在高速發達的計算機網絡世界,網絡和系統運維者每天都可能面對成千上萬的故障問題,從簡單的終端病毒感染,到復雜的網絡配置,甚至更為復雜的應用架構。當問題出現,我們永遠也不可能立即解決所有的,而良好的知識儲備和系統工具,能夠幫助我們更加快速的響應形式多樣的錯誤。
網絡數據包分析的意義
所有的網絡問題或基于網絡的應用問題,都源自應用的數據包,無論應用設計的有多完美,但其訪問的終端可能具有很大的差別,或者應用本身可能存在不可告人的小秘密。為了更好地了解網絡,快速解決相關問題,我們需要進入到網絡傳輸的最小單元數據包中。數據包不會撒謊,在這里,沒有任何東西能夠逃脫我們的視野。通過分析數據包,信息傳輸不再存在秘密(即使有些加密通信在特定環境下也無法避免)。我們對網絡數據包進行深入分析,就是為了更好地了解網絡是如何運行的,數據包是如何被轉發的,應用是如何被訪問的,有了這些了解,當再次出現網絡故障或網絡應用問題,就能夠很快的解決。這就是為什么需要分析網絡數據包,也就是分析網絡數據包的意義所在。
從現在開始,網深科技將開展一系列關于數據包分析的主題文章,帶你領略神奇的數據包世界。你將學習如何查看網絡使用情況,如何解決網絡訪問速度慢的問題,定位識別應用的性能瓶頸問題,分析感染病毒的終端系統,發現被攻擊的服務器,甚至追蹤存在于真實場景中的黑客。通過這一系列的學習,你應該能夠掌握并使用先進的網絡數據包分析技術來解決日常自己網絡中遇到的實際問題,哪怕起初感覺極為復雜或難以解決的問題。
網絡數據包分析與數據包嗅探器
網絡數據包分析,就是通常所說的抓包分析,其它類似網絡分析、協議分析、數據包分析或數據包嗅探的說法,都是指采集和解碼網絡上實時傳輸數據的過程,分析的目的通常是為了能更好地了解網絡上正在發生的事情。網絡數據包分析過程主要由抓包軟件來捕獲數據包。
全球使用最多的Wireshark
使用網絡數據包分析技術,一般能夠實現如下目的:
? 了解網絡工作原理;
? 查看網絡使用情況及網絡上的通信主體;
? 確認哪些應用占用帶寬;
? 識別網絡中存在的攻擊或惡意行為;
? 分析定位網絡故障和延時大小;
? 查看用戶訪問應用的快慢情況;
? 優化和改進應用性能
當然,這些功能可能只是最常見的使用之一,通過數據包分析可做的事情遠遠不止這些。
目前全球最流行、使用最廣泛的數據包分析軟件為Wireshark,本系列關于網絡分析的主題,主要介紹如何使用該軟件。其中可能會提及或使用更為智能的商業產品,如NetInside系列性能管理系統,但僅作為參考,或對比學習。
Omnipeek廠商改名并被收購
另外,較為常用的網絡數據包分析軟件有基于命令行的tcpdump,Wildpackets的Omnipeek(這家公司后轉向于安全取證領域分析,改名Savvius,被LiveAction收購),國內也有家做網絡流量分析的廠商,早期的產品也與Omnipeek頗有淵源。
