数据包分析也可称为"网络协议分析"或"数据嗅探",是捕获和解析网络中正在传送的数据报文的一个过程,主要是为了解决网络中正在发生的事情和存在怎样的问题。要想保证网络的运营正常和正确对数据包进行分析,就需要了解以下几个方面的基础知识。
明确目标
了解计算机网络的特征,搞清楚通信载体,找出占用带宽的始作俑者,分析高峰时段数据和恶意攻击行为,查找网络中不安全因素,非法网络应用等。
精选工具
可用的网络协议分析和捕获软件很多,根据平台选择合适和能够熟练应用的软件,可以达到事半功倍的目的。如:Tcpdump,Wireshark,OmniPeek,Sniffer Pro,科来等。此处推荐wireshark,免费开源,不存在破解版和版权纠纷问题。
重在协议
搞懂协议很重要,也是进行数据包分析的精髓。
数据封装与流量
【数据封装】在协议栈中的每层协议都负责在传输数据上增加一个协议头或尾,其中包含了相互之间进行通信的相关信息。数据在封装过程中会创建一个数据单元PDU,其中包含正在发送的数据及其数据中增加的协议头和尾的信息。
其实数据包就是一个完整的PDU。
【流量】流量大致分三类,即广播(广播包会发送到网段内的所有接口,二层的广播地址是FF:FF:FF:FF:FF:FF,三层是255.255.255.255)、单播(一台主机直接发送到另一台主机)和多播(将数据包的接收方加入一个多播组,单一来源数据包同时发送给多个目标,避免大量复制,减少带宽使用率,多播地址:224.0.0.0-239.255.255.255)。
网络硬件的相关知识
集线器(HUB),交换机,路由器的工作模式,工作在哪一层,数据传送方式等。
分享到:
