免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: myworkstation

[其他] 数据抓包分析对互联时代技术人员有何价值? [复制链接]

论坛徽章:
0
发表于 2015-04-03 09:43 |显示全部楼层
回复 51# rover12421


    应该有了,是tshark,不是tshare。如果没有的话,可能是你没有安装,在新立得软件包管理器中,是可以搜索到这个安装包的。

论坛徽章:
39
白银圣斗士
日期:2015-11-24 10:40:40酉鸡
日期:2015-03-20 14:15:44寅虎
日期:2015-03-20 14:13:59午马
日期:2015-03-20 14:13:16白羊座
日期:2015-03-20 14:12:54金牛座
日期:2015-03-20 14:12:09双子座
日期:2015-03-20 14:11:57巨蟹座
日期:2015-03-20 14:11:44狮子座
日期:2015-03-20 14:11:29亥猪
日期:2015-03-20 14:16:24戌狗
日期:2015-03-20 14:16:40申猴
日期:2015-03-20 14:17:05
发表于 2015-04-03 11:09 |显示全部楼层
回复 51# 伟姐


    恩,确实要定外安装.

论坛徽章:
71
子鼠
日期:2015-06-10 14:07:09丑牛
日期:2015-06-10 14:07:10寅虎
日期:2015-06-10 14:07:40卯兔
日期:2015-06-10 14:07:44辰龙
日期:2015-06-10 14:07:44巳蛇
日期:2015-06-10 14:07:46午马
日期:2015-06-10 14:07:47未羊
日期:2015-06-10 14:07:48申猴
日期:2015-06-10 14:07:50酉鸡
日期:2015-06-10 14:07:54戌狗
日期:2015-06-10 14:07:55亥猪
日期:2015-06-10 14:07:57
发表于 2015-04-03 11:48 |显示全部楼层
1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?
刚开始不懂HTMl CSS之类的语言,一开始最大的困惑是看不懂结构。

2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?
wireshark ,用的不多,就这个熟悉,普及率高
3、你觉得抓包分析是一项必要的工作技能吗?为什么?
这个可以有!其实会这个蛮好的! 可以用在个人生活中!防止被下木马!防止被黑!可以用抓包的结果 辅助开发! 甚至可以用抓包的结果来模拟一些操作!

论坛徽章:
26
CU十二周年纪念徽章
日期:2013-10-24 15:41:34技术图书徽章
日期:2014-07-11 16:27:52辰龙
日期:2014-09-04 13:40:43白羊座
日期:2014-09-09 12:51:55双子座
日期:2014-09-26 11:00:042014年中国系统架构师大会
日期:2014-10-14 15:59:00子鼠
日期:2014-10-23 16:48:23巨蟹座
日期:2014-10-27 08:21:10申猴
日期:2014-12-08 10:16:282015年辞旧岁徽章
日期:2015-03-03 16:54:15NBA常规赛纪念章
日期:2015-05-04 22:32:03IT运维版块每日发帖之星
日期:2016-01-29 06:20:00
发表于 2015-04-03 13:41 |显示全部楼层
路过支持!

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
发表于 2015-04-05 00:26 |显示全部楼层
本帖最后由 phanx 于 2015-04-05 01:00 编辑

回复 1# myworkstation


1、说说你的抓包体验,在抓包时遇到的最大困惑与收获分别都是什么?

目前抓包还是很方便的,工具也提供了很多辅助的分析和提示功能。
最大的困惑其实还是对于一些协议的行为的理解,现在的抓包工具也提供了很多分析和提示,已经相当不错了。
最大的收获是通过抓包分析,更清楚的理解了很多程序和应用的行为,不仅是在排障中用到,更为很多功能的学习和理解提供了直接的说明。
例如在对Oracle 客户端与Oracle RAC互交的数据包分析后,了解了Oracle RAC 借助VIP对与实例故障时的一些处理方式。


2、哪类工具用的最多,tcpdump,wireshark或者其它?为什么?

鉴于目前主流的Linux发行版都自带了wireshark,以及在UNIX类系统中更为广泛的tcpdump,因此,抓包还是很方便的。
Windows则需要单独安装wireshark。更早的时候,在wireshark的前身ethereal都还没有流行起来的时候,
Sniffer Pro和Iris Network Traffic Analyzer是Windows平台上常用的抓包工具。Iris当时还可以将捕获的数据包修改后然后发送出去,挺方便的。
现在好像科来也有一个工具可以把科来抓到的包发送出去。

但是大多数抓包工具都有一个问题就是无法长时间持续的进行抓包,数据量太大时容易崩溃又或者在捕获的海量数据中提取需要的数据不是那么容易。
所以很多企业中才部署了更专业的设备和工具,比如Riverbed SteelCentral Netshark(Cascade) 这样的可以持续的捕获,并按照自定义的条件提取捕获的数据的系统。
它提供的功能也不是单机版本的抓包工具所能比拟的。再加上分布式的探针,在数据捕获和分析上就更灵活和精确了。

3、你觉得抓包分析是一项必要的工作技能吗?为什么?

是必备的技能,因为很多情况下,只有从数据包交互的层面才能发现问题的所在。或者说比起去代码中配置中找问题,从数据包这层更容易找到问题。
在我工作中遇到过一些问题,也让我对通过抓包分析故障有更清晰的认识。

一次是在某运营商的DCN网络中,有一个系统,在部份营业厅始终打不开某些页面,但另外的营业厅又正常。当时,甲方自己查了有大概半个月也没有找到问题所在,
又找来各个设备供应商和软件供应商的人查了很久也没有找到问题,最后我被叫到现场去帮忙。我用Ethereal和Httpwatch分析后,发现不能访问的营业厅在
访问这些故障页面的时候,这些URL的地址被PIX防火墙做了NAT。由于这个系统是很多个服务器组成,URL中包含的地址也有很多,只有部份营业厅访问这几个特定的地址的时候会经过这个PIX的NAT。
而这个系统中一些链接用绝对路径的方式写了带IP的URL,所以导致这些被NAT过的地址对于这些营业厅就无法访问,而没有被NAT的URL和营业厅就访问正常。
将这个情况反馈给甲方人员并建议修改URL为相对路径,于是甲方联系了软件开发商,修改了代码,问题就解决了。

还有一次是某银行某省分行的自助查询终端通过IE浏览器访问总行业务系统的时候,总是有某些业务访问不了。省分行的人也搞不清楚为啥,处理了很久也没有找到问题所在。
后来又是叫我去帮忙看看,抓包后发现IE除了访问Web页面以外,还通过了一个ActiveX控件在与总行服务器服务器的一个服务端口在通信,但是里面返回的的数据包中
包含了下一步访问的服务器地址以及URL。但这个返回数据中的地址对于该省分行来讲是不可达的。所以这部分业务就总是出错。
反馈给运维人员后,他们调整了路由和访问规则,业务也就正常了。

还有我最近遇到的一串问题,也是靠抓包分析后才发现了问题的根源。大家有兴趣可以看看我记录的过程。

  iptables的nf_conntrack相关参数引起两个问题



论坛徽章:
19
处女座
日期:2014-07-18 14:50:5415-16赛季CBA联赛之北京
日期:2019-09-16 15:39:1415-16赛季CBA联赛之上海
日期:2019-09-15 15:29:0415-16赛季CBA联赛之山西
日期:2017-03-09 10:58:232017金鸡报晓
日期:2017-02-08 10:33:212017金鸡报晓
日期:2017-01-10 15:13:2915-16赛季CBA联赛之深圳
日期:2016-12-15 17:55:53C
日期:2016-10-25 16:00:1515-16赛季CBA联赛之新疆
日期:2016-07-21 14:02:0415-16赛季CBA联赛之江苏
日期:2016-06-30 12:15:04shanzhi
日期:2016-06-17 17:59:31平安夜徽章
日期:2015-12-26 00:06:30
发表于 2015-04-07 00:12 |显示全部楼层
工作中做无线网络开发,接触的第一个网络抓包工具就是wireshark。wireshark功能很强大,使用它来在WIFI无线网络开发过程中进行抓包分析,同时可以用来学习网络知识。其次跨平台,支持主流的OS平台。还有一个优点就是开源,免费,容易获得,易于学习,进行二次开发和定制,并有详细的文档资料,下过code了解抓包原理,这点不错。
提供了很多小工具来帮助分析,例如filter,expression等,界面简洁,不同的color设计,颜色配置来显示不同类型的packet。wireshark将逐渐发展为可以对所有主流网络协议进行分析的软件,搭配不同的网络设备dongle,可以做WiFi,3G无线网络,蓝牙等网络协议分析。

求职 : Linux运维
论坛徽章:
19
CU大牛徽章
日期:2013-03-13 15:15:0815-16赛季CBA联赛之山东
日期:2016-10-31 10:40:10综合交流区版块每日发帖之星
日期:2016-07-06 06:20:00IT运维版块每日发帖之星
日期:2016-02-08 06:20:00数据库技术版块每日发帖之星
日期:2016-01-15 06:20:00IT运维版块每日发帖之星
日期:2016-01-15 06:20:00IT运维版块每日发帖之星
日期:2016-01-10 06:20:00黄金圣斗士
日期:2015-11-24 10:45:10IT运维版块每日发帖之星
日期:2015-09-01 06:20:00IT运维版块每日发帖之星
日期:2015-08-13 06:20:00IT运维版块每日发帖之星
日期:2015-07-30 09:40:012015年亚洲杯之巴勒斯坦
日期:2015-05-05 10:19:03
发表于 2015-04-07 08:23 |显示全部楼层
抓包分析可以深入网络数据通讯的底层来进行研究,这可以非常好的具体的认识网络的各种协议和功能。如果想对网络有深入的学习和掌握,通过抓包工具也是个很好的途径和方法

论坛徽章:
0
发表于 2015-04-07 09:07 |显示全部楼层
本帖最后由 伟姐 于 2015-04-07 09:23 编辑

回复 55# phanx


    在Linux下有一款工具可以将修改后的数据包再次发送出去,这款工具名为BurpSuite。不知道支持Windows不,没研究过。

论坛徽章:
0
发表于 2015-04-07 09:27 |显示全部楼层
回复 56# shenlanyouyu


    Windows下可以使用Wireshark捕获无线网络的数据包?你是怎么捕获的?我在Windows下捕获过无线网络包,但是不能捕获,而且监听模式也不起作用?

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
发表于 2015-04-07 10:21 |显示全部楼层
回复 58# 伟姐


    我用过带GUI的 ostinato ,可以修改和发送wireshark捕获的数据包(wireshark捕获的的时候,要去掉 Use Pcap-ng format的勾)

for RHEL/CentOS
http://download.opensuse.org/rep ... OS_CentOS-6/x86_64/

  或者是命令行的 TCPreplay一些列包括 tcprewrite tcpreplay tcplivepaly 这种工具。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP