在高速發(fā)達(dá)的計(jì)算機(jī)網(wǎng)絡(luò)世界,網(wǎng)絡(luò)和系統(tǒng)運(yùn)維者每天都可能面對(duì)成千上萬(wàn)的故障問(wèn)題,從簡(jiǎn)單的終端病毒感染,到復(fù)雜的網(wǎng)絡(luò)配置,甚至更為復(fù)雜的應(yīng)用架構(gòu)。當(dāng)問(wèn)題出現(xiàn),我們永遠(yuǎn)也不可能立即解決所有的,而良好的知識(shí)儲(chǔ)備和系統(tǒng)工具,能夠幫助我們更加快速的響應(yīng)形式多樣的錯(cuò)誤。
網(wǎng)絡(luò)數(shù)據(jù)包分析的意義
所有的網(wǎng)絡(luò)問(wèn)題或基于網(wǎng)絡(luò)的應(yīng)用問(wèn)題,都源自應(yīng)用的數(shù)據(jù)包,無(wú)論應(yīng)用設(shè)計(jì)的有多完美,但其訪問(wèn)的終端可能具有很大的差別,或者應(yīng)用本身可能存在不可告人的小秘密。為了更好地了解網(wǎng)絡(luò),快速解決相關(guān)問(wèn)題,我們需要進(jìn)入到網(wǎng)絡(luò)傳輸?shù)淖钚卧獢?shù)據(jù)包中。數(shù)據(jù)包不會(huì)撒謊,在這里,沒(méi)有任何東西能夠逃脫我們的視野。通過(guò)分析數(shù)據(jù)包,信息傳輸不再存在秘密(即使有些加密通信在特定環(huán)境下也無(wú)法避免)。我們對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行深入分析,就是為了更好地了解網(wǎng)絡(luò)是如何運(yùn)行的,數(shù)據(jù)包是如何被轉(zhuǎn)發(fā)的,應(yīng)用是如何被訪問(wèn)的,有了這些了解,當(dāng)再次出現(xiàn)網(wǎng)絡(luò)故障或網(wǎng)絡(luò)應(yīng)用問(wèn)題,就能夠很快的解決。這就是為什么需要分析網(wǎng)絡(luò)數(shù)據(jù)包,也就是分析網(wǎng)絡(luò)數(shù)據(jù)包的意義所在。
從現(xiàn)在開(kāi)始,網(wǎng)深科技將開(kāi)展一系列關(guān)于數(shù)據(jù)包分析的主題文章,帶你領(lǐng)略神奇的數(shù)據(jù)包世界。你將學(xué)習(xí)如何查看網(wǎng)絡(luò)使用情況,如何解決網(wǎng)絡(luò)訪問(wèn)速度慢的問(wèn)題,定位識(shí)別應(yīng)用的性能瓶頸問(wèn)題,分析感染病毒的終端系統(tǒng),發(fā)現(xiàn)被攻擊的服務(wù)器,甚至追蹤存在于真實(shí)場(chǎng)景中的黑客。通過(guò)這一系列的學(xué)習(xí),你應(yīng)該能夠掌握并使用先進(jìn)的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)來(lái)解決日常自己網(wǎng)絡(luò)中遇到的實(shí)際問(wèn)題,哪怕起初感覺(jué)極為復(fù)雜或難以解決的問(wèn)題。
網(wǎng)絡(luò)數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器
網(wǎng)絡(luò)數(shù)據(jù)包分析,就是通常所說(shuō)的抓包分析,其它類似網(wǎng)絡(luò)分析、協(xié)議分析、數(shù)據(jù)包分析或數(shù)據(jù)包嗅探的說(shuō)法,都是指采集和解碼網(wǎng)絡(luò)上實(shí)時(shí)傳輸數(shù)據(jù)的過(guò)程,分析的目的通常是為了能更好地了解網(wǎng)絡(luò)上正在發(fā)生的事情。網(wǎng)絡(luò)數(shù)據(jù)包分析過(guò)程主要由抓包軟件來(lái)捕獲數(shù)據(jù)包。
全球使用最多的Wireshark
使用網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù),一般能夠?qū)崿F(xiàn)如下目的:
? 了解網(wǎng)絡(luò)工作原理;
? 查看網(wǎng)絡(luò)使用情況及網(wǎng)絡(luò)上的通信主體;
? 確認(rèn)哪些應(yīng)用占用帶寬;
? 識(shí)別網(wǎng)絡(luò)中存在的攻擊或惡意行為;
? 分析定位網(wǎng)絡(luò)故障和延時(shí)大小;
? 查看用戶訪問(wèn)應(yīng)用的快慢情況;
? 優(yōu)化和改進(jìn)應(yīng)用性能
當(dāng)然,這些功能可能只是最常見(jiàn)的使用之一,通過(guò)數(shù)據(jù)包分析可做的事情遠(yuǎn)遠(yuǎn)不止這些。
目前全球最流行、使用最廣泛的數(shù)據(jù)包分析軟件為Wireshark,本系列關(guān)于網(wǎng)絡(luò)分析的主題,主要介紹如何使用該軟件。其中可能會(huì)提及或使用更為智能的商業(yè)產(chǎn)品,如NetInside系列性能管理系統(tǒng),但僅作為參考,或?qū)Ρ葘W(xué)習(xí)。
Omnipeek廠商改名并被收購(gòu)
另外,較為常用的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件有基于命令行的tcpdump,Wildpackets的Omnipeek(這家公司后轉(zhuǎn)向于安全取證領(lǐng)域分析,改名Savvius,被LiveAction收購(gòu)),國(guó)內(nèi)也有家做網(wǎng)絡(luò)流量分析的廠商,早期的產(chǎn)品也與Omnipeek頗有淵源。
