网络抓包与协议分析培训.ppt

深入各协议分析 4百多种协议的详细解码分析 提供每个节点数据的分析 某IP的概要统计 每个应用的连接情况 HTTP应用的连接情况 网络通讯监视 可以让管理者了解每个端点、会话的通讯情况 查看通讯数据，迅速定位异常端点和会话 特点： 多达22种端点统计参数 端点与会话的完美组合 TCP会话的时序图呈现 可视化的连接矩阵图 DNS/Email/FTP/HTTP日志分析 物理层/IP层/TCP/UDP主机会话 持续时间最长的会话主机 占用带宽最大的通讯 端点与会话的完美组合 IP端点 会话统计 TCP会话的时序图呈现 TCP标志、负载 通讯连接：强大的矩阵连接 正常网络 DDos攻击 DNS/Email/FTP/HTTP日志 分析 可查看日志的详细信息，并支持保存功能 5、流量分析 提供精确的流量分析数据，才可以使您解决广播风暴、网络阻塞、带宽非法占用、网络滥用等问题。 特点： 提供非常丰富的数据，42种以上的流量统计数据 丰富的实时监控图 提供每个主机的各种流量 绑定IP与MAC流量对应关系 统计内网流量、广播/组播流量、私有流量 提供42类流量数据值 可根据协议、物理、IP进行浏览 这是所有TCP会话的IP 发送的流量 接收的流量 协议、重传及乱序等 右击显示更多参数 丰富的实时监控图 总流量的历史变化 TCP会话的建立情况 利用率的实时监控 SYN 个数的统计 每个主机的各种流量 各种流量分析 网络协议分析 只有深入到协议，挖掘到数据包内容才能真正掌握整个网络 通过数据包重组数据流，可以重现网络通信内容 特点： —支持四百多种协议的解码 —对整个数据包内容结构的呈现 —对数据流重组 四百多种协议解码 树状呈现各层协议 数据包解码 各层报头 十六进制显示 ASCII编码显示 数据流重组 会话节点 会话的数据流 TCPDUMP 命令参数 -i: 指定网卡; -n:以数值方式显示网络地址及端口号; -s:snapshot长度，通常指定为0，即不做限制; -X:以16进制方式显示网络包的内容; -w:输出到文件 port n:指定监听的端口号n，如果不指定则监听所有端口; dst [host]:指定发送包的目的主机; src [host]:指定发送包的源主机; TCPDUMP tcpdump?-ni eth0 -s 0 -X port 8080 and dst tcpdump -n -s 0 -w /sdcard/dopool.pcap TCPDUMP Android下的操作步骤 root手机 下载tcpdump执行文件 adb remount adb push D:\tcpdump /system/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:\1.pcap ping大包丢包故障 故障环境 故障现象 故障分析 故障解决 技巧小结 故障环境 说明： 1、办公机器都属于/24网段； 2、办公机器通过一个二层的接入交换机、光电转换器接入 集团核心交换机。 连接拓扑： 故障现象 Ping大包丢包严重 ping小包正常 前期使用单机ping大包未出现丢包现象 故障前期简单分析 链路测试、策略检查均无异常，该故障非一般连通性故障 此类丢包问题，主要是需要定位出丢包的位置 可能故障点主要有： 故障分析-分析方法 数据包分析法 对比分析法 在此次的故障解决过程中，我们主要使用对比分析法分析 出将大数据包丢弃的中间设备或链路。 主要通过专有的网络分析工具（科来网络分析系统）将故障 时相应的数据包捕获下来进行深度分析，并通过分析发现相 应的异常，从而定位故障原因的方法 主要指通过对网络中传输的数据包的对比，分析出数据包在 传输过程中各个中间设备对数据包的相应处理过程，包括更 改、丢弃和转发等 故障分析过程-选取抓包故障点 在实际的分析过程中，我们需要考虑到抓包的方便性和相 应中间设备的功能特性选取数据包捕获点 在这个故障环境下，我们主要选在接入交换机与核心交换 机上抓取数据包 PACKET DETAILS PANE（封包详细信息） 这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息。 6. DISSECTOR PANE（16进制数据） “解析器”在Wireshark中也被叫做“16进制数据查