數據包分析也可稱為"網絡協議分析"或"數據嗅探",是捕獲和解析網絡中正在傳送的數據報文的一個過程,主要是為了解決網絡中正在發生的事情和存在怎樣的問題。要想保證網絡的運營正常和正確對數據包進行分析,就需要了解以下幾個方面的基礎知識。
明確目標
瞭解計算機網絡的特徵,搞清楚通信載體,找出佔用帶寬的始作俑者,分析高峰時段數據和惡意攻擊行為,查找網絡中不安全因素,非法網絡應用等。
精選工具
可用的網絡協議分析和捕獲軟件很多,根據平臺選擇合適和能夠熟練應用的軟件,可以達到事半功倍的目的。如:Tcpdump,Wireshark,OmniPeek,Sniffer Pro,科來等。此處推薦wireshark,免費開源,不存在破解版和版權糾紛問題。
重在協議
搞懂協議很重要,也是進行數據包分析的精髓。
數據封裝與流量
【數據封裝】在協議棧中的每層協議都負責在傳輸數據上增加一個協議頭或尾,其中包含了相互之間進行通信的相關信息。數據在封裝過程中會創建一個數據單元PDU,其中包含正在發送的數據及其數據中增加的協議頭和尾的信息。
其實數據包就是一個完整的PDU。
【流量】流量大致分三類,即廣播(廣播包會發送到網段內的所有接口,二層的廣播地址是FF:FF:FF:FF:FF:FF,三層是255.255.255.255)、單播(一臺主機直接發送到另一臺主機)和多播(將數據包的接收方加入一個多播組,單一來源數據包同時發送給多個目標,避免大量複製,減少帶寬使用率,多播地址:224.0.0.0-239.255.255.255)。
網絡硬件的相關知識
集線器(HUB),交換機,路由器的工作模式,工作在哪一層,數據傳送方式等。
分享到:
