《第0章 协议分析与常用协议分析软件》由会员分享,可在线阅读,更多相关《第0章 协议分析与常用协议分析软件(26页珍藏版)》请在金锄头文库上搜索。
1、Tcp/ip协议分析与应用编程第0章 协议分析与常用协议分析软件(2学时)主要内容: 协议分析器作用和分类 常用协议分析软件的使用方法学习目标: 掌握协议分析软件部署方法 掌握协议分析软件的使用方法教学内容:0.1 协议分析0.1.1协议分析和分析器(Protocol Analysis and Protocol Analyzer)1、协议分析网络协议分析是指通过程序分析网络数据包的协议头和尾部,从而了解信息和相关的数据包在产生和传输过程中的行为。2、分析器包含该程序的软件和设备就是协议分析器。3、协议分析器的功能协议分析器的主要功能之一就是分析各层协议头和尾部。如果通过多层协议头尾和其相关信息
2、来识别网络通信过程中可能出现的问题时,该协议分析方法称之为专家分析。众多协议分析器商家都推出相应产品,诸如 Network General 公司的嗅探器(Sniffer),它专门用于网络故障诊断和修复。 另外还有一些协议分析器能将多层协议和数据包从低级数据包编译升级为高级数据包,以便于实时观察以及了解网络的使用和流量分析。当网络流量观察为用户的主要目标时,会采纳此种协议分析器。协议分析器既能用于合法网络管理也能用于窃取网络信息。总的来说:网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则,鉴定分析网络数据以及诊断并修复网络问题,等等。【我们进
3、行协议分析学习的目的是:通过协议分析深入学习掌握TCP/IP体系结构。为“专家分析”打下基础】4、协议分析器的实现形式协议分析器(protocol analyser)的工作从原理上要分为两个部分:数据捕获、协议分析。对这两部分的工作从实现的形式上来说有以下常见的几种形式:1、纯软件的协议分析系统。大多数的纯软件协议分析仪是可以使用普通的网卡来完成进行简单的数据采集工作的,这就是使用率最多的协议分析软件PC网卡。这种方式的协议分析仪通常有两种原因存在的。简单廉价的软件,或自由软件,小巧实用,功能较弱运行在PC或报价本电脑上的协议分析仪的软件部分,本来协议分析工作就是基于软件分析的工作。所以再高端
4、的协议分析仪其软件部分也是要由计算机平台实现的。 2、基于笔记本数据采集箱的便携式协议分析器这种方式与上述采用协议分析软件PC网卡的主要区别就是专用的数据采集系统,在对复杂和高速的网络链路上要想全线速地扑捉或更有效地进行实时数据过滤采用专用的数据采集方式是必须的。 3、手持式综合协议分析器从协议分析仪发展的角度来说,网络维护人员越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分析手段,典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息搜集功能、智能的专家故障诊断功能, 并且移动性能要有效。这种综合的协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要发展趋
5、势。 4、分布式协议分析器随着网络维护规模的加大,网络技术的变化,网络要害数据的采集也越来越困难。有时为了分析和采集数据,必须能在异地同时进行采集,于是将协议分析仪的数据采集系统独立开来,能安置在网络的不同地方,由能控制多个采集器的协议分析仪平台进行治理和数据处理,这种应用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。【资料引用:http:/ Protocol Analyzer)还被称为网络嗅探器(Sniffer)、数据包分析器(Packet Analyzer)、网络嗅听器(Network Sniffing Tool)、网络分析器(Network Analyzer)等。0.1.2
6、 网络协议分析软件(纯软件的协议分析系统)安装部署(资料来源:科来 http:/ 鉴于这种情况,我认为对网络协议分析软件的安装部署进行介绍非常有必要,一般情况下,网络协议分析软件的安装部署有以下几种情况: 1、共享式网络 使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将网络协议分析软件安装在局域网中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。 2、具备镜像功能的交换式网络使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(S
7、witch)工作在OSI模型的数据链接层,它的各端口之间能有效分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。 如果您网络中的交换机具备镜像功能时,可在交换机上配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。 3、不具备镜像功能的交换式网络一些简易的交换机可能并不具备镜像功能,不能通过端口镜像实现网络的监控分析。这时,可采取在交换机与路由器(或防火墙)之间串接一个分路器(Tap)或集线器(Hub)的方法来完成数据捕获,其安装简图如下。在实际情况中,网络的拓扑结构往往非常复杂,在进行网络分析时,我们并不需要分
8、析整个网络,只需要对某些异常工作的部门或网段进行分析。这种情况下,可以将网络协议分析软件安装于移动电脑上,再附加一个分路器(Tap)或集线器(Hub),就可以很方便的实现任意部门或任意网段的数据捕获,其安装简图如下。4、代理服务器共享上网当前的小型网络中,有很大一部分都可能仍然通过代理服务器共享上网,对这种网络的分析,直接将网络分析软件安装在代理服务器上就可以了,其安装简图如下。 注意:这种情况下的分析,需要同时对代理服务器的内网卡和外网卡进行数据捕获0.2 常用协议分析软件常用的协议分析软件包括:WireShark、snoffer Pro、omnipeek、(netxRay、Iris)、科来
9、等网络协议分析软件,他们都包含数据捕获、数据分析功能,一些软件还包含协议数据包编辑和发送功能,如锐捷RG-PATS协议分析软件。下面分别介绍这几款软件。 【Wireshark(不包含包发生器)】0.2.1 协议分析软件的主要用途 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议0.2.2 WireShark的使用方法 (数据捕获)(http:/ 支持UNIX和Windows平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤
10、以多种色彩显示包 创建多种统计分析3、安装、运行、简单抓包(1)安装后 打开wireshark首先我们要选择自己的网卡,打开Capture 可以看到Options,我们打开看一下在interface里选择自己的网卡,下面有显示自己现在的IP地址下面的CaptureFiles里有个File栏,里面可以选择自己需要抓的Protocal,也可以先把所有的协议都抓下来,然后在去选择自己需要抓的包,其他的东西就不用改了。点Start开始抓包。4、数据包分析抓包开始后,界面显示分上下两部分,上部分是抓到的包,下部分显示抓包分析结果。如下图5、wireshark过滤器使用Wireshark时最常见的问题,是
11、当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改那么我应该使用哪一种过滤器呢? 两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们
12、进行介绍:1. 捕捉过滤器捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是:- 选择 capture - options。- 填写capture filter栏或者点击capture filter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。- 点击开始(Start)进行捕捉。 语法:ProtocolDirectionHost(s)ValueLogical OperationsOther expre
13、ssion例子:tcpdst10.1.1.180andtcp dst 10.2.2.2 3128Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议,则默认使用所有支持的协议。Direction(方向):可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地,则默认使用 src or dst 作为关键字。例如,host 10.2.2.2与src or dst host 10.2.2.2是一
14、样的。 Host(s):可能的值: net, port, host, portrange.如果没有指定此值,则默认使用host关键字。例如,src 10.1.1.1与src host 10.1.1.1相同。 Logical Operations(逻辑运算):可能的值:not, and, or.否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级,运算时从左至右进行。例如,not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。例子:tcp dst port 3128 显示目的TCP端口为3128的封包。ip src host 10.1.
