 25 显示目的TCP端口号为25的封包。tcp.flags 显示包含TCP标志的封包。tcp.flags.syn = 0 x02 显示包含TCP SYN标志的封包。如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。 表达式正确表达式错误,科来,网络常见的ARP攻击安全问题,通讯异常发现安全问题,收发比异常,快速定位ARP攻击,快速定位
25、各种arp 攻击,网络故障诊断,出现网络故障,只要能快速定位诊断,就可以最快速的解决问题,减少损失。网络通讯分析通过对底层数据包的诊断,能最有效的找出问题的所在。特点:快速定位故障点自动发现并提取问题智能的专家建议,提供故障原因、可解决的办法等,强大的故障诊断视图,按照网络层次分类,强大的诊断配置,提供48种以上网络故障诊断,并且为每个故障提供阈值修改,每个故障发生的原因,快速定位IP冲突,发生冲突的两个MAC,事件的详细描述,网络性能检测,提高网络性能,才可以合理的利用网络资源。性能分析有助于实现资源的合理分配;为规划和调整网络提供准确依据。特点:提供精确的性能分析数据,微秒级的数据响应时间
26、、时间差、相对时间等;各种协议的详细统计深入到每个节点数据的分析每个应用的会话情况,微秒级统计时间,深入各协议分析,4百多种协议的详细解码分析,提供每个节点数据的分析,某IP的概要统计,每个应用的连接情况,HTTP应用的连接情况,网络通讯监视,可以让管理者了解每个端点、会话的通讯情况查看通讯数据,迅速定位异常端点和会话特点:多达22种端点统计参数端点与会话的完美组合TCP会话的时序图呈现可视化的连接矩阵图DNS/Email/FTP/HTTP日志分析,物理层/IP层/TCP/UDP主机会话,持续时间最长的会话主机,占用带宽最大的通讯,端点与会话的完美组合,IP端点,会话统计,TCP会话的时序图呈
27、现,TCP标志、负载,通讯连接:强大的矩阵连接,正常网络,DDos攻击,DNS/Email/FTP/HTTP日志 分析,可查看日志的详细信息,并支持保存功能,5、流量分析,提供精确的流量分析数据,才可以使您解决广播风暴、网络阻塞、带宽非法占用、网络滥用等问题。特点:提供非常丰富的数据,42种以上的流量统计数据丰富的实时监控图提供每个主机的各种流量绑定IP与MAC流量对应关系统计内网流量、广播/组播流量、私有流量,提供42类流量数据值,可根据协议、物理、IP进行浏览,这是所有TCP会话的IP,发送的流量,接收的流量,协议、重传及乱序等,右击显示更多参数,丰富的实时监控图,总流量的历史变化,TCP
28、会话的建立情况,利用率的实时监控,SYN 个数的统计,每个主机的各种流量,各种流量分析,网络协议分析,只有深入到协议,挖掘到数据包内容才能真正掌握整个网络通过数据包重组数据流,可以重现网络通信内容特点: 支持四百多种协议的解码 对整个数据包内容结构的呈现 对数据流重组,四百多种协议解码,树状呈现各层协议,数据包解码,各层报头,十六进制显示,ASCII编码显示,数据流重组,会话节点,会话的数据流,TCPDUMP,命令参数-i: 指定网卡;-n:以数值方式显示网络地址及端口号;-s:snapshot长度,通常指定为0,即不做限制;-X:以16进制方式显示网络包的内容;-w:输出到文件port n:
29、指定监听的端口号n,如果不指定则监听所有端口;dst host:指定发送包的目的主机;src host:指定发送包的源主机;,TCPDUMP,tcpdump-ni eth0 -s 0 -X port 8080 and dst 192.168.11.2 tcpdump -n -s 0 -w /sdcard/dopool.pcap,TCPDUMP,Android下的操作步骤root手机下载tcpdump执行文件adb remountadb push D:tcpdump /system/xbin/tcpdumpadb shell chmod 777 /system/xbin/tcpdumpadb s
