《借助sniffer诊断linux网络故障》由会员分享,可在线阅读,更多相关《借助sniffer诊断linux网络故障(14页珍藏版)》请在金锄头文库上搜索。
1、借助snnifffer诊诊断Liinuxx网络故故障嗅探器(sniiffeer)在在网络安安全领域域是一把把双刃剑剑,一方方面常被被黑客作作为网络络攻击工工具,从从而造成成密码被被盗、敏敏感数据据被窃等等安全事事件;另另一方面面又在协协助网络络管理员员监测网网络状况况、诊断断网络故故障、排排除网络络隐患等等方面有有着不可可替代的的作用。嗅探器器是企业业必不可可少的网网络管理理工具。本文以以Linnux平平台下三三个常用用的网络络嗅探器器Tcppdummp、EEtheereaal和EEtheerAppe为例例,介绍绍如何借借助snnifffer来来诊断网网络故障障,从而而保障网网络高效效安全地地
2、运行。 简介介嗅探器器(snnifffer)又称为为包嗅探探器,是是用来截截获计算算机网络络通信数数据的软软件或硬硬件。与与电话电电路不同同,计算算机网络络是共享享通信通通道的,从从而意味味着每台台计算机机都可能能接收到到发送给给其它计计算机的的信息,捕捕获在网网络中传传输的数数据信息息通常被被称为监监听(ssnifffinng)。嗅探器器常常作作为一种种收集网网络中特特定数据据的有效效方法,是是利用计计算机的的网络接接口截获获目的地地为其它它计算机机数据报报文的一一种工具具。 嗅嗅探器工工作在网网络环境境中的底底层,可可以拦截截所有正正在网络络上传送送的数据据,从而而成为网网络安全全的一个个
3、巨大威威胁。通通过对网网络进行行嗅探,一一些恶意意用户能能够很容容易地窃窃取到绝绝密文档档和敏感感数据,因因此嗅探探器经常常被黑客客当作网网络攻击击的一种种基本手手段。 任何工工具都有有弊有利利,嗅探探器既可可以作为为黑客获获得非法法数据的的手段,但但同时对对网络管管理员来来讲又是是致关重重要的。通过嗅嗅探器,管管理员可可以诊断断出网络络中大量量的不可可见模糊糊问题。这些问问题通常常会涉及及到多台台计算机机之间的的异常通通信,而而且可能能会牵涉涉到多种种通信协协议。借借助嗅探探器,管管理员还还可以很很方便地地确定出出哪些通通信量属属于某个个特定的的网络协协议、占占主要通通信量的的主机是是哪台、
4、各次通通讯的目目标是哪哪台主机机、报文文发送占占用多少少时间、各主机机间报文文传递的的间隔时时间等。这些信信息为管管理员判判断网络络问题及及优化网网络性能能,提供供了十分分宝贵的的信息。作为一一种发展展比较成成熟的技技术,嗅嗅探器在在协助监监测网络络数据传传输、排排除网络络故障等等方面有有着不可可替代的的作用,倍倍受网络络管理员员的青睐睐。可以以通过分分析网络络流量来来确定网网络上存存在的各各种问题题,如瓶瓶颈效应应或性能能下降;也可以以用来判判断是否否有黑客客正在攻攻击网络络系统。如果怀怀疑网络络正在遭遭受攻击击,通过过嗅探器器截获的的数据包包可以确确定正在在攻击系系统的是是什么类类型的数数
5、据包,以以及它们们的源头头,从而而可以及及时地做做出响应应,或者者对网络络进行相相应的调调整,以以保证网网络运行行的效率率和安全全。 网网络管理理员在检检测网络络故障及及维护网网络正常常通信的的过程中中,经常常需要借借助嗅探探器提供供的某些些功能。一般的的嗅探器器都提供供以下一一些功能能: 11. 自自动从网网络中过过滤及转转换有用用的信息息; 22. 将将截获的的数据包包转换成成易于识识别的格格式; 3. 对网络络环境中中的通讯讯失败进进行分析析; 44. 探探测网络络环境下下的通讯讯瓶颈; 5. 检测测是否有有黑客正正在攻击击网络系系统,以以阻止其其入侵; 6. 记录录网络通通信过程程。
6、本本文介绍绍如何在在Linnux平平台下利利用嗅探探器来截截获在网网络中传传递的数数据信息息,从而而检测出出是否存存在网络络瓶颈,以以及可能能存在的的网络故故障。在在Linnux平平台下可可用的嗅嗅探器非非常多,各各自的功功能和长长处也不不尽相同同,本文文主要以以Tcppdummp、EEtheereaal和EEtheerAppe三种种嗅探器器为例,讲讲述如何何利用各各自的优优点来对对Linnux网网络的性性能和故故障进行行系统的的分析和和检测。 Tccpduump Tcppdummp是一一个命令令行方式式的网络络流量监监测工具具。它诞诞生的时时间较早早,是许许多图形形化嗅探探器的雏雏形。 Et
7、therreall Ettherreall是一个个图形化化的网络络流量监监测工具具,比命命令行方方式的TTcpddumpp友好很很多,可可以实时时地观看看捕获过过程。 EttherrApee EttherrApee也是一一个图形形化的网网络流量量监测工工具。与与Ethhereeal不不同,EEtheerAppe可以以通过对对主机间间的连接接进行检检测,图图形化地地显示网网络活动动,因而而能更加加直观地地显示出出整个网网络所处处的状态态。 ssniffferr工作原原理在基基于TCCP/IIP协议议的局域域网中,当当数据由由应用层层自上而而下传递递时,首首先在网网络层形形成IPP数据包包,然后后
8、再向下下到达数数据链路路层,由由数据链链路层将将IP数数据包分分割为数数据帧,加加上以太太网包头头后向下下发送到到物理媒媒体上。以太网网包头中中包含着着本地主主机和目目标主机机的MAAC地址址,位于于链路层层的数据据帧是依依靠488位的MMAC地地址而非非IP地地址来寻寻址的,网网络接口口卡的驱驱动程序序不会关关心IPP数据包包的目的的IP地地址。它它所需要要的仅仅仅是数据据包中的的MACC地址。 当局局域网内内的主机机都通过过集线器器(HUUB)等等方式连连接时,一一般采用用的是共共享式的的连接。这种共共享式的的连接有有一个很很明显的的特点:发送数数据时物物理上采采用的是是广播方方式。当当一
9、台主主机向另另一台主主机发送送数据时时,共享享式的HHUB会会将接收收到的所所有数据据向HUUB上的的每个端端口转发发。也就就是说,当当主机根根据MAAC地址址发送数数据包时时,尽管管发送端端主机告告知目标标主机的的地址,但但并不意意味着一一个网络络内的其其它主机机不能监监听到发发送端和和接收端端之间传传递的数数据。因因此从理理论上说说,当采采用共享享式连接接时,位位于同一一网段的的每台主主机都可可以截获获在网络络中传输输的所有有数据。正常情情况下,局局域网内内同一网网段的所所有网卡卡虽然都都具有访访问在物物理媒体体上传输输的所有有数据的的能力,但但通常一一个网卡卡只响应应以下两两种数据据帧:
10、 数据帧帧的目标标MACC地址与与网卡自自身的MMAC地地址一致致; 数据帧帧的目标标MACC地址为为广播地地址。 只有当当接收到到上面两两种类型型的数据据帧时,网网卡才会会通过CCPU产产生一个个硬件中中断,然然后再由由操作系系统负责责处理该该中断,对对帧中所所包含的的数据做做进一步步处理。也就是是说,虽虽然网络络上所有有主机都都可以“监监听”到到所有的的数据,但但对不属属于自己己的报文文不予响响应,只只是简单单地忽略略掉这些些数据。 但是是,如果果网络中中的某台台主机不不愿意忽忽略掉不不属于自自己的数数据帧,只只需将网网卡设置置为混杂杂(Prromiiscuuouss)模式式,对接接收到的
11、的每一个个帧都产产生一个个硬件中中断,以以提醒操操作系统统处理经经过该网网卡的每每一个数数据包,这这样网卡卡就可以以捕获网网络上所所有的数数据了。如果一一台主机机的网卡卡被配置置为混杂杂模式,那那么该主主机及其其相关的的软件就就构成了了一个嗅嗅探器。 嗅探探器工作作在网络络环境中中的底层层,它会会拦截所所有正在在网络上上传送的的数据,通通过借助助相应的的软件进进行处理理。嗅探探器可以以实时分分析这些些数据的的内容,进进而可以以帮助网网络管理理员分析析整个网网络的状状态、性性能或故故障。正正因如此此,在检检测网络络故障时时,嗅探探器对管管理员来来说是一一种不可可或缺的的强力工工具。用Tcppdu
