- 论坛徽章:
- 54
|
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
抓包可以学到很多东西,特别是网络协议之类的东西,但这也是抓包中最难的部分,普通的协议像http还好一些,其他一些私用协议和加密的东西就比较难处理。
目前比较麻烦的是怎么样在大流量的情况下抓包,大流量下一方面抓包影响网络性能,另一方面数据包太多,在没有用镜像功能的交换机时,这是比较麻烦的。
2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
抓包tcpdump用的最多,但是tcpdump解决一些小问题有优势,数据包多的话是用wireshark来比较方便,原来omni出的一款抓包工具也非常优秀,比wireshark小,但是性能和使用起来都比wireshark顺手,只是这几年没更新了,不支持新协议和新网卡,也只能用在windows下。
3、你觉得抓包分析是一项必要的工作技能吗?为什么?
毫无疑问,抓包是运维的必备技能,不会抓包的运维绝对不是好运维。很多疑难的网络故障就要靠抓包来解决。比如最常见的arp欺骗和广播风暴,不用抓包的话很难快速定位故障机器。还有一些网线或光纤接触不好的故障,不抓包也很难分析出来。
我遇到一个疑难的故障:两个单位之间互联,网线测试都没问题,就是不通。经过抓包,发现其他单位的ping请求都伴随着arp查询,而不是走的路由,马上就定位为掩码不对,经排查,确实是路由器上的掩码出现失误。这种只有抓包才能快速地找出原因。 |
|