區域網流量分析及工具
一、流量分析基礎
1.概念:通過使用網路流量分析工具,觀察區域網內(廣播域)各種協議的資料報並進行簡單分析。
2.功用:目的是熟悉工具及常見網路協議的pdu的格式。
3.思考:如果已經理解了廣播域內的各種網路協議運**況,如何捕獲網路裝置間(網際網路)的資料報進行分析?
比如如何捕獲路由器同步路由表的資料報、比如如何捕獲rip、ospf、bgp等協議的資料報?
二、工具
1.wireshark
2.tcpdump
tcpdump是linux中強大的網路資料採集分析工具。
tcpdump的總的輸出格式:系統時間 **主機.埠 > 目標主機.埠 資料報引數
命令格式: tcpdump[ 引數] [-b 大小] [-c 數量] [-f 檔名] [-i 網路介面] [-r 檔名] [-s ] [-t 型別] [-w 檔名] [表示式]
常用命令:
基於協議的:tcpdump arp -c5 //捕獲arp包,抓取5個。
tcpdump -i eth0 -nn 'icmp' //
基於ip的:tcpdump host 192.168.0.193 //擷取主機的所有收到的和發出的資料報。
基於埠的:tcpdump tcp port 23 host 10.10.4.8 //
tcpdump -i eth0 src host 192.168.0.201 //讀取主機傳送的所有資料
tcpdump -i eth0 dst host 192.168.0.1 //讀取主機接收到的所有資料
tcpdump -i eth0 'udp port 53' //監控所有的dns查詢和響應
其他: tcpdump -i eth0 gateway gatewayname //監視通過指定閘道器的資料報
tcpdump -s 0 -w filename //抓取完整資料報
3.tshark
tshark是wireshark的命令列版本。
引數:抓包介面類:
-i 設定抓包的網路介面;
-d 列出當前存在的網路介面;
-f 設定抓包過濾表示式;
-s 設定每個抓包的大小;
抓包停止條件:
-c 抓取的包數;
-a 設定tshark在正常啟動後停止工作並返回的條件;
檔案輸出控制:
-b 設定tshark分析的輸入檔案;
常用命令: tshark -c 50 -w tsharktest.pcap
三、擴充套件
wireshark適用於非伺服器的所有場合;tcpdump適用於伺服器場合;tshark很少用到,命令使用也較複雜。
要想抓到router的包,可能要登上一台router吧。沒研究。
注:
區域網嗅探原理及工具
嗅探只能發生在區域網,區域網內通訊是通過mac位址定址的,通過ip定址在發生在區域網間的。arp協議,在計算機a中會傳送arp廣播來尋找通訊物件計算機b的mac位址,如果有個計算機c,冒充雙方的ip,並且把自己的mac傳送給a 和 c,就可以實現資料報 繼而實現嗅探或監聽。這就是區域網嗅探的原理。a...
Linux下區域網流量統計
1 統計10.86.0.0 16網段的內網流量情況 將下面指令碼儲存成檔案traffic 程式設計客棧lan.sh 執行後需要等待10秒抓包 tcpdump nqt src net 10.86.0.0 16 and dst net 10.86.0.0 16 tmp tcpdump t程式設計客棧em...
區域網限速軟體控制電腦網速 控制區域網流量教程
在區域網網路管理中,網管員乙個非常重要的工作就是限制區域網網速 合理分配上網頻寬。這是因為國內企事業單位出口網路頻寬一般較小,企業上網速度普遍較慢。而當前各種網路應用層出不窮,尤其是p2p 看 看網路電視等行為極為普遍。這些與工作無關的網路應用和上網行為會極大地消耗單位的網路頻寬,極容易造成區域網網...