网络流量监测-单机流量监测
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
21
Wireshark界面示意图
22
网卡列表
23
配置捕获选项
24
Wireshark过滤器
Wireshark有两个过滤器:
1. 捕获过滤器:捕获网络流量时进行过滤,只捕获需要 的流量
Biblioteka Baidu
2. 显示过滤器:显示捕获的包时进行过滤,用于不同的
分析用途,呈现不同的网络包
25
Packet
Packet
Packet
被动监测:在某个节点收集、提取现有流量来分析。
– 优点是不产生额外流量,对监测点的网络性能无影响
3
– 缺点是对测量业务没有可控性。
网络流量监测位置的分类
网络出口流量监测
核心网关 监测
用户主机内嵌软件监测
4
用户端独立监测终端监测
终端监测
以上监测方式各自有自己的优点和缺陷
单机流量监测软件
运行在微机上, 利用微机的网卡,截获或发送网络数 据,并做流量分析的软件。
认为该接收就在接收后产生中断信号通知CPU,认为 不该接收就丢弃不管,所以不该接收的数据网卡就丢 弃了,计算机根本就不知道。
13 CPU得到中断信号产生中断,然后处理这些数据。 当主机发送数据时,网卡等待合适的时间将分组插入 到物理数据流中 。
网卡工作模式
14
混杂模式
Promiscuous Mode 网卡默认工作在非混杂模式,只接收目的地址是本机
参考Wireshark帮助“Filtering while capturing”
过滤的字符串举例
a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所 有包
ether host 00:d0:f8:00:00:03
b.捕获 IP地址为 192.168.10.1 网络设备通信的所有包 host 192.168.10.1
18
Sniffer界面示意图
19
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 20 5. Pcap文件格式
Wireshark
原名Ethereal 功能强大的免费单机流量监测软件 基于主流单机流量监测软件包Winpcap,后续课程讲
解通过Winpcap自己编程监测 官方网站:
28
c.捕获网络web浏览的所有包 tcp port 80
d.捕获192.168.10.1除了http外的所有通信数据包 host 192.168.10.1 and not tcp port 80
NAI(McAfee)公司设计的协议分析软件 老牌单机流量监测软件,早期影响很大 现归属于NetScout公司 中文官网:
17
Sniffer功能
网络流量分析、网络故障诊断 应用系统流量分析及故障诊断 网络病毒流量、异常流量检测 无线网络分析、非法接入设备检查 网络安全检查、网络行为审计
捕获 过滤
生成在cap文件中
Packet
Packet
Packet
Packet
显示 过滤
显示在界面上 Packet
配置捕获过滤器
✓ Filter name:任意
命名
26
✓ Filter string:过滤 的命令
捕获过滤器命令语法
[src|dst] host <host> ether [src|dst] host <ehost> [src|dst] net <net> [{mask <mask>}|{len <len>} [tcp|udp] [src|dst] port <port> 27 less|greater <length> ip|ether proto <protocol> ether|ip broadcast|multicast
6
态变更 监测终端对流量的分析相对容易,高效 监测终端靠近用户端,可反映用户感受到的网络质量,
可准确匹配用户身份
单机流量监测用途
正当:协议分析、流量分析、故障管理、性能管理、 安全管理、通信监视等。
不正当:捕获用户的账号、密码、机密数据,攻击网 络邻居,获取高级别的访问权限等。
7
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 8 5. Pcap文件格式
网络流量监测 单机流量监测
宽带网络监控教研中心
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 2 5. Pcap文件格式
网络流量监测行为的分类
主动监测:主动发起网络通信,并分析流量。
– 优点是可以按测量要求定制合适的业务流量和业务行为方式
– 缺点是给网络增加了额外的流量开销。
网卡的属性
每个网卡对应了一个网络接口 每个网卡有唯一的MAC地址 每个网卡可配置IP地址、子网掩码、网关、DNS服务
器 可同时配置IPv4和IPv6地址
10
Windows中管理网卡属性(演示)
– 控制面板 – ipconfig命令
网卡属性
11
ipconfig
12
网卡的工作原理
网卡收到传输来的数据,先解析数据头的目的MAC地 址,根据网卡设置的接收模式判断该不该接收。
微机上的网卡是什么?