12、mmp过滤滤数据包包对于网网络管理理人员来来说,使使用嗅探探器可以以随时掌掌握网络络的实际际情况,在在网络性性能急剧剧下降的的时候,可可以通过过嗅探器器来分析析原因,找找出造成成网络阻阻塞的根根源。TTcpddumpp就是LLinuux平台台下一个个以命令令行方式式运行的的网络流流量监测测工具。它能截截获网卡卡上收到到的数据据包,并并能够协协助网络络管理员员对其中中的内容容进行相相应的分分析。 嗅探器器能够截截获指定定接口或或所有接接口的数数据包,这这取决于于如何对对嗅探器器进行配配置。缺缺省情况况下嗅探探器一般般会显示示所有从从网络上上截获的的数据包包,但通通常会因因为数据据量过大大而使网网
13、络管理理员理不不清头绪绪。因此此,嗅探探器一般般都提供供有相应应的机制制来对截截获的数数据包进进行过滤滤,从而而只显示示符合特特定要求求的数据据包。TTcpddumpp提供了了一整套套完善的的规则来来对截获获的数据据包进行行过滤,由由于大多多数图形形化的嗅嗅探器都都使用类类似的过过滤机制制,因此此对Liinuxx网络管管理员来来说,了了解如何何使用TTcpddumpp来捕获获感兴趣趣的数据据包是一一项必须须掌握的的基本功功。 TTcpddumpp的安装装在一些些Linnux发发行版中中,Tccpduump通通常作为为标准的的软件包包被默认认安装,执执行“ttcpddumpp”命令令可以确确定是
14、否否已经安安装了TTcpddumpp。如果果系统中中还没有有安装TTcpddumpp,可以以去“hhttpp:/wwww.tccpduump.orgg”下载载最新的的Tcppdummp源码码包。下下面以TTcpddumpp 3.7.11为例,讲讲述如何何安装TTcpddumpp,此处处使用的的操作系系统是RRed Hatt 8.0。 首先下下载最新新的源码码包,并并将其解解压缩,命命令如下下: # cpp tccpduump-3.77.1.tarr.gzz /uusr/loccal/srcc/# cdd /uusr/loccal/srcc/# taar xxzvff tccpduump-3.7
15、7.1.tarr.gzz在编译TTcpddumpp之前,应应先确定定pcaap库(libbpcaap)已已经安装装完毕。这个库库是编译译Tcppdummp时所所必需的的。如果果该库已已经安装装,就可可以执行行下面的的命令来来编译并并安装TTcpddumpp: # cdd tccpduump-3.77.1# ./connfigguree# maake# maake insstalllTcpddumpp的命令令行选项项Tcppdummp是一一个命令令行方式式的网络络嗅探器器。它通通过使用用命令选选项来过过滤网卡卡截获的的数据包包,如果果不进行行过滤,过过多数量量的包会会使网络络管理员员很难理理清头
16、绪绪。Tccpduump的的命令格格式如下下: ttcpddumpp -addefllnNOOpqRRStuuvxXX -c 数数量 -C 文件尺尺寸 -F 文件名名 -i 网网络接口口 -m 文文件名 -rr 文件件名 -s 长度 -TT 类型型 -w 文文件名 -EE allgo:seccrett 表表达式 表表1 TTcpddumpp常用命命令行选选项 -a将网络地地址和广广播地址址转变成成容易识识别的名名字-d将已截获获的数据据包的代代码以人人容易理理解的格格式输出出;-dd将已截获获的数据据包的代代码以CC程序的的格式输输出;-dddd将已截获获的数据据包的代代码以十十进制格格式输出出;-e输出数据据
