網(wǎng)絡(luò)流量監(jiān)測-單機(jī)流量監(jiān)測

單機(jī)流量監(jiān)測網(wǎng)絡(luò)流量監(jiān)測目錄網(wǎng)絡(luò)流量監(jiān)測方式網(wǎng)卡的工作原理SnifferWiresharkPcap文件格式2網(wǎng)絡(luò)流量監(jiān)測行為的分類主動監(jiān)測：主動發(fā)起網(wǎng)絡(luò)通信，并分析流量。優(yōu)點(diǎn)是可以按測量要求定制合適的業(yè)務(wù)流量和業(yè)務(wù)行為方式缺點(diǎn)是給網(wǎng)絡(luò)增加了額外的流量開銷。被動監(jiān)測：在某個節(jié)點(diǎn)收集、提取現(xiàn)有流量來分析。優(yōu)點(diǎn)是不產(chǎn)生額外流量，對監(jiān)測點(diǎn)的網(wǎng)絡(luò)性能無影響缺點(diǎn)是對測量業(yè)務(wù)沒有可控性。3網(wǎng)絡(luò)流量監(jiān)測位置的分類4網(wǎng)絡(luò)出口流量監(jiān)測用戶主機(jī)內(nèi)嵌軟件監(jiān)測用戶端獨(dú)立監(jiān)測終端監(jiān)測核心網(wǎng)關(guān)監(jiān)測終端監(jiān)測以上監(jiān)測方式各自有自己的優(yōu)點(diǎn)和缺陷單機(jī)流量監(jiān)測軟件運(yùn)行在微機(jī)上,利用微機(jī)的網(wǎng)卡，截獲或發(fā)送網(wǎng)絡(luò)數(shù)據(jù)，并做流量分析的軟件。屬于用戶主機(jī)內(nèi)嵌軟件，可采用主動、被動監(jiān)測。例如Sniffer、Wireshark、OmniPeek、NetPeeker等。更專業(yè)的方式是自己寫單機(jī)監(jiān)測軟件。5單機(jī)流量監(jiān)測方式特點(diǎn)6可以捕獲鏈路層的幀，核心網(wǎng)關(guān)監(jiān)測做不到可分析鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層協(xié)議，可以做復(fù)雜的深度流量分析可監(jiān)測端到端質(zhì)量可采用主動監(jiān)測，監(jiān)測目標(biāo)和策略可自由定制、可動態(tài)變更監(jiān)測終端對流量的分析相對容易，高效監(jiān)測終端靠近用戶端，可反映用戶感受到的網(wǎng)絡(luò)質(zhì)量，可準(zhǔn)確匹配用戶身份單機(jī)流量監(jiān)測用途7正當(dāng)：協(xié)議分析、流量分析、故障管理、性能管理、安全管理、通信監(jiān)視等。不正當(dāng)：捕獲用戶的賬號、密碼、機(jī)密數(shù)據(jù)，攻擊網(wǎng)絡(luò)鄰居，獲取高級別的訪問權(quán)限等。目錄網(wǎng)絡(luò)流量監(jiān)測方式網(wǎng)卡的工作原理SnifferWiresharkPcap文件格式8微機(jī)上的網(wǎng)卡是什么？計算機(jī)與外界網(wǎng)絡(luò)的連接是通過主機(jī)內(nèi)插入一塊網(wǎng)絡(luò)接口板。網(wǎng)絡(luò)接口板又稱為通信適配器或網(wǎng)絡(luò)適配器（adapter）或網(wǎng)絡(luò)接口卡NIC（NetworkInterfaceCard）但是現(xiàn)在更多的人愿意使用更為簡單的名稱“網(wǎng)卡”。獨(dú)立網(wǎng)卡、主板集成網(wǎng)卡以太網(wǎng)網(wǎng)卡、WIFI網(wǎng)卡、3G上網(wǎng)卡同一主機(jī)可以有多個網(wǎng)卡9網(wǎng)卡的屬性每個網(wǎng)卡對應(yīng)了一個網(wǎng)絡(luò)接口每個網(wǎng)卡有唯一的MAC地址每個網(wǎng)卡可配置IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器可同時配置IPv4和IPv6地址Windows中管理網(wǎng)卡屬性（演示）控制面板ipconfig命令10網(wǎng)卡屬性11ipconfig12網(wǎng)卡的工作原理網(wǎng)卡收到傳輸來的數(shù)據(jù)，先解析數(shù)據(jù)頭的目的MAC地址，根據(jù)網(wǎng)卡設(shè)置的接收模式判斷該不該接收。認(rèn)為該接收就在接收后產(chǎn)生中斷信號通知CPU，認(rèn)為不該接收就丟棄不管，所以不該接收的數(shù)據(jù)網(wǎng)卡就丟棄了，計算機(jī)根本就不知道。CPU得到中斷信號產(chǎn)生中斷，然后處理這些數(shù)據(jù)。當(dāng)主機(jī)發(fā)送數(shù)據(jù)時，網(wǎng)卡等待合適的時間將分組插入到物理數(shù)據(jù)流中。13網(wǎng)卡工作模式14混雜模式PromiscuousMode網(wǎng)卡默認(rèn)工作在非混雜模式，只接收目的地址是本機(jī)的報文和幀特殊功能的軟件，可以將網(wǎng)卡配置為混雜模式如果網(wǎng)卡配置為混雜模式，那么它就會捕獲通過它的所有報文和幀，不論其目的地址是否為本機(jī)一般用于網(wǎng)絡(luò)監(jiān)測15目錄網(wǎng)絡(luò)流量監(jiān)測方式網(wǎng)卡的工作原理SnifferWiresharkPcap文件格式16SnifferNAI（McAfee）公司設(shè)計的協(xié)議分析軟件老牌單機(jī)流量監(jiān)測軟件，早期影響很大現(xiàn)歸屬于NetScout公司中文官網(wǎng)：17Sniffer功能網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)故障診斷應(yīng)用系統(tǒng)流量分析及故障診斷網(wǎng)絡(luò)病毒流量、異常流量檢測無線網(wǎng)絡(luò)分析、非法接入設(shè)備檢查網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)行為審計18Sniffer界面示意圖19目錄網(wǎng)絡(luò)流量監(jiān)測方式網(wǎng)卡的工作原理SnifferWiresharkPcap文件格式20Wireshark原名Ethereal功能強(qiáng)大的免費(fèi)單機(jī)流量監(jiān)測軟件基于主流單機(jī)流量監(jiān)測軟件包Winpcap，后續(xù)課程講解通過Winpcap自己編程監(jiān)測官方網(wǎng)站：/21Wireshark界面示意圖22網(wǎng)卡列表23配置捕獲選項24Wireshark過濾器Wireshark有兩個過濾器：捕獲過濾器：捕獲網(wǎng)絡(luò)流量時進(jìn)行過濾，只捕獲需要的流量顯示過濾器：顯示捕獲的包時進(jìn)行過濾，用于不同的分析用途，呈現(xiàn)不同的網(wǎng)絡(luò)包25PacketPacketPacket捕獲過濾PacketPacket生成在cap文件中PacketPacket顯示過濾Packet顯示在界面上配置捕獲過濾器26Filtername：任意命名Filterstring：過濾的命令捕獲過濾器命令語法27[src|dst]host<host>ether[src|dst]host<ehost>[src|dst]net<net>[{mask<mask>}|{len<len>}[tcp|udp][src|dst]port<port>less|greater<length>ip|etherproto<protocol>ether|ipbroadcast|multicast參考Wireshark幫助“Filteringwhilecapturing”過濾的字符串舉例28a.捕獲MAC地址為00:d0:f8:00:00:03網(wǎng)絡(luò)設(shè)備通信的所有包