30、hell tcpdump -n -s 0 -w /sdcard/dopool.pcapadb pull /sdcard/dopool.pcap D:1.pcap,ing大包丢包故障,故障环境 故障现象 故障分析 故障解决 技巧小结,故障环境,说明:1、办公机器都属于10.12.128.0/24网段;2、办公机器通过一个二层的接入交换机、光电转换器接入集团核心交换机。,连接拓扑:,故障现象,Ping大包丢包严重ping小包正常前期使用单机ping大包未出现丢包现象,故障前期简单分析,链路测试、策略检查均无异常,该故障非一般连通性故障此类丢包问题,主要是需要定位出丢包的位置可能故障点主要有:,故障
31、分析-分析方法,数据包分析法,对比分析法,在此次的故障解决过程中,我们主要使用对比分析法分析出将大数据包丢弃的中间设备或链路。,主要通过专有的网络分析工具(科来网络分析系统)将故障时相应的数据包捕获下来进行深度分析,并通过分析发现相应的异常,从而定位故障原因的方法,主要指通过对网络中传输的数据包的对比,分析出数据包在传输过程中各个中间设备对数据包的相应处理过程,包括更改、丢弃和转发等,故障分析过程-选取抓包故障点,在实际的分析过程中,我们需要考虑到抓包的方便性和相应中间设备的功能特性选取数据包捕获点,在这个故障环境下,我们主要选在接入交换机与核心交换机上抓取数据包,故障分析过程-重现故障,在测
32、试机器10.12.128.66上使用如下命令测试网络的大包传输情况:ping 10.1.10.9 -l 10000 t 。我们可以简单计算一下ping10000字节的大包在以太网中会被分成多少个分片:PING产生的IP负载=10000(ping负载)+8(icmp头长度)一个以太网IP包的最大有效负载=1500(以太网MTU)-20(IP包头长度)=1480B 产生IP分片数的计算方式为: 10008/1480=6余1128,即一个1500B的icmp报文,5个1500B的ip分片包,1个1148B的ip分片包,通过该测试命令重现了故障现象:大文件传输丢包情况较为严重。,故障分析过程-抓包,我
33、们分别在核心交换机6509、接入交换机上做端口镜像(端口镜像的详细命令和过程在此不再描述),将其相应链路的数据包镜像到我们选取的监听口,我们再通过科来网络分析系统捕获相应的数据包,故障分析过程-对比分析,1.分析接入交换机上抓取的数据包,1个1500字节icmp包,5个1500字节ip分片包,1个1148字节ip分片包,接入交换机数据包分析结论,Ping超时的原因为中间某个大包在传输的过程中 被丢弃了,导致接收端重组超时接入交换机转发了所有的分片包,即某个分片包不 是在接入交换机上丢弃的,1个1500字节icmp包,4个1500字节ip分片包,故障分析过程-对比分析,2.分析核心交换机6509
34、上抓取的数据包,1个1148字节ip分片包,结论:这个被丢弃的某个分片在到达核心交换机6509前就被丢弃,对比分析结果,根据前面的对比分析,结合拓扑结构,我们可以知道,某个分片包是在接入交交换机转发之后、核心交换机6509接收之前被丢弃的,那么可能被丢弃的位置只剩下光电转换器了!,在线视频不定时异常中断,故障环境 故障现象 故障分析 故障解决 技巧小结,故障环境,故障拓扑:,说明:1.VOD在线视频是通过web页面观看的,通讯流全部使用HTTP的80端口传输数据2.客户端与服务器是纯路由环境下完成数据交互的,故障现象,客户端通过浏览器在线观看VOD视频时,不定时(有时几分钟、有时十几分钟,没有
35、规律)的出现中断情况。使用ping命令长时间测试VOD服务器的连通性,一直正常。异常时,VOD服务器的web页面访问正常,前期简单分析,Ping命令测试正常,说明不存在连通性问题不定时出现、无规律性说明应该不是策略(时间控制等)原因导致的其他应用未反应异常,通过简单分析,没有什么明显的突破口,此类故障应属于较高层次的故障,只能借助科来抓包分析来找突破口了,客户端抓包分析可能原因,首先在客户端在线视频时,开启科来抓包,在故障出现后停止抓包,并分析故障时间段的数据包,看能否找到一些突破口。,一般而言,这种应用都是服务器向客户端传输数据,而客户端仅对服务器端发送确认即可,这种确认不包含任何的数据,其
36、大小在填充完后只有64B,而在故障发生时,我们竟然发现了客户端向服务器发送的大小为70B的ack,TCP选项字段导致的70B的ack,TCP选项解码,1.选项字段解码,显示为客户端使用的为SACK选项,其左右边边界都已表示出,2.科来抓包显示客户端多次向服务器发送带SACK选项的ACK包,3.通过科来解码,显示SACK左左边界内容一致,4.显示客户端没有收到来自服务器的某个数据段,服务器端抓包确认问题原因,1.查看服务器端是否收到客户端的带有SACK选项的ACK报文,2.查看服务器端是否重传了客户端未收到的数据段,3.通过查看服务器给客户端传输数据的次序与序列号,我们可以看出服务器重传了客户端
37、未收到的数据包,可能故障点,可能故障点,通过前面的深入分析,我们可以知道,客户端由于没有收到某段来自服务器的数据,导致了在线电影视频的异常中断,但是客户端向服务器端发送看带有SACK选项的ACK报文,告知服务器端重传其未收到的数据段,服务器端收到了这个重传信息,也重传了客户端要求的数据段,但客户端还是未收到,可见,该故障与端系统无关,是中间系统导致的,接下来明确中间系统可能故障点:,由于交换机丢弃数据包的可能性极小,因此,我们应该将分析的重点放在网关设备上,抓包分析定位故障点,首先,已经明确了是服务器发送给客户端的某个数据段被丢弃了,那么我们只需要在服务器、防火墙进出接口分别抓包,并做对比分析
38、即可定位出是否是防火墙将数据包丢弃的,确认三个捕包位置分别如下:,数据包捕获点,捕包工作的开展,捕包位置已经定下来了,接下来就是如何以最简单便利的方式部署开展捕包工作了,在此,我们一般可以通过在防火墙两端链路上分别部署科来来完成抓包,但是在这个案例中,我们使用了一些防火墙的特点:中间设备自带命令行的捕包功能!,在此两台防火墙均为天融信的,一个为老4000平台,另一个为TOS平台,两台均支持命令行下的tcpdump抓包功能,那么我们只需要直接在两台防火墙上抓包即可,无需对用户链路进行中断或更改。,Cisco的PIX、ASA,F5负载均衡,netsreen的防火墙,网域防火墙等都带有捕包功能,能够
39、满足我们一般的分析需要,合理利用这些中间设备的捕包功能,可以大大降低我们的部署难度,提高我们分析的效率,客户端在线观看VOD服务器上的在线视频,同时在服务器、两台防火墙上分别抓包。,关于这些设备的抓包功能的使用在此不做详细介绍,有兴趣的可以私下沟通,对比分析,1.分析服务器端的包,定位丢弃的包,2.确定被丢弃的包的IP标识为28232,对比分析,3.通过IP标识,在防火墙上抓取的数据包中查找相应的IP标识的数据包,防火墙从ETH6口接收了这个IP标识为28232的数据包,并从ETH0口转发了这个数据包,防火墙没有丢弃这个包,同样的分析方法,我将两台防火墙都排除在外!,我们分析这个防火墙上抓取的
40、数据包,可以发现:,交换机主要功能为数据转发,其丢弃数据包的可能性是很小的,我们决定重新理一下网络拓扑,发现在互联网防火墙与核心交换机之间还串接了1台IPS设备。,在实际解决故障的时候,我们往往难以收集所有的信息,有时需要我们在分析的过程中不断的修正,这个过程往往都是很戏剧性的。,定位IPS异常丢包,通过在IPS进出接口间同时抓包,使用前面同样的方法即可定位是否为IPS丢包。在此不再详述,分析结果显示是IPS将数据包丢弃了。,Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。号称穷人使用的L0phtcrack。它的功能十分强大,可以网络嗅探,
41、网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。 Abel 是后台服务程序,一般不会用到,我们重点来介绍Cain的使用。,Cain,Cain,在某台被入侵的主机安装侦听软件,可实现对当前主机所在VLAN所有主机的报文侦听。通过ARP欺骗抓包,几乎可以将当前局域网或指定主机上的一切明文帐号口令捕获,包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、RDP、IKE Aggressive Mode Pre-Shared Keys authentications等。,Cain,Cain,Cain,Cain,浏览器抓包HttpWatch,浏览器抓包 火狐,浏览器抓包,浏览器抓包 科来,浏览器抓包,FTP,
