抓包工具

抓包工具

抓包工具是攔截查看網路數據包內容的軟體。抓包工具由於其可以對數據通信過程中的所有lP報文實施捕獲並進行逐層拆包分析,一直是傳統固網數通維護工作中罐常用的故障排查工具,業內流行的抓包軟體有很多:Wire shark、SnifferPro、Snoop以及Tcpdump等各抓包軟體界面,套用平台稍有差別外,基本功能大同小異。

基本介紹

  • 中文名:抓包工具
  • 外文名:Packet capture tool
  • 性質:工具
  • 屬性:抓包
  • 是攔截查看:網路數據包內容的軟體
前言,套用背景,功能,獲取,套用條件,使用方法,

前言

抓包工具是攔截查看網路數據包內容的軟體。通過對抓獲的數據包進行分析,可以得到有用的信息。目前流行的抓包工具有很多,比較出名的有wireshark、sniffer、httpwatch、iptool等。這些抓包工具功能各異,但基本原理相同。我們的計算機通過向網路上傳和從網路下載一些數據包來實現數據在網路中的傳播。通常這些數據包會由發出或者接受的軟體自行處理,普通用戶並不過問,這些數據包一般也不會一直保存在用戶的計算機上。抓包工具可以幫助我們將這些數據包保存下來,如果這些數據包是以明文形式進行傳送或者我們能夠知道其加密方法,那么我們就可以分析出這些數據包的內容以及它們的用途。目前抓包工具更多的用於網路安全,比如查找感染病毒的計算機。有時也用於獲取網頁的原始碼,以及了解攻擊者所用方法、追查攻擊者的ip地址等。

套用背景

移動分組網維護中常見的客戶套用故障分為兩大類:移動信令故障、數傳及套用層故障對於移動信令部分出現的問題,無論是會話管理(SM)還是移動性管理(MM)流程異常,利用核心同GSN或無線RNC設備的維護台通過信令跟蹤可很容易得到定位但對於那些移動信令互動正常。如終端可以正常完成附著澈活流程卻仍然無法訪問業務的故障。依靠移動分組}殳備的信令2B蹤工其進行排查則會變得相當麻煩終端在完成PDP激活後的數據傳輸出現問題時。只有對數傳的IP報文、IP通信的變換過程甚至IP:IE文的L7層數據做深人解析後才能最終定位問題而這正是傳統固嘲數通故障排查中常用的抓包工具軟體所獨有的優勢。
抓包工具抓包工具
移動分組業務在終端完成對網路的附著、PDP澈活流程後。後續的業務訪問流程與傳統的數據通信過程基本相同。只是在SGSN與GGSN間傳遞的報文需要進行GTP的封裝,在GTP隧道內完成傳輸。

功能

抓包工具常用數通分析功能有:
1、TCP/UDP/ICMP等報文互動過程分析
這是抓包工具最基本的功能,此處不再詳述。
2、數據包傳輸時延分析
抓包工具支持記錄每一抓取報文的時間點,還支持用任一報文與前一報文的時間差來作為記錄報文抓取的時間點。據此可以實現對特定時間點報文的分析和對節點轉發報文時延的計算。
3、L3-L7層IP數據報文分析
實現對IP報文的L3層IP位址頭、L4層TCP/UDP頭直到7層的內部信息的直觀分析。
4、數傳丟包分析
通過比對某節點進出兩側的抓包的IP報文中經節點轉發後保持不變的identification欄位,或者利用TCP通信的SEQ及ACK序列號分析節點或鏈路丟包情況,可分析判斷轉發報文的設備(路由器、交換機、SGSN、GGSN)是否發生了故障或出現了報文轉發瓶頸。

獲取

移動分組網中抓包檔案的常用獲取方法有如下幾種:
1、轉換工具:
利用廠家提供的轉換工具對移動分組設備(GSN)的維護台跟蹤得到的信令檔案實施轉換,得到抓包檔案。目前移動分組網設備廠家基本都提供了類似的工具軟體,其中華為公司提供的轉包工具還支持對某台設備上跟蹤到的信令檔案分in方向(Gn接口-GGSN)和out方向(GGSN->Gi接口)分別提取轉換,此功能極大地方便了對GSN設備丟包問題的分析。
2、連線埠鏡像:
如分組設備廠家未提供轉換工具,則必須自行在分組設備接入的數通設備上採用連線埠鏡像的方式進行抓包獲取。連線埠鏡像就是將被監控連線埠上的數據複製到指定的監控連線埠,對數據進行分析和監視。在使用抓包終端抓包時,需要將安裝有抓包軟體的主機的抓包網卡連線到監控連線埠,來捕獲流經被監控連線埠的I數據包。交換機連線埠鏡像的配置方法隨不同廠商、不同型號的交換機而有所區別,具體方法請查閱具體設備的指導手冊。

套用條件

在實際故障排查中,並非任何故障定位都需要開啟抓包工具進行分析。啟用抓包分析手段的前提是:利用信令跟蹤排除了移動分組信令接續異常(無法附著、無法激活等MM及SM流程異常)導致的故障,即終端成功激活並獲取到了GGSN分配的IP位址但訪問業務失敗,需要進一步對數傳過程及IP報文做深入分析才能定位故障。當然在利用抓包工具分析過程中,仍然需要考慮具體的通信過程是否與移動分組的信令接續有相關性,兩者結合全面分析才能得出正確的結果。

使用方法

下面我根據網路病毒都有掃描網路地址的特點,給大家介紹一個很實用的方法:用抓包工具尋找病毒源。
抓包工具抓包工具
1、安裝抓包工具。
目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難,Sniffer,wireshark,WinNetCap.WinSock Expert 都是當前流行的抓包工具,我使用了一種叫做SpyNet3.12 的抓包工具,非常小巧,運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設定抓包的類型,比如是要捕獲IP包還是ARP包,還可以根據目的地址的不同,設定更詳細的過濾參數。
2、配置網路路由
你的路由器預設網關嗎?如果有,指向了哪裡?在病毒爆發的時候把預設網關指向另外一台路由器是很危險的(除非你想搞癱這台路由器)。在一些企業網裡往往僅指出網內地址段的路由,而不加預設路由,那么就把預設路由指到抓包主機上吧(它不下地獄誰下地獄?當然這台主機的性能最好是高一點的,否則很容易被病毒衝擊而亡)。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上,所有對外訪問的網路包都會被分析到。
3、開始抓包。
抓包主機已經設定好了,網路里的數據包也已經送過來了,那么我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來,這些就是被捕獲的數據包(如圖)。
圖中的主體視窗里顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP位址、協定類型、源目的連線埠號等內容。很容易看出IP位址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求,並且目的連線埠都是445。
4、找出染毒主機
從抓包的情況看,主機10.32.20.71值得懷疑。首先我們看一下目的IP位址,這些地址我們網路里存在嗎?很可能網路里根本就沒有這些網段。其次,正常情況下訪問主機有可能在這么短的時間裡發起這么多的訪問請求嗎?在毫秒級的時間內發出幾十甚至幾百個連線請求,正常嗎?顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協定,該協定存在拒絕服務攻擊的漏洞,連線連線埠是445,從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP位址。剩下的工作就是給該主機作業系統打補丁殺病毒了。

相關詞條

熱門詞條

聯絡我們