etherhost00:d0:f8:00:00:03b.捕獲IP地址為

網(wǎng)絡(luò)設(shè)備通信的所有包

hostc.捕獲網(wǎng)絡(luò)web瀏覽的所有包

tcpport80d.捕獲除了http外的所有通信數(shù)據(jù)包

hostandnottcpport80流量分析29顯示過濾器30顯示過濾的語法31正確的語法如下，和“CaptureFilter”的語法有所不同：顯示以太網(wǎng)地址為00:d0:f8:00:00:03設(shè)備通信的所有包

eth.addr==00.d0.f8.00.00.03

顯示IP地址為

網(wǎng)絡(luò)設(shè)備通信的所有包

ip.addr==

顯示所有設(shè)備web瀏覽的所有報文

tcp.port==80

顯示除了http外的所有通信數(shù)據(jù)包

ip.addr==&&tcp.port!=80顯示過濾器語法工具32從包信息中生成過濾器33ApplyasFilter：實施過濾PrepareasFilter：生成過濾命令，但不立即過濾流量的統(tǒng)計34在Statistics菜單下

Summary包統(tǒng)計Protocolhierarchy協(xié)議層

即各協(xié)議層包統(tǒng)計Conversations會話報文信息（雙方通信的報文信息）Endpoints分別顯示單方節(jié)點(diǎn)的報文信息PacketLengths包長統(tǒng)計IOGraphs包通信量Summary幀統(tǒng)計35Protocolhierarchy協(xié)議層36Conversations雙方通信的報文信息37endpoints單節(jié)點(diǎn)報文信息38PacketLengths包長統(tǒng)計39IOGraphs流量歷史曲線40FollowTCPStream在包列表窗口中選擇某個TCP包點(diǎn)擊右鍵－選擇“FollowTCPStream”，就可以跟蹤這個TCP連接的所有報文。易于查看TCP會話重構(gòu)后的數(shù)據(jù)流。41TCP會話重構(gòu)后的數(shù)據(jù)流42目錄網(wǎng)絡(luò)流量監(jiān)測方式網(wǎng)卡的工作原理SnifferWiresharkPcap文件格式43Pcap文件的格式Wireshark捕獲的數(shù)據(jù)包可以保存為.pcap文件，后期可開發(fā)程序?qū)ζ渥鬟M(jìn)一步分析。每個Pcap文件都有24字節(jié)的文件頭，然后是各個數(shù)據(jù)幀。數(shù)據(jù)幀前16字節(jié)是數(shù)據(jù)幀頭部，接著是數(shù)據(jù)幀。44文件頭字段的具體含義Magic：4字節(jié)：用來標(biāo)示文件的開始；Major：2字節(jié)，當(dāng)前文件主要的版本號；Minor：2字節(jié)，當(dāng)前文件次要的版本號；ThisZone：4字節(jié)，當(dāng)?shù)氐臉?biāo)準(zhǔn)時間；SigFigs：4字節(jié)，時間戳的精度；SnapLen：4字節(jié)，最大數(shù)據(jù)幀存儲長度

；LinkType：4字節(jié)，鏈路類型。45Packet首部(16Byte)組成46數(shù)據(jù)包頭的具體含義Timestamp：時間戳高位，精確到