深信服WOC渠道高级认证培训06-数据包分析案例.pptVIP

练练手 1、在PC上安装wireshark,抓取数据包约1分钟分析，分析数据包的TCP三次握手 2、在PC上抓取到的数据包，分析指定的2个IP之间的所有数据包，小于220byte的数据比率 培训内容 培训目标 数据包分析 1.掌握在什么场景下需要对数据进行分析 TCP三次握手 掌握TCP3次握手的分析方法 小包比率 1.掌握小包比率的分析方法 WOC案例拓扑 分析数据包TCP3次握手 深信服公司简介 分析数据包协议和小包比率 练练手 SANGFOR AC 网络异常案例拓扑 如下拓扑图，客户端访问总部SERVER或办公OA系统时异常（包括访问不到，访问时断时续，页面打开不全，上了加速反而变慢等情况），在经过《渠道高级PPT常见问题排查》做完常规排查后，就需要抓包分析了。如下拓扑，可以在下面6个地方进行抓包，根据问题排查需要进行选择。 抓包分析目的 1.PC发起的请求数据包是否到达客户端WOC 2.PC和客户端WOClan口的数据包TCP三次握手是否建立成功 3.服务端WOC是否正常收到客户端WOC的数据 4.服务端WOC是否正常把数据包发给SERVER 4.服务端设备收到的请求是客户端的真实IP，还是WOC服务端设备的IP 4.服务端SERVER收到的数据包TCP三次握手是否成功 5.分析数据包TCP和UDP数据包协议比率，数据包大小比率 PPT 模板 如何抓包 如何抓包 设备提供了web控制台抓包，采用抓包工具tcpdump： tcpdump -i eth0 抓取eth0口所有的数据包 tcpdump -i host 抓取eth0口源或目的IP为的数据包 如何抓包 PC或者SERVER上，采用wireshark抓包。wireshark需要PC管理员来安装和运行 WIRSHARK下载地址：/download.html 如何抓包 选择正常的网卡抓包 针对性的过滤数据包 使用服务器的IP，过滤数据包 针对性的输出数据包 输出过滤后的数据包 针对性的选择数据包 选择displayed的数据包，保存，然后继续分析（该截图displayed无数据包，仅做举例用） PPT 模板 分析TCP数据3次握手 找到syn请求数据包 tcp.flags.syn==1 选择一个连接，follow tcp stream 分析TCP三次握手 PPT 模板 分析数据包协议 整体判断协议 分析数据包 分析数据包——tcp包比率 总流量中IP流量占到89.14%，TCP占IP流量的81.17% 分析数据包——tcp包比率 IP Protocol Type 分析数据包——tcp包比率 TCP数据包比例越高，加速效果越好 PPT 模板 小包比率分析 分析数据包——粗略分析小包比率 分析数据包——粗略分析小包比率 分析数据包——详细分析小包比率 过滤数据包 分析数据包——详细分析小包比率 添加一个filter项tcp.len=220 分析数据包——详细分析小包比率 过滤出小于220byte数据包 分析数据包——详细分析小包比率 查看小于220byte数据包的总体概要 分析数据包——详细分析小包比率 Dispalyed的数据包，是小包的数量，小包比率越高，数据之间的交互越多，加速效果越不理想。