网络分析就这么简单(一)

作者: 云中布衣   分类:  读书笔记    热度: (262℃)   时间: 2018-8-6 21:32   标签: #wireshark  #读书笔记    
读书笔记之《Wireshark网路分析就这么简单》篇,作者林沛满,豆瓣评分8.4,很高的一个评分。
它是我网络技术提升计划系列读的第一本书,本次计划共列四本书,主攻林沛满老师的两本书。衷心的希望在原有网络技术知识的基础上,深入研习此次计划的四本书,使得自己的网络技术水平,能有一个较大幅度的提升,至少可以轻松应对日常抓包分析、服务器网络故障等基本网络分析问题。

Life is tough, but wireshark makes it easy.


wireshark3.jpg

用wireshark抓包分析两台子网掩码误配的服务器是否能够正常通信,挺有意思。

在同一子网内,可直接通信,而如果不在同一子网内,则需要通过网关进行转发数据包进行通信。

那么问题来了如何判断两个主机是否在同一子网内?

将主机A的IP与其子网掩码作与运算(&)
将主机B的IP与其子网掩码作与运算(&)

将上面得到的结果进行比较,如果结果相同则为同一子网,如果不同则不是同一子网。

注:子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网的根据。子网掩码与IP地址结构相同,是32位二进制数,其中网络号部分全为“1”和主机号部分全为“0”。利用子网掩码可以判断两台主机是否在同一子网中。若两台主机的IP地址分别与它们的子网掩码相“与”后的结果相同,则说明这两台主机在同一子网中。

通过wireshark研究Excel文件的保存过程

Wireshark一些实用的小技巧

1)抓包。只抓包头、只抓必要的包、写个脚本循环抓包,等观察到某事件时自动停止。
2)个性化设置。时间同步、不同类型的网络包可以自定义颜色。
3)过滤。比如按协议过滤,但是有注意协议之间的依赖;

IP地址家PORT号是常用的方式,如ip.addreq <ip> && tcp.porteq <port>之类的过滤表达式,也可右键感兴趣的包Follow Stream。
两端的IP加PORT可以过滤出一个TCP/UDP,方法为单击Wireshark的Statistics->Conversations,再单击TCP或者UDP标签就可以看到所有的Stream。
使用鼠标帮忙过滤(Wireshark太过于强大,合适的过滤表达式并不是那么好写)

我们可以把过滤后得到的网络包存在一个新的文件里,因为小文件更加方便操作,单击Wireshark的File->Save As,选中Displayed单选按钮再保存,得到的新文件就是过滤后的部分。但有时候,保存过滤后的文件再打开时会显示很多错误,这是因为过滤后得到的不再是一个完整的TCP Stream,就像抓包时漏抓了很多一样,所以选择Displayed选项时要慎重考虑。


总体来说,过滤是Wireshark中最有趣,最难,也是最有价值之处,值得我们用心学习。

4)让Wireshark自动分析。Analyze->Expert Information,可以在不同标签下看到不同级别的提示信息。比如重传的统计、连接的建立和重置统计等等。此外Statisitics还有许多有意思的功能。
5)最容易上手的搜索功能。"Ctrl+F"之后选中"String"单选按钮,然后就可以进行字符串搜索了。

Patrick的故事

Patrick是一位大牛,多次帮助于作者,他所研究的领域似乎没有边界。而Wireshark就像一把利剑,在网络分析领域所向披靡,TCP/IP在Wireshark面前毫无秘密可言。

Wireshark的前世今生

Gerald Combs “I spent several months doing research and making notes”1998年7月Ethereal面世了,Ethereal的商标权归属于Gerald所在的公司NIS,而代码的版权则属于Gerald。商标的归属权问题,于2006年Gerald离开NIS加入CACE的时候,引起了一场风波,由于Gerald与老东家在Ethereal的商标问题上无法达成一致,Gerald把项目改名为Wireshark,并一直开源免费至今。


改变世界的IT英雄可以像Jobs一样领导一个成功的公司,也可以像Gerald一样创造一件传世的作品,他们的成就一样会被镌刻在IT历史的丰碑上。

NFS协议的解析

Network File System(NFS)协议是由SUN(Stanford University Network)公司设计的。顾名思义,NFS就是网络上的文件系统,NFS服务器提供了两个共享目录/code和/document,,分别被挂在到多台客户端的本地目录上。当用户在这些本地目录读写文件时,实际上是不知不觉地在NFS服务器上读写。

作者使用Wireshark分析了NFS挂载过程的每个步骤,理清楚了NFS安全机制,还研究了读写过程的各个细节。

由于时间问题本小结暂时略过Mark了,以后碰到这类问题再过来看。

从Wireshark看网络分层
wireshark1.png

Ethernet II, Src  (网络接口层,亦即数据链路层,可以看到两个设备的MAC地址)
Internet Protocol, Src(网络互连层,亦即网络层,关键词IP)
Transmission Control Protocol, Src Port (传输层,这一层用到了TCP协议)
Hypertext Transfer Protocol (应用层)

用书中NFS的抓包例子
wireshark2.png
非常简单明了,加上物理层,就是通用的TCP/IP五层网络模型。结合当年学的计算机网络知识,真的是醍醐灌顶。
<20180806 未完待续>
56.8K

评论:

云中布衣 Say:
@青山 高考加油,祝一切顺利!

2018-08-12 23:11


青山 Say:
过奖了,瞎捉摸弄的

2018-08-12 17:29


云中布衣 Say:
@青山 哈哈哈,还好还好。
刚去过贵站,很棒,高中就有了自己的个人网站,佩服啊!

2018-08-12 14:33


青山 Say:
博主爱学习嘿嘿

2018-08-12 08:13


云中布衣 Say:
@云顶天 是的,Wireshark用来辅助理解网络协议简直是神器。

2018-08-07 12:05


云顶天 Say:
嗯,wireshark用来学习的话确实更能看清楚整个通信的过程~能排查具体的故障。

2018-08-07 11:29


云中布衣 Say:
@云顶天 谢谢推荐,暂时还不需要用到那么多功能。
学习Wireshark网络分析纯粹出于兴趣,目前遇到的问题利用Wireshark基本可以解决。
刚回访过贵站,挺棒的个人站点,如果可以的不知道能否交换个友链。

2018-08-06 23:14


云顶天 Say:
我现在喜欢用科来那套网络分析系统,一目了然,还买了个正版的。

2018-08-06 22:53


发表评论:

© 云中布衣 2015 | Driven by EMLOG  | SiteMap | RunTime: 9.73ms RSS  | MORE  |   | TOP

文章数量【258】 评论数量【238】 稳定运行【1208天】

Visitor IP Address【54.196.190.32】

Email:ieeflsyu#outlook.com