利用抓包工具快速分析定位流量.pdfVIP

利用抓包工具快速分析定位流量

1.网络流量分析

网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关

的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人

员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于

流量镜像协议分析，基于SNMP的流量监测技术，基于网络探针（Probe）技术和

基于流（flow）的流量分析。抓包工具就是基于流量镜像协议分析。

流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，

通过7层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流

量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流

量、长期的抓包和趋势分析的要求。

2.流量分析仪（抓包工具）的使用

以抓包工具wireshark(ethereal)为例，描述如何利用抓包工具分析网络流量。

Wireshark的界面。

再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的“CaptureàOpt

ions”，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。

要在Interface里选择正确的捕获接口，即要进行抓包的网卡。

interface确认选择后，点击Start按钮开始抓包,出现Capturefrom„对话框

点击Capturefrom…对话框中Stop按钮结束抓包，并得到抓包结果

列表框：

在列表框中，每一横行为一个数据包，点开就能看到这个数据包相应的协议框

协议框：

协议框显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及

其首部,UDP数据报及其首部,HTTP等协议细节。这一部分也是我们分析数据包最常用

的。对整体数据包每一个字段进行解析。

原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.

方框左边是十六进制的数据,右边是ASCII码。

3.实例：分析一次Ping过程中的ARP包

ping局域网内IP为02的主机

步骤:

查看并清空本地ARP高速缓存

执行Ping02,并抓包

分析ARP数据包

查看ARP高速缓存并清空：

查看本地ARP高速缓存中02主机的IP-MAC地址对应关系，并清空。

执行ping命令并在本地物理网卡上抓包：

抓包中一共截取到8个ICMP数据包和2个ARP数据包

抓包后的面板显示

分析ARP请求报文：

由于02为局域网内IP并且本地主机ARP高速缓存无对应

IP-MAC表项,故发送ARP广播请求.

以太网目的地址为广播地址(ff:ff:ff:ff:ff:ff),

帧类型为ARP(0x0806),

操作字段op为ARP请求(0x0001)

分析ARP响应报文：

02主机接收到该ARP请求后，就发送一个ARP的REPLY

命令，其中包含自己的MAC地址

以太网目的地址为88

发送端IP为02,MAC为00:00:b4:9e:41:5c

帧类型为ARP请求或应答(0x0806),

操作字段op为ARP应答(0x0002)

4.总结

流量分析仪(抓包工具)是网络工程师分析网络中异常流量的最重要的工具之一，

本文介绍了抓包工具的使用方法和实例，为正确分析数据包，定位分析流量的方法

提出指导。