|
为了有效地解决计算机网络相关问题,深入理解TCP / IP是绝对必要的,但随着,您还需要?看到?TCP / IP流量。有各种开源和商业工具可用于捕获和显示网络流量以供进一步分析。 让我们考虑有效的流量分析和网络故障排除工具的基本特征: 捕获来自各种网络(如有线,无线等)的流量的能力 捕获流量的图层表示,以方便阅读 能够以标准格式保存数据包 能够深入数据包进行流量分析 所有这些功能都是Wireshark固有的一部分。 除此之外,该工具在GNU GPL下可用(免费阅读)。 所以对于任何网络专业人士来说,Wireshark绝对是必须的! 这一系列关于Wireshark的文章将使读者熟悉Wireshark GUI,并通过捕获的数据包分析各种TCP / IP协议,解释Wireshark的特性,并讨论各种场景来定位网络相关问题。 基础知识:Wireshark模块 为了提供所需的功能,Wireshark使用由Wireshark核心集成在一起的许多不同的模块。 在这里,我冒昧地只提及重要或相关的模块及其功能,以方便理解。更多细节请参考wireshark.org。 安装 Wireshark安装非常简单直接。 Windows:下载最新的32或64位版本,与您的Windows版本兼容;双击它并按照指示操作。 在此安装过程中,您将被要求确认winpcap库的安装。对于那些关于安全性的偏执狂来说,这里有个有趣的地方:一些网站,比如McAfee SiteAdvisor,将winpcap库评为安全风险。这主要是由于winpcap捕获网络数据包的能力。因此,请继续安装这些库,它们必须运行Wireshark。 Ubuntu:在Ubuntu软件中心搜索Wireshark,然后点击安装或使用命令行: sudo apt-get install wireshark 您的系统已经为第一次捕获做好了准备。欢迎来到令人兴奋的网络故障排除和协议分析的世界。 捕获数据包 Windows:通过点击图标启动Wireshark。 Linux:使用命令wireshark。 您可能需要管理权限。 推荐的方法是使用gksudo wireshark。 Wireshark也有各种命令行选项,将在单独的文章中介绍。 或者,您可以使用dumpcap(数据包捕获引擎)捕获数据包,将其保存并使用Wireshark进行进一步分析。 这确保了最小的管理权限,仅限于捕获引擎,而不是整个Wireshark软件。 Wireshark界面选择 在第一个屏幕上选择capture接口。通过图1;你注意到界面列表下面有趣的事情了吗?你也可以在USB端口上捕捉流量! 单击所需的接口,Wireshark开始捕获和显示包,这些包在三个窗格中表示。 Wireshark的三个窗格 最上面的窗格被称为“数据包列表窗格” 并显示捕获到的报文的编号,时间戳,源地址,目的地址,协议,长度等信息。 中间窗格显示“包详细信息” 当前数据包从各层查看。捕获的数据可能被视为物理框架、以太网?数据链路,IP网络,UDP(或TCP)传输和DNS(或任何其他应用程序)应用程序层。(有关这些图层的更多详细信息,网上有充足的素材,包括优秀的视频,以便更好地理解。) 分组字节 显示在最底部的窗格中。 如果这听起来很简单,这是一个有趣的难题。 在交换环境中捕获数据包 从Wireshark PC捕获流量很简单, 但是,对于网络故障排除,您需要捕获各种网络流量,例如来自网络中的任何系统,从您的网络到Internet的整个网络流量,等等。 在交换环境中捕获流量并不容易。 这里是为什么。 让我从一个以太网集线器和一个以太网交换机的区别开始。 集线器将在特定端口上收到的所有数据包发送到所有其他端口。 交换机只将流量转发到指定的端口。 为了达到这个目的,交换机维护一个MAC地址表(与端口绑定相对应的二层地址),并将报文转发到与目的MAC地址相连的接口。 如果目标MAC不知道,它将广播到所有端口(发送端口除外),请求具有目标MAC的设备的端口。 一旦收到确认答复,实际的数据包只被转发到相应的端口。 从安全角度来看,以太网交换机肯定比集线器好。 但是,确保安全性的功能在捕获网络流量时带来了挑战。 在交换网络中,默认的捕获将包含Wireshark机器的数据包和广播流量。 有几种方法可以克服这一点: 1.将Wireshark系统连接到集线器上,将交换机换成一个集线器,并捕获流量。 2.使用窃听:利用用于捕获两个端点之间的通信。插入窃听的首要问题是它不应该干扰两个主机之间的任何流量。Wiretap通过在两个端点之间(交换机和设备)之间进行实现,并提供两个以太网输出。这些连接到Wireshark计算机系统和双以太网。该系统捕获两个节点之间的所有流量,而不影响现有的流量。如果在防火墙和交换机之间插入这个tap,它将捕获所有的互联网流量。通常,这个框可以通过连接四个信息点来构建。查看接线图了解更多细节(下图)。 窃听 3. 使用交换端口分析器(SPAN),也称为端口镜像:某些管理型交换机可以使用SPAN端口。 启用后,此功能会将流量从定义的端口复制到SPAN端口。 Wireshark系统连接到此SPAN端口以捕获流量。 这个系统的缺点是SPAN端口可能因为接收到来自多个端口的所有通信而超载。 这会导致数据包丢失。 4.使用ARP欺骗:这需要使用诸如ettercap-NG之类的ARP欺骗工具,这是非常棘手的,如果不采取足够的谨慎措施,可能会导致网络中断。 第一个捕获 让我们从捕获DNS(域名服务)协议的包开始。您必须知道,DNS将url解析为IP地址。这是一个非常简单的UDP协议(也适用于TCP)。它发送一个DNS查询并得到一个DNS查询响应。 DNS查询请求和icmp回声 要捕获DNS,请启动Wireshark并选择所需的接口来启动数据包捕获。 转到Windows下的命令提示符(或者终端,在Linux的情况下),和ping任何URL相关的屏幕截图(上图)是为omegasystems.co.in。 您将在屏幕上看到几个捕获的数据包。 停止数据包捕获。 命令行请求PING omegasystems.co.in从计算机系统192.168.1.2(捕获中的IP地址将与捕获系统的TCP / IP配置相同)向DNS服务器208.67.222.222触发78字节的UDP DNS查询。 收到一个94字节的回复,omegasystems.co.in的IP地址为23.91.123.124。 一个74字节的ICMP回送请求已送到解析IP地址omegasystems.co.in,其中74字节ICMP回送答复收到。 |
|
|