计算机与外界网络的连接是通过主机内插入一块网络 接口板。网络接口板又称为通信适配器或网络适配器 (adapter)或网络接口卡NIC(Network Interface Card)但是现在更多的人愿意使用更为简单的名称 “网卡”。
9 独立网卡、主板集成网卡 以太网网卡、WIFI网卡、3G上网卡 同一主机可以有多个网卡
属于用户主机内嵌软件,可采用主动、被动监测。 例如Sniffer、 Wireshark 、OmniPeek、
NetPeeker 等。
5
更专业的方式是自己写单机监测软件。
单机流量监测方式特点
可以捕获链路层的帧,核心网关监测做不到 可分析链路层、网络层、传输层、应用层协议,可以
做复杂的深度流量分析 可监测端到端质量 可采用主动监测,监测目标和策略可自由定制、可动
的报文和帧 特殊功能的软件,可以将网卡配置为混杂模式 如果网卡配置为混杂模式,那么它就会捕获通过它的
15
所有报文和帧,不论其目的地址是否为本机 一般用于网络监测
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 16 5. Pcap文件格式
Sniffer
Wireshark界面示意图
22
网卡列表
23
配置捕获选项
24
Wireshark过滤器
Wireshark有两个过滤器:
1. 捕获过滤器:捕获网络流量时进行过滤,只捕获需要 的流量
Biblioteka Baidu
2. 显示过滤器:显示捕获的包时进行过滤,用于不同的
分析用途,呈现不同的网络包
25
Packet
Packet
Packet
被动监测:在某个节点收集、提取现有流量来分析。
– 优点是不产生额外流量,对监测点的网络性能无影响
3
– 缺点是对测量业务没有可控性。
网络流量监测位置的分类
网络出口流量监测
核心网关 监测
用户主机内嵌软件监测
4
用户端独立监测终端监测
终端监测
以上监测方式各自有自己的优点和缺陷
单机流量监测软件
运行在微机上, 利用微机的网卡,截获或发送网络数 据,并做流量分析的软件。
认为该接收就在接收后产生中断信号通知CPU,认为 不该接收就丢弃不管,所以不该接收的数据网卡就丢 弃了,计算机根本就不知道。
13 CPU得到中断信号产生中断,然后处理这些数据。 当主机发送数据时,网卡等待合适的时间将分组插入 到物理数据流中 。
网卡工作模式
14
混杂模式
Promiscuous Mode 网卡默认工作在非混杂模式,只接收目的地址是本机
参考Wireshark帮助“Filtering while capturing”
过滤的字符串举例
a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所 有包
ether host 00:d0:f8:00:00:03
b.捕获 IP地址为 192.168.10.1 网络设备通信的所有包 host 192.168.10.1
18
Sniffer界面示意图
19
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 20 5. Pcap文件格式
Wireshark
原名Ethereal 功能强大的免费单机流量监测软件 基于主流单机流量监测软件包Winpcap,后续课程讲
解通过Winpcap自己编程监测 官方网站:
28
c.捕获网络web浏览的所有包 tcp port 80
d.捕获192.168.10.1除了http外的所有通信数据包 host 192.168.10.1 and not tcp port 80
NAI(McAfee)公司设计的协议分析软件 老牌单机流量监测软件,早期影响很大 现归属于NetScout公司 中文官网:
17
Sniffer功能
网络流量分析、网络故障诊断 应用系统流量分析及故障诊断 网络病毒流量、异常流量检测 无线网络分析、非法接入设备检查 网络安全检查、网络行为审计
捕获 过滤
生成在cap文件中
Packet
Packet
Packet
Packet
显示 过滤
显示在界面上 Packet
配置捕获过滤器
✓ Filter name:任意
命名
26
✓ Filter string:过滤 的命令
捕获过滤器命令语法
[src|dst] host <host> ether [src|dst] host <ehost> [src|dst] net <net> [{mask <mask>}|{len <len>} [tcp|udp] [src|dst] port <port> 27 less|greater <length> ip|ether proto <protocol> ether|ip broadcast|multicast
6
态变更 监测终端对流量的分析相对容易,高效 监测终端靠近用户端,可反映用户感受到的网络质量,
可准确匹配用户身份
单机流量监测用途
正当:协议分析、流量分析、故障管理、性能管理、 安全管理、通信监视等。
不正当:捕获用户的账号、密码、机密数据,攻击网 络邻居,获取高级别的访问权限等。
7
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 8 5. Pcap文件格式
网络流量监测 单机流量监测
宽带网络监控教研中心
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 2 5. Pcap文件格式
网络流量监测行为的分类
主动监测:主动发起网络通信,并分析流量。
– 优点是可以按测量要求定制合适的业务流量和业务行为方式
– 缺点是给网络增加了额外的流量开销。
网卡的属性
每个网卡对应了一个网络接口 每个网卡有唯一的MAC地址 每个网卡可配置IP地址、子网掩码、网关、DNS服务
器 可同时配置IPv4和IPv6地址
10
Windows中管理网卡属性(演示)
– 控制面板 – ipconfig命令
网卡属性
11
ipconfig
12
网卡的工作原理
网卡收到传输来的数据,先解析数据头的目的MAC地 址,根据网卡设置的接收模式判断该不该接收。
微机上的网卡是什么?
计算机与外界网络的连接是通过主机内插入一块网络 接口板。网络接口板又称为通信适配器或网络适配器 (adapter)或网络接口卡NIC(Network Interface Card)但是现在更多的人愿意使用更为简单的名称 “网卡”。
9 独立网卡、主板集成网卡 以太网网卡、WIFI网卡、3G上网卡 同一主机可以有多个网卡
属于用户主机内嵌软件,可采用主动、被动监测。 例如Sniffer、 Wireshark 、OmniPeek、
NetPeeker 等。
5
更专业的方式是自己写单机监测软件。
单机流量监测方式特点
可以捕获链路层的帧,核心网关监测做不到 可分析链路层、网络层、传输层、应用层协议,可以
做复杂的深度流量分析 可监测端到端质量 可采用主动监测,监测目标和策略可自由定制、可动
的报文和帧 特殊功能的软件,可以将网卡配置为混杂模式 如果网卡配置为混杂模式,那么它就会捕获通过它的
15
所有报文和帧,不论其目的地址是否为本机 一般用于网络监测
目录
1. 网络流量监测方式 2. 网卡的工作原理 3. Sniffer 4. Wireshark 16 5. Pcap文件格式
Sniffer