利用抓包工具快速分析定位流量

利用抓包工具快速分析定位流量1.网络流量分析网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于流量镜像协议分析，基于SNMP的流量监测技术，基于网络探针（Probe）技术和基于流（flow）的流量分析。抓包工具就是基于流量镜像协议分析。流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。2.流量分析仪（抓包工具）的使用以抓包工具wireshark(ethereal)为例，描述如何利用抓包工具分析网络流量。Wireshark的界面。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的“CaptureàOptions”，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。要在Interface里选择正确的捕获接口，即要进行抓包的网卡。interface确认选择后，点击Start按钮开始抓包,出现Capturefrom…对话框点击Capturefrom…对话框中Stop按钮结束抓包，并得到抓包结果列表框：在列表框中，每一横行为一个数据包，点开就能看到这个数据包相应的协议框协议框：协议框显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及其首部,UDP数据报及其首部,HTTP等协议细节。这一部分也是我们分析数据包最常用的。对整体数据包每一个字段进行解析。原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。3.实例：分析一次Ping过程中的ARP包ping局域网内IP为192.168.1.102的主机步骤:查看并清空本地ARP高速缓存执行Ping192.168.1.102,并抓包分析ARP数据包查看ARP高速缓存并清空：查看本地ARP高速缓存中192.168.1.102主机的IP-MAC地址对应关系，并清空。执行ping命令并在本地物理网卡上抓包：抓包中一共截取到8个ICMP数据包和2个ARP数据包抓包后的面板显示分析ARP请求报文：由于192.168.1.102为局域网内IP并且本地主机ARP高速缓存无对应IP-MAC表项,故发送ARP广播请求.以太网目的地址为广播地址(ff:ff:ff:ff:ff:ff),帧类型为ARP(0x0806),操作字段op为ARP请求(0x0001)分析ARP响应报文：192.168.1.102主机接收到该ARP请求后，就发送一个ARP的REPLY命令，其中包含自己的MAC地址以太网目的地址为192.168.1.188发送端IP为192.168.1.102,MAC为00:00:b4:9e:41:5c帧类型为ARP请求或应答(0x0806),操作字段op为ARP应答(0x0002)4.总结流量分析仪(抓包工具)是网络工程师分析网络中异常流量的最重要的工具之一，本文介绍了抓包工具的使用方法和实例，为正确分析数据包，定位分析流量的方法提出指导。