免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: fanqiang

网络流量分析沙龙总结、PPT、录音下载+ 线上有奖跟帖 [复制链接]

论坛徽章:
0
发表于 2008-06-12 00:41 |显示全部楼层
sniffer 和 tcpdump 都只能分析数据包,“交换”的引入让它的工作范围缩到了以自己为圆心 ,靠从一个端口来分析整个网络状况越来越难了。况且除了专有软件很难得到设备的健康状况和远程控制。对于程序行为或局部的项目测试分析它们当仁不让。
而对于基于标准化snmp的cacti snmp 来说,让网管方便及时地了解整个网络概况就是它最重要的设计目的之一。轻而易举生成网络拓扑,不再单纯以数据包个数来分析网络流量,也许是CPU过载,板卡异常。
觉得以类来分的话,它们的分工还是比较明确的。

论坛徽章:
0
发表于 2008-06-12 09:52 |显示全部楼层

怎么没有列出Wireshanrk

怎么没有列出Wireshanrk?
nc也应该列一下嘛,小巧方便。

论坛徽章:
5
CU十周年纪念徽章
日期:2012-02-28 22:08:51CU大牛徽章
日期:2012-02-28 22:08:512010年中国数据库技术大会
日期:2012-02-28 22:05:302009年中国系统架构师大会
日期:2012-02-28 22:05:30ChinaUnix元老
日期:2012-02-28 22:26:02
发表于 2008-06-12 10:42 |显示全部楼层
没有列出来,老兄,你可以提议加进来嘛,呵呵



怎么没有列出Wireshanrk


怎么没有列出Wireshanrk?
nc也应该列一下嘛,小巧方便。

论坛徽章:
5
CU十周年纪念徽章
日期:2012-02-28 22:08:51CU大牛徽章
日期:2012-02-28 22:08:512010年中国数据库技术大会
日期:2012-02-28 22:05:302009年中国系统架构师大会
日期:2012-02-28 22:05:30ChinaUnix元老
日期:2012-02-28 22:26:02
发表于 2008-06-12 10:51 |显示全部楼层
原帖由 skylove 于 2008-6-11 22:10 发表
unix下的话,我基本上没有用桌面的,大致上是这些:

文本方式下

tcpdump最为常用,因为基本上我在每台机器上都有装,对检测网络问题特别有帮助,而且远程ssh的时候文字界面下方便存储浏览功能强大,随时按ctrl+c ...



老兄你的回复太好了,回复得这么系统化, 如果你再 整理一下, 我们就 单独给你申请 稿费啊,呵呵

论坛徽章:
0
发表于 2008-06-12 10:56 |显示全部楼层
linux tcpdump
Windows EtherPeek和科来都不错

我使用最多的还是EtherPeek,科来是中文版本的,对数据包的分析也比较透彻,不过从个人来说,
我还是比较喜欢使用EtherPeek,

论坛徽章:
5
CU十周年纪念徽章
日期:2012-02-28 22:08:51CU大牛徽章
日期:2012-02-28 22:08:512010年中国数据库技术大会
日期:2012-02-28 22:05:302009年中国系统架构师大会
日期:2012-02-28 22:05:30ChinaUnix元老
日期:2012-02-28 22:26:02
发表于 2008-06-12 10:57 |显示全部楼层
原帖由 justcustom 于 2008-6-12 00:41 发表
sniffer 和 tcpdump 都只能分析数据包,“交换”的引入让它的工作范围缩到了以自己为圆心 ,靠从一个端口来分析整个网络状况越来越难了。况且除了专有软件很难得到设备的健康状况和远程控制。对于程序行为或局部 ...


交换引入,的确让sniffer等为难了, 但道高一尺,魔高一丈。新版sniffer等好像有所变化了,

看:引:

单纯的sniff的功能始终是局限的,所以在大多数的情况下,sniff往往和其他手段结合起来使用,sniff和spoof已及其他技术手段结合在一起对网络构成的危害是巨大的。单纯的sniff好比缺了一只腿,无法发挥大的作用,例如在sniff原理一节中我们讨论的例子里,我一再的强调我们使用的是一个普通的HUB进行连接是有原因的,如果我们把在图一中的HUB用一个switch代替,那情况就要复杂一些了,如图二所示:

在图二中,我们的机器A、B、C与Switch相连接,而Switch通过路由器Router访问外部网络


OK,现在我们机器B上的管理员的好奇心只能深深的埋藏在心里了,因为数据包根本就没有经过他,就算他把自己的网卡设置成混杂模式也是有力无处使。


在了解在一个Switch环境下原理后,我们结合一些手段去设法sniff,是的,我们可以做到这一点,有许多的手段可以让管理员B满足他的好奇心,在下面我会提出几个办法,当然只是其中的一些办法而已。

1 ARP Spoof 在基于IP通信的内部网中,我们可以使用 ARP Spoof的手段,了解什么是ARPSpoof的前提你先要明白一下什么是ARP和RARP协议,什么是MAC地址,什么又是IP地址。ARP协议是地址转换协议,RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。

论坛徽章:
0
发表于 2008-06-12 11:28 |显示全部楼层

回复 #1 fanqiang 的帖子

使用tcpdump可分析经过本机的所有包,分析网络上其它机器就没用过.

sniffer 用过,但不会使用过虑功能,

论坛徽章:
0
发表于 2008-06-12 11:32 |显示全部楼层
不太懂,学习下吧

论坛徽章:
0
发表于 2008-06-12 13:13 |显示全部楼层
Omnipeek+WireShark+SolarWinds

论坛徽章:
0
发表于 2008-06-12 13:18 |显示全部楼层
Sniffer
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP