免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 22307 | 回复: 83

[其他] 数据抓包分析对互联时代技术人员有何价值? [复制链接]

论坛徽章:
17
处女座
日期:2013-08-27 09:59:352015亚冠之柏太阳神
日期:2015-07-30 10:16:402015亚冠之萨济拖拉机
日期:2015-07-29 18:58:182015年亚洲杯之巴勒斯坦
日期:2015-03-06 17:38:17摩羯座
日期:2014-12-11 21:31:34戌狗
日期:2014-07-20 20:57:32子鼠
日期:2014-05-15 16:25:21亥猪
日期:2014-02-11 17:32:05丑牛
日期:2014-01-20 15:45:51丑牛
日期:2013-10-22 11:12:56双子座
日期:2013-10-18 16:28:17白羊座
日期:2013-10-18 10:50:45
发表于 2015-03-27 14:45 |显示全部楼层
获奖名单已公布http://bbs.chinaunix.net/thread-4174654-1-1.html

话题背景

无论是否从事网络安全领域的工作,我相信抓包分析数据这件事对开发人员来讲肯定不陌生,特别是数量极其庞大的Web相关开发人员,为了找bug也好;为了浏览器的兼容性设计也罢;时常会抓取HTTP协议数据一查究竟。而在更深层次的网络数据包加解密、网络调优、网络问题诊断等方面,抓包是件必不可少的工作。互联网时代的技术人员没抓过包你就"OUT"了,有时候抓包分析并不像看起来的那么困难,在希望大家说一说自己的心得体会。



讨论话题

1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?

3、你觉得抓包分析是一项必要的工作技能吗?为什么?



讨论时间
2015-03-31至2015-04-15


活动奖励
活动结束后将选取4名讨论精彩的童鞋,每人赠送一本《WireShark数据包分析实战详解》作为奖励。


奖品简介
zcover (1).jpg
作者: 王晓卉    李亚伟      
出版社:清华大学出版社
出版日期:2015 年3月
开本:16开
页码:404
版次:1-1


内容简介

《Wireshark数据包分析实战详解》由浅入深,全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例,供读者实战演练Wireshark的各项功能。同时,对抓取的数据包按照协议层次,逐层讲解各个协议在数据包中的体现。这样,读者就可以掌握数据包抓取到信息获取的每个环节。



样章试读

第1章.part2.rar (3.82 MB, 下载次数: 240)

论坛徽章:
223
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:32操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-02-18 06:20:00操作系统版块每日发帖之星
日期:2016-03-01 06:20:00操作系统版块每日发帖之星
日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海
日期:2019-09-20 12:29:3219周年集字徽章-周
日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一
日期:2020-10-23 18:30:5320周年集字徽章-20	
日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏
日期:2023-02-25 16:26:26CU十四周年纪念徽章
日期:2023-04-13 12:23:10操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2015-03-31 12:54 来自手机 |显示全部楼层
感觉抓包分析技术太不同了

论坛徽章:
1
2015年亚洲杯之沙特阿拉伯
日期:2015-04-10 13:59:00
发表于 2015-03-31 14:01 |显示全部楼层
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
   抓包的体验就是能够分析网络层的问题,比如tcp 连接reset或者部分包为什么没有被发送到对方。
  对于个人的体会就是抓包分析底层的比如链路层之类的问题会比较麻烦一些。
收获就是有GUI的pcap分析软件,支持较多的协议及正则。

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
    tshark,tcpdump,snoopy
   tcpdump是linux自带的抓包工具,snoopy是solaris的抓包工具。 wireshark属于第三方抓包工具吧,可以随心所欲的安装,当然wireshark依赖好多包。这些包找起来比较麻烦点。

3、你觉得抓包分析是一项必要的工作技能吗?为什么?

