unix 网络协议的深度分析.pdfVIP

UNIX 网络协议的深度分析 简介：无论您是在监控您的网络以便发现性能问题、调试一个应用，还是在您 的网络上发现一个您不认识的应用，有时您都需要对您的 UNIX® 网络中使用 的协议进行深度分析，以便了解它们的作用。有一些协议很容易确定和理解，即 使它们使用非标准端口。而另外一些协议则需要进行更多的观察以了解它们在做 什么、在交换什么信息。在本文中，我们将介绍对 UNIX 网络中使用的协议进 行深度分析的技术。 引言 网络已经是无处不在，很多时候我们都会利用网络与不同主机进行通信，包 括网络内部和外部的。大多数情况下这不会遇到问题，但是有时您需要仔细检查 您的网络以查明问题原因。 仔细检查网络流量内容的原因有很多。其中第一个原因是您可能正在调试一 个现有的网络应用，或者您正在开发一个应用，而您想要监控通过您的网络的流 量。第二个原因是需要识别可能耗尽网络带宽和资源的流量。对于前一种情况， 您可能已经知道协议的内容了，但是您希望能够更深入地了解正在传输的实际数 据，例如，在使用 Web 服务时。对于后一种情况，确定数据包的内容需要了解 正在使用的协议的一些扩展知识。 在 TCP/IP 和 UDP/IP 的通信中，最主要的元素是用于确定主机和端口号 IP 的 地址。端口号用于提供额外的通信通道，这样您才能够在两个主机之间实 现多个连接。其中端口定义还有一些标准。例如，端口 25 是专用于电子邮件 （SMTP）传输，而大多数网站都是运行在端口 80 （HTTP）上的。这些规范可 以使程序之间通过一个熟悉的通道进行通信，这与您选择电话或传真号的道理是 一样的。 虽然有这样一些规范，但是您实际想使用哪些端口是没有任何限制或约束 的。事实上，大多数情况下一些破坏性网络应用和一些安全性方法会故意使用非 标准端口。例如，有些应用会通过将一个标准端口用于不同的协议而隐藏内容， 如在端口 25 上使用 HTTP 协议。此外，有时某些应用也会使用与标准不同的 99 HTTP 端口，这样端口的用途就明显了 （如，将端口 用于 ），或者将特定的 协议流量封装到另一个协议中。最后的方法实际上是网络通道和虚拟私有网络 （VPN）所使用的方法。 不管网络流量原因和复杂性，第一个步骤都会开始记录数据。 记录原始数据 如果您希望记录网络原始数据，以便自己检查这些信息，那么您可以使用许 多不同的工具。大多数的网络嗅探器也能够解码和解密特定的数据包内容，这能 够帮助您研究一个已知协议的内容。 在 Solaris 上，您可以使用 snoop 工具，而在 AIX 上，您可以使用 iptrace 工具。您也可以尝试使用跨平台的 tcpdump 工具，它支持大多数的 UNIX 和 Linux 操作系统。这些工具能够帮您捕捉和解码数据包，通常也能为您执行大多 数的协议分析。注意，现代交换机不会将 Ethernet 数据包发送到每一个端口上， 这通常会限制您从当前主机获取的信息量。许多现代交换机具有一个管理端口， 它通常带有与这种监控完全相同的所有数据包的副本。 解码网络传输最复杂的是网络数据包中信息的级别。此外，大部分信息也会 经过二进制编码后再发送，从网络捕捉完全原始的数据包需要进行大量的操作才 能捕捉您需要的数据。通过使用实现某些处理的工具，您可以简化解码网络数据 的过程。 例如，在一个 Ethernet 上查看一个典型的 TCP/IP 协议，您将会发现网络 中传输的数据包括：  Ethernet 数据包头，包括 Ethernet 来源和目标地址，数据包大小和 Ethernet 数据包类型。  IP 报头，由 IP 寻址 （来源和目标），协议标识和 IP 标记。您也会得到关 于分片和数据包顺序的信息。  TCP 报头，它包含端口上的信息、隐含的协议、标记和顺序编号。 即使有这些信息，我们仍然无法了解实际内容。在 TCP （或 UDP）协议之 HTTP SMTP FTP 下还有额外的协议，标准数据协议 （包括 、 和 ），或者封装 性协议，如 R