读书笔记之《Wireshark网路分析就这么简单》篇,作者林沛满,豆瓣评分8.4,很高的一个评分。
它是我网络技术提升计划系列读的第一本书,本次计划共列四本书,主攻林沛满老师的两本书。衷心的希望在原有网络技术知识的基础上,深入研习此次计划的四本书,使得自己的网络技术水平,能有一个较大幅度的提升,至少可以轻松应对日常抓包分析、服务器网络故障等基本网络分析问题。
Life is tough, but wireshark makes it easy.
用wireshark抓包分析两台子网掩码误配的服务器是否能够正常通信,挺有意思。
在同一子网内,可直接通信,而如果不在同一子网内,则需要通过网关进行转发数据包进行通信。
那么问题来了如何判断两个主机是否在同一子网内?
将主机A的IP与其子网掩码作与运算(&)
将主机B的IP与其子网掩码作与运算(&)
将上面得到的结果进行比较,如果结果相同则为同一子网,如果不同则不是同一子网。
注:子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网的根据。子网掩码与IP地址结构相同,是32位二进制数,其中网络号部分全为“1”和主机号部分全为“0”。利用子网掩码可以判断两台主机是否在同一子网中。若两台主机的IP地址分别与它们的子网掩码相“与”后的结果相同,则说明这两台主机在同一子网中。
通过wireshark研究Excel文件的保存过程
Wireshark一些实用的小技巧
1)抓包。只抓包头、只抓必要的包、写个脚本循环抓包,等观察到某事件时自动停止。
2)个性化设置。时间同步、不同类型的网络包可以自定义颜色。
3)过滤。比如按协议过滤,但是有注意协议之间的依赖;
IP地址家PORT号是常用的方式,如ip.addreq <ip> && tcp.porteq <port>之类的过滤表达式,也可右键感兴趣的包Follow Stream。
两端的IP加PORT可以过滤出一个TCP/UDP,方法为单击Wireshark的Statistics->Conversations,再单击TCP或者UDP标签就可以看到所有的Stream。
使用鼠标帮忙过滤(Wireshark太过于强大,合适的过滤表达式并不是那么好写)
我们可以把过滤后得到的网络包存在一个新的文件里,因为小文件更加方便操作,单击Wireshark的File->Save As,选中Displayed单选按钮再保存,得到的新文件就是过滤后的部分。但有时候,保存过滤后的文件再打开时会显示很多错误,这是因为过滤后得到的不再是一个完整的TCP Stream,就像抓包时漏抓了很多一样,所以选择Displayed选项时要慎重考虑。
总体来说,过滤是Wireshark中最有趣,最难,也是最有价值之处,值得我们用心学习。
4)让Wireshark自动分析。Analyze->Expert Information,可以在不同标签下看到不同级别的提示信息。比如重传的统计、连接的建立和重置统计等等。此外Statisitics还有许多有意思的功能。
5)最容易上手的搜索功能。"Ctrl+F"之后选中"String"单选按钮,然后就可以进行字符串搜索了。
Patrick的故事
Patrick是一位大牛,多次帮助于作者,他所研究的领域似乎没有边界。而Wireshark就像一把利剑,在网络分析领域所向披靡,TCP/IP在Wireshark面前毫无秘密可言。
Wireshark的前世今生
Gerald Combs “I spent several months doing research and making notes”1998年7月Ethereal面世了,Ethereal的商标权归属于Gerald所在的公司NIS,而代码的版权则属于Gerald。商标的归属权问题,于2006年Gerald离开NIS加入CACE的时候,引起了一场风波,由于Gerald与老东家在Ethereal的商标问题上无法达成一致,Gerald把项目改名为Wireshark,并一直开源免费至今。
改变世界的IT英雄可以像Jobs一样领导一个成功的公司,也可以像Gerald一样创造一件传世的作品,他们的成就一样会被镌刻在IT历史的丰碑上。
NFS协议的解析
Network File System(NFS)协议是由SUN(Stanford University Network)公司设计的。顾名思义,NFS就是网络上的文件系统,NFS服务器提供了两个共享目录/code和/document,,分别被挂在到多台客户端的本地目录上。当用户在这些本地目录读写文件时,实际上是不知不觉地在NFS服务器上读写。
作者使用Wireshark分析了NFS挂载过程的每个步骤,理清楚了NFS安全机制,还研究了读写过程的各个细节。
由于时间问题本小结暂时略过Mark了,以后碰到这类问题再过来看。
从Wireshark看网络分层
Ethernet II, Src (网络接口层,亦即数据链路层,可以看到两个设备的MAC地址)
Internet Protocol, Src(网络互连层,亦即网络层,关键词IP)
Transmission Control Protocol, Src Port (传输层,这一层用到了TCP协议)
Hypertext Transfer Protocol (应用层)
用书中NFS的抓包例子
非常简单明了,加上物理层,就是通用的TCP/IP五层网络模型。结合当年学的计算机网络知识,真的是醍醐灌顶。
<20180806 未完待续>
2018-12-24 11:27