对于网络管理员和系统管理员, 我觉得抓包算是一项基础的技能吧,因为你的工作职责决定了你需要这个技能。

论坛徽章:
40
水瓶座
日期:2013-08-15 11:26:422015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之乌兹别克斯坦
日期:2015-03-27 14:01:172015年亚洲杯之约旦
日期:2015-03-31 15:06:442015亚冠之首尔
日期:2015-06-16 23:24:37IT运维版块每日发帖之星
日期:2015-07-01 22:20:002015亚冠之德黑兰石油
日期:2015-07-08 09:32:07IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-10-10 06:20:00IT运维版块每日发帖之星
日期:2015-10-11 06:20:00IT运维版块每日发帖之星
日期:2015-11-10 06:20:00
发表于 2015-03-31 15:06 |显示全部楼层
本帖最后由 forgaoqiang 于 2015-04-08 19:41 编辑

(⊙o⊙)哦 wireshark的另一本 先支持一下

1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?

抓包第一步就应该设置良好的过滤器,不然问题就来了,大量的无用数据包和“奇怪”的协议绝对让人眼花缭乱,虽然可以后期进行筛选,但是文件体积会变得很大,我一般抓包是两个目的:分析程序的行为和排查网络为什么有问题,wireshark可以看到底层的原始数据包,配合其他的高层软件排除问题就会变得得心应手。

官方提供了很多sample,这些sample应该是精心处理过的,比如下面的经典的DHCP过程,标准的四个过程,毫无冗余,这个也就在教学级的场景下能够出现,实际网络中的情况特别复杂,最大的困惑就是有大量的广播包,还有很多非常奇怪的协议,比如NBNS这样的协议,很容易干扰分析,其实不过是windows系统自己的域名系统发出的协议交换信息,所以收获就是了解了各种各样会在wireshark中出现的协议。

QQ截图20150408192132.jpg

不得不佩服wireshark的协议分析,在它的目录下有一个专门存放协议的目录,只要给予合适的参数,wireshark可以直接解析出加密的Radius等协议交互信息。下面举一个例子,比如美团这个APP应用的一个行为,不用我多说很多用户就能直接看出来现在的手机应用都做了什么猥琐事情吧:

QQ截图20150408192625.jpg


2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?

因为工作大部分在HTTP层次上,因此对于比较底层的纯抓包工具tcpdump来说,像是 wireshark、fiddler这样的工具用的更多一些,在linux系统中使用 tcpdump 工具可以快速的侦听网卡,保存为文件之后可以到wireshark中进行“图形化”的分析查看,fiddler这样的工具可以跟踪程序的http行为,对于调试网页等操作来说非常有帮助性,甚至可以中断请求修改表单数据后再进行提交。另外直接在网络设备上进行抓包也是比较实用的,比如Mikrotik的packets sniffer工具可以过滤性的抓取数据,交换机都可以做端口镜像后在进行旁路网络分析,用起来很方便,下图是fiddler的主界面,可以清晰的看到各种HTTP层次的交互数据。

QQ截图20150408192942.jpg



3、你觉得抓包分析是一项必要的工作技能吗?为什么?

个人感觉这个要看是做什么工作的,做网络是必备的技能之一,不然很难从根本上发现问题来源,对于做HTTP性能分析、部分运维人员来说,这个技能也是必备的,对于其他的一些IT人士来说,应该是锦上添花的技能。当然对于“黑客”这样的人群也是比较实用的。抓包只是实施工作的一个准备工作,需要对数据包有分析能力才更好,但是能够抓的一手好包也是能力的体现。

wireshark的专家模式给出一些网络可能存在问题的建议,可以作为关键点进行查找,比如一些TCP乱序、RST(reset)

QQ截图20150408194018.jpg







论坛徽章:
6
CU大牛徽章
日期:2013-04-17 10:59:39CU大牛徽章
日期:2013-04-17 11:01:45CU大牛徽章
日期:2013-04-17 11:02:15CU大牛徽章
日期:2013-04-17 11:02:36CU大牛徽章
日期:2013-04-17 11:02:582015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2015-03-31 16:12 |显示全部楼层
wireshark , fildder 都在用,都不错

求职 : Linux运维
论坛徽章:
3
戌狗
日期:2015-01-11 13:27:532015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯纪念徽章
日期:2015-05-08 15:03:30
发表于 2015-03-31 16:34 |显示全部楼层
本帖最后由 donalds2008 于 2015-03-31 16:36 编辑

1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
    不管是网络系统管理还是网络应用开发,我相信,抓包在IT相关的工作中是经常用到的。只是用或不用,它都在哪里。你用它,有利于你分析底层数据交互细节,理清流程,更快定位故障或瓶颈,更快速有效地优化网络配置,提高应用对计算资源、网络资源的有效利用;你不用它,你看到的永远只是问题表象,也许很幸运你能利用你的经验去处理,也许不能。
    困惑:网络的不确定性,决定抓包不一定仅一次就能定位问题,有时需要在特定时间下才能重现故障或bug,具有偶发性。
    收获:找到问题,快速有效地提出优化措施,搞定。


2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
    tcpdump,wireshark均用过。
    前者在linux下用的多,一条ssh连到server,在server上启动tcpdump,后台运行保存日志,之后分析日志,制定办法,解决问题;
    后者在windows下用的多,因为有设计良好的GUI,更方便对网络客户端侧(Windows)的故障定位;


3、你觉得抓包分析是一项必要的工作技能吗?为什么?
    必须是。如前所述,要想透过现象看本质,抓包是利器。只有用好抓包工具,才能更好更快地分析问题、解决问题,这是比较科学的工作办法,帮助使用人员回归问题本质,所以也是一个捷径。
    工具和技能,是IT人员在维护、开发网络应用中需要不断更新的两项实力,一个是硬件,一个是软件。

论坛徽章:
15
2015七夕节徽章
日期:2015-08-21 11:06:172017金鸡报晓
日期:2017-01-10 15:19:56极客徽章
日期:2016-12-07 14:07:30shanzhi
日期:2016-06-17 17:59:3115-16赛季CBA联赛之四川
日期:2016-04-13 14:36:562016猴年福章徽章
日期:2016-02-18 15:30:34IT运维版块每日发帖之星
日期:2016-01-28 06:20:0015-16赛季CBA联赛之新疆
日期:2016-01-25 14:01:34IT运维版块每周发帖之星
日期:2016-01-07 23:04:26数据库技术版块每日发帖之星
日期:2016-01-03 06:20:00数据库技术版块每日发帖之星
日期:2015-12-01 06:20:00IT运维版块每日发帖之星
日期:2015-11-10 06:20:00
发表于 2015-03-31 16:45 |显示全部楼层
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
最开始的时候抓包是为了定位双方通信的问题,为什么我发的包对端解析出来出错了,后来慢慢的应用到大的问题分析,如时延,吞吐量等问题以及抓包后用于大数据分析

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
tcpdump和wireshark用的比较多,一般是在linux下tcpdump后拷贝到windows下用wireshark看

3、你觉得抓包分析是一项必要的工作技能吗?为什么?
必须的,抓包是一个基本技能

论坛徽章:
18
卯兔
日期:2013-09-27 17:41:0615-16赛季CBA联赛之佛山
日期:2016-07-09 17:34:45操作系统版块每周发帖之星
日期:2015-12-02 15:01:04IT运维版块每日发帖之星
日期:2015-12-02 06:20:00IT运维版块每日发帖之星
日期:2015-10-07 06:20:00IT运维版块每日发帖之星
日期:2015-10-03 06:20:00IT运维版块每日发帖之星
日期:2015-10-01 06:20:00羊年新春福章
日期:2015-04-01 17:56:06拜羊年徽章
日期:2015-04-01 17:56:062015年迎新春徽章
日期:2015-03-04 09:49:452015年辞旧岁徽章
日期:2015-03-03 16:54:15天秤座
日期:2015-01-14 06:39:28
发表于 2015-03-31 17:32 |显示全部楼层
好书,支持一下

论坛徽章:
1
CU十二周年纪念徽章
日期:2013-10-24 15:41:34
发表于 2015-03-31 19:58 |显示全部楼层
还没怎么用过,真的要学习一下了。

论坛徽章:
9
寅虎
日期:2014-06-03 14:10:05午马
日期:2015-01-08 16:49:52白羊座
日期:2015-01-16 12:58:182015年迎新春徽章
日期:2015-03-04 09:57:092015元宵节徽章
日期:2015-03-06 15:51:33NBA常规赛纪念章
日期:2015-05-04 22:32:03IT运维版块每日发帖之星
日期:2015-08-04 06:20:0015-16赛季CBA联赛之北京
日期:2015-12-14 09:40:0315-16赛季CBA联赛之青岛
日期:2016-07-25 11:23:07
发表于 2015-03-31 23:00 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP