网络流量分析沙龙 现场速记.doc

网络流量分析沙龙 现场速记(未编辑版，文字中涉及到很多名字均可能是音译)主持人（草上飞2008）：大家下午好，非常欢迎各位网友在大周末的时间里，来到我们沙龙现场。今天，地方有些小，比较失策。下次，我们将安排大的地方。今天的主题是：网络流量分析的讨论。关于网络流量分析的工具的意义，我就不多介绍了，大家都是明白人。但有一点，我觉得有必要提一下：之前，我跟sniffer的范伟导老师交流过，他向我们的沙龙提出了建议：对网络工程师来说，不是该用哪一流量分析工具，而是怎么做流量分析。案例最重要。另外：对用户来说，处理异常流量只是其中很少的一部分。现在规模比较大的用户更关注的是应用性能分析，通过分析网络流量，判断应用性能的瓶颈，是用户最感兴趣。例如，数据库的应用瓶颈，ERP应用等应用瓶颈等。所以，正是因为如此，我之前跟各位在报名时，已经经过了一定的交流，并邀请了几位老兄，出台讲讲他们的应用感受。现在，我们有请IT168总编英英女士为我们致辞。IT168总编耿英英：当时我们说这就是我们这些人的精神家园，今天来的人可能相互之间不是很熟悉，很像一个家庭的成员一样，那It168是传媒，我们也一直跟CU一直有一个紧密的合作伙伴关系，我们希望在战略上也能够合作，这个合作的意义对于豪绅来说，我们可以不仅仅是一个讲一些趋势性的，然后一些潜在性的一些选题和内容，我们其实可以做到真正有用的一个网站，现在互联网的媒体有些不一样，首先它必须是有有用的，因为有用而有价值，而不是唱高调，吹喇叭，那大家互相之间比谁吹的响，但是互联网不是仅仅这一点，它生存的基础不一定比谁的声音特别，谁的声音最大，而是要比谁真正给用户带来实际的价值，我们特别幸运的跟CEO有一个特别好的合作关系，使得我们可以跟今天在座的这样一群技术界的精英有一个面对面的互动，这样我们可以细致的了解到大家在网络方面真正的需求，和对于一些网络产品技术和应用的看法，这个会使得我们在做内容的时候，具有更好的针对性，我们的内容会让大家看了更有价值，这对我们来说意义非常大，当然我们可以通过这样一个平台，可以把大家非常散的问题通过某种媒体的提炼成为一种具有普遍意义的内容，这可能是我们之间合作特别好的基础。类似的这种合作，今天这样一个形势的我们已经做了很多次了，我们觉得这个活动非常好，我们之间做过虚拟化的沙龙，还做过上网行为管理的沙龙，今天讲的流量监控的控制。我想我们可能未来会随着我们活动越办越多的话，我们每次的选题都会变得越来越具体，刚才我们跟这边的一些朋友来聊，他们觉得CU现在特别特别大了，但是可能针对具体的话题，可能谈不到特别的深，谈不到特别有针对性，我们也希望把CU做得更好，除了变得越大越强之外，还能在具体的某个领域再深入一些，那么怎么能够达到这个目的呢，我觉得不是仅仅靠我们这些编辑等等，一个人浑身都是铁，也打不了几个钉子，我觉得要靠大家之间相互的互动和互助，我们把一些问题非常有针对性的解答出来，今天这个（英文）话题比之前开过的沙龙讲的更具体一些了，讲到了一些具体的使用经验和技巧，我希望今天的会能够成功，今天已经是我们第N次组织这个活动了，也希望大家以后能够积极的参与我们接下来的其他的活动，谢谢大家！SNIFFER技术工程师：（听不清），给大家介绍一下网络流量这样一个市场，顺便介绍一下sniffer。陈明：大家好，我叫陈宁，我们以前一直在sniffer做工作，小谢等等我们都是同事，今天在这里我简单介绍一下（英文）和它的趋势，它的历史就不用讲了，是许多年的产品了，现在的主要功能是两块。00：05：00一个是监控一个是分析，整体的技术趋势一个是高速的大流量捕获，第二同时加存储，再一个就是后台的分析，把抓下来的包全部进行分析，也两个方向基本是各个物流厂商发展的方向和争夺的突破点，然后现在的问题主要是遇上跟大家伙，我们在几年的销售过程中，建立很多客户，包括天天在用这些产品的同事，有的用了十多年我们的产品的，基本发现有一个共同特征，其中一个就是盗版率太高，大家都在用，因为这个产品没有经过很深入的培训和训练，很多功能根本就不知道，包括我们自己的工程师，用了很多年都在一点点的挖掘和熟悉，因为它涉及的面很多，包括网络、硬件、软件，还有系统，涉及到很多方方面面的东西，很多东西我们自己并不是很清楚，需要我们对网络市场有全面的了解基础上，对它也有很深入的理解情况下，这样结合起来，在日常工作中有效发挥它的功能，目前它已经不再谈论简单的捕获的问题，现在目前涉及到几个方面的问题，回头逐一讲一下案例。比如说安全，安全现在比如说很多新的病毒，红色的代码等等，都是我们先发现的，因为现在针对网络安全的问题越来越严重，我们现在了解的趋势是，网络攻击的重点就是网络，不再针对硬件的东西，因为硬件太简单了，随时可以换掉，网络的风险性会更高，那么如何预防或者及时发现等等，这是个重要的东西，我们在这方面有比较大的优势。 第二个是预警，因为浏览正常的情况下根本看不到，而（英文）对问题刚刚露出苗头的时候，我们就能够很好的解决，对于网管来讲是非常好的帮助，因为实际上很多用户都在提出各种各样的问题，一发现几十万个请求出来了，不知道怎么回事，然后网络突然瘫痪了，这个实际上都有一个由低到高的发展过程，这是我们看不见的，这时候怎么预防和预警，这是提高我们解决问题的效率，减少问题的损害，这都很重要。另外网络优化，因为在网络上很多看不到的东西，或者是实际上对速度有影响，是非性的问题，整体匹配性的问题，通过（英文）抓包分析，我们来看网络是否处于最好的状态，再有就是回缩分析，我们不可能24小时看着机器，如果昨天晚上瞬间断了一下线，为什么不知道，我能够把它调回来，当时谁在这个网络上干了一些什么问题，那个时间为什么断线，这些东西对于网管来说是一个补救措施，因为它问题事先发生的嘛，基本上（英文）主体趋势是这些方向，下面我们的工程师Sniffer技术工程师 谢声涛讲一下工作中遇到的实际案例，大家欢迎。00：10：00主持人：在国内做sniffer技术有一个是范伟导，可能大家对他比较认识，第二个比较厉害的就是谢声涛，因为范伟导总是比较忙，我们请来谢声涛给大家分析一下sniffer案例。因为我们本身重点并不是说讲sniffer，主要是sniffer在Windows平台里面用的比较多，所以以sniffer作为一个开头，先起一个点睛的作用，下面其他的一些软件都会涉及到的。Sniffer技术工程师 谢声涛：Sniffer技术工程师 谢声涛：这里我给大家简单介绍一下我们在实际过程中，碰到的一些问题，其中也针对两种情形，一中是大家经常用笔记本上的（英文），这种故障比较多，还有就是回缩分析，为什么需要做这种分析呢，介绍一下它的情况，比如说在往常情况，可能网络出现了问题，但是这个问题可能是半夜两点钟，但是它是一种不可再现的问题，有可能这段时间五分钟或者十几秒钟出现问题，但又恢复正常了，但并不表示这个问题已经解决了，它实际上是隐藏在后台的问题，那么有可能下次爆发的时候引起更重要的问题。那么在这种情况下我们就需要有一种工具，能够把当时的这个点保存下来，及时的做分析，这样把隐患消除在萌芽状态，所以我们有一种回缩分析的工具，就是大流量存储的设备，可以把网络需要的数据进行过滤，保存在我们的网上面，那么一旦这个问题出现的时候，技术人员首先不会再向以前想办法重现问题，现在只需要了解服务器的时间，是什么服务器发生的问题，在什么时间点上，然后根据时间点可以把这个数据做出来，比如说这个网络导致数据库存在问题，那么数据库的连接超时导致连接中断，那么在数据库的日志中并没有错误的显示，而且这个问题并不是经常发生的，而且也不带有特征状态，那我们首先了解这个细节，什么时间点，客户端，服务器，那么这些都是可以获知的，因为可以根据其他的日志，或者说网上凌晨三点半出现这样一个问题，访问中断，我们可以把IP地址、端口、时间点，我们用大流量存储的分析工具，可以看到三点半的时候有一个突发高峰，那我们把这个时间段缩短到大概五分钟范围，然后再把我们的IP地址做过滤，可以看到，3767点端口过滤，或者做一个解码看，然后出现的窗口就是大家比较熟悉，我们想看一看其中有几个告诫，其中最主要的一个是数据库连接缓慢，那么这样我们就需要看其中的前后包的间隔时间，间隔时间达到了1秒，120毫秒，那么这时已经大大超过了数据库相应的值，这个值一般根据自己不同的需要，（英文）默认的话，大概是5万毫秒。00：15：00但是在不同的网络，或者不同的环境中，这种设置是可以更改的，那我们再看为什么会出现这么大的相应时间间隔呢，然后看数据库的解码，可以看到这边有个TDS的（英文），然后看一下它到底执行什么样的脚本呢，可以看到这底下执行的（英文）DB这样的一个脚本，它实际上是创建数据库的工作，它可能需要从其他的服务器或者说其他的数据去把数据拷贝，然后重建建立一个数据库，所以说正是因为有这样的一个数据库脚本操作，所以导致了我们的流量突然的瞬间爆发，到一个非常高的高端，导致了正常的数据库的网络连接出现了中断。这个简单的案例就是说，在以后碰到这样不可回缩网络现象的话，可以用这种分析工具去做分析，那么当然这种分析工具，大家平常用的比较少，但是我提议大家用这种分析工具，它有什么好处呢，它可以按照一个时间轴，大家可以看到这个时间轴，比如说我们有一些这样的应用案例，（英文）它可以保存在硬盘上面，大概可以存100G，或者200G这样的大文件，把它保存为CP的文件格式，我们可以加载到（英文），它就可以以这个时间轴的方式来显示，这样对于我们在判断问题，或者说确定我们要把哪那个时间点的数据，或者说哪个IP来做出来是有非常大的帮助的，非常简单，可以把时间段缩小，然后用端口过滤，非常简单把这个给分析出来。再给大家介绍一个，这是一个比较简单的，就是说突发的流量高峰，那么出现这样的情况的话，我们也需要判断，这个是哪个时间点，是哪些占用了我们的服务器带宽，在这个点我们看到有一个高峰，那么我们就把这个时间段，有两个虚线，这有一个范围，这有一个很小的间隔，这里头的间隔时间，这是我们叫焦点区域，这个底下所有的数据就是我们在焦点区域的统计，在这边可以进行排序，也就是说我们可以看哪些机器占用带宽最大，我们就可以按照字节进行排序，这样就可以知道前几位的地址，就可以直接显示出来，根据IP地址可以去判断哪些客户端在访问，或者说根据IP地址可以看出使用的什么样的协议，都可以在端口过滤后做协议的查询，然后把IP地址单独挑选出来进行分析。00：20：00那么另外的话，（英文）系统我一直认为是一个非常好的东西，特别是对于它可以针对IPPDP的筛选，当然市面上现在有很好的分析工具，它可以按照用户感知的角度，比如说用户点击网页，下载了多少个文件，以及消耗了多少时间，包括在数据库提交什么样的请求，整个一系列的过程，按照从上往下的方式进行排序，这个分析也是非常好的。这种工具的话，像有些AV，有些应用分析工具，我不知道大家有没有接触过，实际上它就是类似于这种，在用户层面上进行分析。这是一个分析的案例，现在介绍一下我们以前在用（英文），我们便携式设备，我们去做故障诊断，碰到了这样的一些案例，这是比较早的，利用（英文）去解决的，我们知道证券公司一般以前早期用的（英文）系统后，后来在（英文）新的版本出来之后，它支持（英文），证券公司就要做服务器的升级，那么升级完之后的话，证券公司有两个主要的服务，一个是行情服务，一个是交易，其中交易行情服务特别缓慢，那么一般出现故障之后，首先我们做诊断之前，首先并不是把设备接进去，一般我们是不建议这样做的，一般在做之前建议大家先把图画好，然后去判断，可能出现问题的几个点，然后判断这个点可能在哪个地方产生，然后在哪些点做数据，我要做多长时间的数据，这些都要设定好，这时候我们用（英文）去捕获，最后做综合的分析。在这个案例中的话，我们判断可能出现的问题可能是网络设备，网络连接这种线，还有服务器，还有系统配置等等，那么这些都是可能出现问题的，判断有可能是系统配置问题，有的可能是路由器问题，那么大家可能就想，到底是怎么样一个方法一次排除呢，或者说先考虑哪些，再考虑哪些，在（英文）大学教学中有一个专门做分析的，其中它最重要的一个是由下往上，就是从（英文）最底层开始，也就是说我首先要确定我的物理层有没有问题，然后依次往上，但是之前我们在做这个的时候，首先我们看哪些点时候，首先我们从宏观概念，我这个数据流经过哪些设备，经过哪些服务器，特别是有很多企业都用ERP的系统，经过了AP，有可能经过（英文），也可能这个系统跟其他的系统交互，这时候我们要把数据流逻辑图在心理有一个非常清晰的认识，然后依次去判断在哪些点出现问题，然后确定点之后，再看这些点从物理层依次往上看有没有什么问题，这样的一个顺序。在这个图里，我们可以看到因为是行情服务出现问题，所以我们把（英文）接入到行情服务器。00：25：00可以把这两个数据记录出来，然后进行分析，我们可以看到，在这个层面有21个症状，其中有文件传输，还有（英文），其中这个是因为点击到这个上面，它解释的话，大概就是说我们在写文件的时候，设置不当，比如说我写800个字节，它实际上只有700个数据，所以就重复再写，再发一个包，一个文件传输的话，可能要传输两次，才能把整个文件传输到服务器上，这是会话层上的告诫。再看全局，看到有（英文），表示我们的局域网已经过窄了，这有可能产生的原因，其中可以看到，（英文）大文件传输，大文件同时在传输，那么由此结合（英文）这个操作系统重新升级，网络设备也是升级的，从这个症状看出现问题可能在服务器本身，然后系统管理人就回到服务器上面去察看详细的系统配置，然后把它进行调整，然后在（英文）上看，发现（英文）已经没有了，这个网络已经恢复正常了，但是它并不是一个最优的状态，那我们还要再进行一个细微的调整，使得它达到一个最优的状态，再把详细的网络区的参数做一个设置再调整之后，这时候（英文）只剩一个了，这时候基本就达到最佳的参数状态了，也就是说我们在诊断完之后，并不是说现在问题消失了，就完全的解决问题了，还需要进行调优状态，把它进行详细的参数修改。第二个案例是在02年的时候，在南方的一个电信碰到了这样一个问题，这当时是红色代码第一次进入中国的时候，就是用（英文）分析出来的，当时（英文）跟（英文）是一个公司，当初在出现这个网络状况的时候，大体实际上内部是机器的群，当时就出现了网络流量特别大，防火墙都没有正常工作，网络设备都不能正常工作，当初他们以为是网络设备问题，所以就叫厂家把网络设备等等换一遍，发现并没有解决问题，然后用（英文）进行分析，最后发现网络利用率并不高，链路是一个155的，这个是ATM一个链路，网络利用率是非常低的，可以看到包数特别大，最高分值五万多，我们再看一下的大小、分布，大部分都是64的小包，小包特别多，那这些小包是什么协议呢，发现是HPEP的协议，量特别大，那么这时候跟管理员做协商，去问你们这个网络中协议是不是这么大，他们说没有，平常很小，主要是机体本身的应用系统，或数据库应用比较多，像这种HPEP是非常小的。00：30：00我们再看进行一个叫（英文）的排序，可以发现（英文）发的包都很多，但是（英文）特别少，这可以初步判断这个主机是有异常的，当时找到主机把网线都拔掉，然后网络正常了，这是第一步，我们看到底这些包干什么，我们进行了解码，就发现这些主机只是选择一个地址，436，发现它在大量这种发包针对端口，目标地址都是虚的地址。再看看详细的解码内容，可以发现它是（英文）这样的信息，因为红色代码当时在国外已经爆发了，当时还没进国内，然后就跟公司总部成立了一个小组，然后把这个系统发过去，确认是不是这个地址，最后确认就是这个红色代码，进入到中国来了，然后就杀毒就解决了。那么这个案例实际上现在大家都碰到这么多，大家都知道怎么去用（英文）去看，实际上大家以后有个简单的方法，就去看（英文），把它做一个从上往下的排序，然后找出有大量发包的地址，绝对有异常，把它挑选出来做详细的分析，而且（英文）新的版本都用病毒过滤器，大家主要流行的病毒，只要把数据抓下来，然后去匹配，是不是这个病毒，如果是的话，直接就过滤了。再讲一个我们就讲完，还有一个利用信誉卡，这是银行开发当中遇到的问题，我不知道大家对银行刷卡系统有多少了解，实际上银行的刷卡系统，看这个图，大家会了解一些，这是在商场的机器，比如西单这样的大商场，它可能大概有四十台或者五十台这种机器，最后它都通过一个PID，类似于（英文）这样的设备，通过拨号到银行，银行有一个网控设备，它有点类似与路由器，它有一块网卡，大部分网卡都是我们叫CID卡，还有一个LAT卡，这实际上是局域网卡，它跟IBM主机的前置机，银行一般都是以前置机为主，跟前置机进行交易，然后前置机再跟后面的打击做批量的交易，每次刷卡完的数据，最后都到了前置机，现在看一看是什么现象，商场把这个POS程序做了更新，更新了之后出现了一些问题，在这条线路的话，有两个这样的银行业务，信用卡业务和贷记卡业务，但是贷记卡是正常的，没有出现任何问题，但是信用卡有一半的任务出现问题了，这时候的话，我们就要判断可能问题会出现在哪些点。有可能是在这个点，有可能是在这个点，那么我们这时候要怎么抓包呢，我们把（英文）分别接入到IBM的后台以太网，我们去看一看到底是什么现象产生的，那么抓这些之后我们就要初步判断，可能是在数据，有可能是在PAD上面出问题，或者说信用卡交易没有到前置机去转发，还有一个是更新的程序，由于应用程序开发的问题导致了交易不能正常处理，那我们进行抓包，首先我们看一看正常的业务，贷记卡业务在网络中的输送，看一下字节是108字节，包头是3个字节，PAD总共是105字节，我们再看看贷记卡到了后端以太网的数据，发现原目标，这个是网控以太网卡提供的地址，那么130.25.3118，这个是后台IBM的主机，这说明是一个正常的交易，数据到了网控，这说明网络本身没有问题的，那么我们再看看信用卡成功的交易，在网卡上面的记录，发现包长是133字节，然后它做了一个分开两个包，一个包是128字节，实际上就是一个交易分成两个包进行传输了，那再看看失败的交易，你可以发现，这个包也是133，128加5，133字节，也就是说128字节分包是不是分开两个包传输的，大于128字节分开两个包，小于128字节就不分开传递，那么看看是什么原因呢。从这上面发现，只有交易包的成都是128字节的时候就会出现问题，大于或小于128都不会出现问题，都是正常交易的，那么我们检查应用程序发现，信用卡交易结算的打包上传的时候刚好是128字节的程度，而本身它分包定的128字节，那么这个128字节的话，长度是固定的，不会随着交易金额的变化而变化，而贷记卡的程序由于没有128字节的固定，而信用卡刚好就卡在128字节上，网控大于128字节的话，但如果数据包刚好遇到128字节的话，前端POS跟网控这端匹配出现了问题，可能在POS这端认为128是不需要分包的，就直接打一个包进行传递，而到了网控这端认为128字节是需要分包的，就是说数据包到了网控这块，等一下包传递，实际上下一包是永远不会到达的，超时之后这个包就丢弃了，所以说这样的交易刚好卡在这个上面。00：40：00所以整个信用卡的交易在128字节这个临界值上面出现了问题，解决这个问题有两种方法，一个是重新协商网络规范，另外一个就是修改POS程序，把强行加进去，让它大于128字节，最后就可以找到一个方法，强行分组，最后解决的方法也就是修改POS程序，就把它解决了。我介绍的这些比较少，但是希望能给大家一些启发，会后有什么设想的话，或者有什么想法，可以在底下私下交流一下。主持人：大家有什么问题现在可以提一下，不过不用提的太多，我们之后会有很多环节，大家可以相互交流一下，然后今天带了很多礼品，大家提问也好，主动发言也好，提问有奖，踊跃提问，不要提问无关痛痒的，一定是要实质性的，还有光电鼠标，还有握力器，这个价值80块钱，估计很多人都没有，还准备了好几张荣兴培训的，网络公司培训机构的会员卡，价值200块钱。会员卡可以优惠200块钱，如果有兴趣的话，提问也可以要这个。好刚才你说你要提问吗。问：两个问题，一个是（英文）这个软件是在台式上的，在笔记本上用网卡，这个网卡会有比较大的障碍，经常（英文），因为网卡是早期的，取数据的时候比较困难，在升级策略上是怎么定义，是买一块网卡还是更新？答：您是什么样的网络环境。问：局域网。答：流量多大？问：峰值会有六七十。答：你是用笔记本的话。问：早期的（英文）。答：这种版本的话，最后一款有4.7的SP5，那个版本支持千照网卡。问：可以去单独定卡。答：只要把软件重新升级一下就可以了。问：还是要升级整个系统。答：直接找一个新的版本的软件去安装，一般笔记本上的网卡都是千照支持率的网卡，多了不支持。问：第二个就是，我们很欣赏（英文）的解码，但是由于成本的原因，不能用很多系统去做采集，那我们可能用免费的系统去做采集，然后用（英文）分析，而它也支持一些其他的采集器采集的版本，我想问一下，现在的支持的数据格式都有哪些？答：现在最主要的是CAP的格式，现在PCAP现在也可以支持了，这是最新版本的，但是最新版本你们可能用不了，但是（英文）有一个工具，把PXAP的格式转换成CAP格式，做便鞋分析。问：是标准功能码？答：这个是免费的。问：谢谢。00：45：00问：（英文）用了一段时间了，（听不清）。我现在最想了解的是（英文）能够做什么，希望您能够给罗列一下概念。答：（英文）最主要出来的目的是做故障诊断的，一个是性能优化，这是两个最主要的。主持人：因为这个问题比较多，我们在最后再说一下，因为在接下来的过程中，我们会有很多提到（英文）应用，然后有其他的问题再提一个，然后接下来会讲（英文）应用，接下来是以一个用户的角度。问：我想问一下不仅仅是（英文），我们现在（听不清），我想问一下，有一个比较大的网络的时候，会不会有一种（听不清），或者有需要的时候直接连线？答：（英文）十几年前就有这个东西了。问：还有一个是比如说您经常说的接线过来，（听不清）。答：一般来说在这种汇聚链路的时候，我们推荐用分光器去做，对于你是监控某几台主机的话，你还是用（英文）。问：比如偏向某些服务器。答：对。主持人：下面问题会接着问的，下面有请阮征给大家介绍，通过破译sniffer的信息，去解决问题。丰台教育信息中心高工阮征：实战体会：SNIFFER监控信息的处理阮征：首先感谢CU还有It168给我这个机会，我今天讲的内容主要是（英文）监控数据的间接处理，我是来自丰台教育信息网络中心的阮征，那么先说一下我平时的一些工作，估计大家都跟我一样，我主要维护丰台区教育城域网，负责网络核心层，汇聚层网络设备的维护，并且对接入层等等进行漏洞扫描等工作，我是负责丰台区的各个中小学，他们都属于接入层的设备，接入层的网络，平时也是给这些中小学的网络漏洞做一些弥补工作。00：50：00在工作过程中，我用到最多的（英文）类的软件，就是（英文）和（英文）这两个，主要是扫描网络数据，解决网络拥堵还有一些病毒问题，中小学的病毒问题是很麻烦的，因为很多网管都是兼职的，到时候出问题直接打到我们信息中心来，相当麻烦，那么我们今天讲的内容主要分以下五个方面。首先是说一下通过（英文）咱们能够查询到哪些信息，然后第二个是找到病毒的真凶之后如何定位，第三是网络各个设备通信数据包信息的类似是什么，然后还有包括第四部分第五部分主要是针对（英文）网络数据包怎样来找到它里面的内容，包括明文的获取，代码的获取，密文的获取解密等等。那么通过（英文）咱们能够查询到什么，能够用它来干什么，刚才有一个先生也问到这个问题了，我主要是通过我的工作来谈几点看法，第一个是通过（英文）咱们能够查询到网络中各个设备的地址信息，比如说各个主机各个网络设备的IP地址和主机名称，所有主机的信息都可以看到，这当然不是（英文）主要的用途，查询到这学信息随便找一个软件都可以找到，这只是（英文）一个功能，第二个功能可能大家平时用的比较多，就是网络中各个设备通信的状况可以了解到，具体哪两个信息点通讯量比较大，哪个信息点发了主波包等等，这些通过（英文）是可以查到的，那么通过查询网络各个设备的通讯状况，我们就可以判断出，网络中是否有病毒，具体病毒在哪，是否产生了广播空包，还有流量的问题。第三个就是网络各个设备通讯的数据包的具体信息是，平时通过（英文）是查一些哪个主机发数据包量比较大，来判断它是不是感染病毒，但是发送的数据包内容是什么，它也可以查到。再讲下面一个问题，就是找到感染的病毒之后，咱们如何定位，通过（英文）我们能够找到出问题的，或者感染病毒的，这个大家都查过吧，比如说它发数据包的量很大，而且目标地址都是连续的每个地址都发，那么肯定是主机感染病毒了，那么我们获得了感染病毒的主机地址之后，我们怎么来定位它呢，大家平时都是怎么样来处理的，只有地址。通过交换机，你们都有信息备案。我谈谈我应用中的方法，第一个从DHCP地址中找，咱们一般大家企业网络都是用到DHCP服务器，来自动获得IP的，在这个地址池里头有对应关系，第二个（英文）可以找出主机名，然后再根据备案，这个刚才您说的这个，查备案，所以说在网管维护中这个备案也很重要。00：55：00但是如果您说（英文）找出来这个主机名是什么China，或者是乱码，这个你要没备案肯定很难找，所以管理过程中给主机起名最好有一定的规则，我们主要根据房间号码来定位的，第三个刚才也有人说到了，在交换机上可以封它的地址，过一会它就上不了网了，这个肯定会找到你的，比如说在交换机上通过访问控制列表等等给它封掉，还有一个就是我把第一个方法第二个方法，第三个方法跟老师说了，他说我不会，我得教数学去，那怎么办，哪个等闪得最厉害，就拔掉那个，这个方法是百试不爽，这也是不得以而为之的，没有办法的，这是第四个方法。那么下面我要讲的是网络设备通信数据包的类似，根据我的经验主要数据包信息类似有四种，第一种是网络传输数据包具体的信息都是以明文存到数据包里头的，比如FTB，还有路由交换，都要打一些指令，第二个16进制代码都是以这种形势存的，然后第三个是密文，就是通过加密的方法，第四个又转换、16进制，又给你加密。咱们说一下第一个，明文的获取，刚才也有人问到了，说平时拿（英文）就是看登录密码，登录用户名，这个是一个先天的问题，传输过程中都是以明文的方式来传输的，比如说途中，咱们可以看到底下有一个Pass，这个明显就是知道了检测出FTB登录密码，它是明文显示的，还有就是SOSTER，用户名和密码都检测出来了，为了保证安全，建议大家访问FTB，或者使用管理员身份登录，最好用SSH来登录。然后明文传输，像（英文）也是明文的，然后登录到路由器，交换机设备里头，输的指令也是明文的，这也是很危险的，还有一种是16进制代码，不是以明文的形势存在的，比如说我这张图，大家可以看到搜索到的数据包里头，有一些乱码信息，那么我们怎么样才能知道乱码的信息呢，大家看到上面这块，这有一个（英文），这个信息是以UTF8编码来进行存在的，所以说这块得转换一下，对于这种16进制代码，怎么转换成明文呢，用一些16进制编辑软件，比如PPT中举例的是（英文），大家也可以下载到这个，通过（英文）我们可以建立出一个16进制的文件，把刚才用（英文）检测到的数据包，把显示的16进制的乱码粘贴到16进制文件里头，粘贴的时候选择（英文）这个格式，粘贴完毕，我们把它保存成TST文件就可以了，就能够查出明文信息。01：00：00比如说我这个找出的MSN聊天的信息，把刚才的代码还原成明文了，对应的就是这一段的乱码信息，还有一种通过（英文）抓包，发现信息是以密度5存在的，这个加密比较牢靠，但是我们还是可以进行破解的，我平时用的两个方法，一个是有一个网站，它可以帮你反查，大部分代码是免费的，但是对于一些高级的，就是明文比较高级的代码查询是收费的，比如说BD1HHVV，它的查询就是又是数字又是字母结合就收费，好象一百块钱查一千条，倒不是给他们做广告，然后还有一种您要想省钱，有服务器的话您就暴利破解了，然后拿您服务器跑吧，设置最小长度，最大长度，还要暴利破解，它是数字、特殊字图、还是小写字母，反正您选的越复杂，破解的时间越长，这是一个。还有一个是特殊密文加密，还没有找到更好的办法，比如QQ通讯，咱们监控出来的都是乱码，这主要是它用了特殊方式加密的，这个到时候大家要是想了解，可以问问咱们（英文）公司的，有没有好的办法，混合文的处理，就是有时候监控到了，通过我介绍的方法能够还原出来，你还得破解，混合文破解是最麻烦的，一方面需要将监控的数据通过解密还原成明文，另外还要把明文进行代码转换，混合文处理需要精力和耐心。最后总结一下，对于网络工程师来说，对咱们最有帮助的，不是用哪个（英文）工具，不是说哪个工具一定是最好的，我们要掌握的是怎么样来用这个工具，（英文）类的工具再好也是一条鱼，咱们流量分析方法才是鱼的技巧，希望通过这次交流会，可以让各位重视（英文）工具在企业内网管理中的地位，让咱们进一步了解它的功能，让我们在实际工作中不是为了监控数据而监控，不是抓多少多少包，而是针对监控到的数据进行分析，让咱们得到数据得到升值，那么时间关系只是给大家介绍一个皮毛的东西，希望能够达到抛砖引玉的效果。主持人：现在大家有问题可以接着问，一方面可以问（英文），也可以问软件这边的，另外就是在座的不论是学生，也可能是老师，比如说A问你个问题，B也可以回答，B回答的礼品要重一些。是这样的，每个人的提问，或者回答问题或者解答别的问题的时候，站起来，自我介绍一下，然后比如说你的姓名，你所在单位，你在工作中用网络流量分析工具的时候，大致什么情况的，先介绍之后，然后再回答或提问，大声一点。01：05：00问：我是（英文）大中华区的CPO，我想问一下关于（英文）的整体部署，因为我们都是移动式接入，但是对于我们大中华区来说，大概有200多台的防火墙，再加上一些服务器大概有300多台，我们的流量会比较大，这样我们面临的问题会飞来飞去，跑到各地去看流量，这仅是中华区，不包括亚太区的，现象所有的任务压在我们两个人的头上，比如印度大流量，好多人不知道怎么回事慢了，我们马上飞过去，去查一下什么原因，我想做一下整体的部署，不要那样去跑，我们在新加坡和中国做两个点，在这两个点看亚太区发生的流量问题，刚才那位所说的，我们应该一个完整的部署，一个合理的接入方式怎么做，我们不会用固定IP方式产生的，而且我们会在大区上加几个（英文）墙进去，现在流量的检测是我们最关心的，每个跨国公司之间数据的传递，包括PPT之间的网页访问，因为我们会涉及到一些表格，或者一些其他的，这些很大的东西在来回跑，我们就特别关心流量分析，（英文）整个完善的方式是什么样的，我们的流量是庞大的，不是一个小的区域网，这也是比较复杂的，我想给我一个概括性的解释吧。答：这个实际上就是分布式监控，然后它实际上是探针的形势，然后到各个重要的结点，比如你在新加坡，分支办公室的汇聚点，这里过去结点，然后像你说两个中心，一个是新加坡，一个是中国，你可以在新加坡放一个管理服务器，管理东南亚的，然后在中国放一个服务器，管中国所有的服务器，它探针会把所有的统计数据，监控的流量数据汇总到管理服务器，比如你在北京，你可以远程登录到新加坡，可以登录到中国服务器，甚至可以察看到远端流量的情况，就不需要来回这样跑了，这个方案已经很成熟了，回头有兴趣的话，可以拿一些案例的介绍给你。问：（英文）应用比较多的是电信、金融、这些大网的最有效的高端产品。问：因为我们跨了很多网站，不同国家的运营商，不同国家之间的网络协议和一些其他的方式。答：这样的解决方案比较成熟了已经。问：我们最关注这个，如果是中国的协议的话，没有什么区别了。答：后面有资料可以看一下。问：针对这个问题我有这样一个想法，因为我今年有这样一个流量类的监控，用（英文）的功能，我的想法就是先找个主点，然后确定下来之后，这样可以直观控制，可能这也是一个流量监控的功能。01：10：00但是我想因为（英文）里面可以加入一些（英文）模板，这里面全部是（英文）的，有的地方可以到官方网站可以看得到，所以我想说的是，因为针对（英文）监控的功能，一个是针对协议和端口的不一样，（英文）数据包过去，这样的话我们能否做一个平台，如果发生故障结点，我们不仅仅看流量的复杂情况，我们能否对路由器，刚才你有个（英文）过了，我很想看，但能否简单的给我们谈一下，路由器（听不清）对我们公司特别有帮助，可不可以？答：（英文）路由器这块不是它的强项，刚才的案例只是看一些路由的解码，然后判断一些问题，但对路由器来管理的话。问：无论是采用（英文）数据包来获取，这样的话也很机械式。答：因为（英文）跟（英文）恩两个概念，它更着重在运程，包括运用到很多企业这种服务器，它的相应时间和处理性能这方面，就是网络性能的监控，并不在于获取别的交换机里的信息，这两个是不一样的。问：你那里的PPT可以共享吗？问：我有一个问题，（英文）对于网站服务器的攻击，应用程序漏洞的攻击，（英文）是否能查出原因？答：它可以作为一个很有力量的辅助手段，但是它没法告诉你就是这个，它虽然有些过滤器是针对漏洞攻击的，还有针对病毒的，但对（英文）看流量，看攻击过来的情况，但是更详细的后面的这种分析还需要个人判断。问：（听不清）答：抓包要看东西，包括你所有攻击都可以，只要你抓包抓下来，它可以做分析，但是它没有具有判断性，（英文）没有做这块的内容，着重是在故障诊断这块，（英文）更像一个医生，像检查的工作，但是医生可以随时检查做一些辅助，做一些强有力的辅助。问：我有个问题，我想问一下，做故障诊断的话，比如说我定级哪几个故障，比如说我定级是个（英文）状态，那个故障是（英文）状态，这样的话可以通过即时的短信等等形势发给不同的级别的这种方式，不知道现在有没有这样的功能？答：是这样的，（英文）历来都有一个告警的功能，你们可以看到，（英文）其中有一块告警的设置，它是定义什么级别的告警，像你说发告警出来，（英文）有这样的功能，它可以把告警转发到，像一些大企业有一些（英文）平台，我可以把这个告警传过去，还有一种它本身也有发邮件，你可以发到相应的邮箱。问：手机邮箱可以吗？答：可能可以，但没试过。01：15：00主持人：后面那位。问：大家好，我叫（听不清），以前我做IP开发的，我刚才看到前面有两位朋友提到企业级这块的网络流量，这两块我觉得更多的是故障的处理，而且一般使用这个工具的人都要非常专业，而且现在国内像（听不清），还有我们都在做这块，针对企业级的，然后我觉得渐渐的（英文）这块可能会被淘汰掉，如果你们想要以商业模式运营下去的话，以后它的发展分享在哪，我知道前段时间（听不清）那边都在针对硬件级的，而且它会包括一部分IPS的功能。答：实际上应该这么理解，我们（英文）这个东西，实际上网络复杂和网络应用复杂的程度加深的话，它的用处是越来越大，它不仅仅看流量，它是分析故障，实际上很多情况，网络本身是正常的，但是利用率出问题了，而且主机本身也看不出问题，这种情况下就要用类似）英文）这种工具抓包分析，详细的看一下，所以说想淘汰我我觉得不太可能，它一定会发展壮大的。问：刚才的问题我想延伸一下，（英文）有没有考虑过，像OSA，就是说我不用买你的系统，但是我用你的功能，你从我的网站上享受我的服务，实际上我同意它的观点，（英文）的优势不在于发包，实际上这部分我们必须买一套你的系统才能工作，有没有可能在你的服务网站上去看一种OSA的服务，把我需要解析和分析的东西放到上面去，你们帮我们解决？答：目前暂时没有，因为解码实际上，因为解码好多协议都是有标准的，关键是解了之后怎么分析，或者说提供什么样的方式更快的集中，这才是（英文）的一个核心，去帮助你快速分析，解码实际上各个公司有能力，解码都能够做得出来，而且现在都有现成的核心。主持人：网络分析工具有很多种，大家都知道，（英文）只是在（英文）之下比较多，在（英文）之上更多的用其他的工具，而这块有请caoxu来讲一下，他在这块研究的比较多的。01：20：00caoxu：刚才听了大家讲了（英文），第一花钱，第二Windows平台，这两点如果说中小企业来讲，它成本比较大，比如我要去抓包，那么我就要有一个高配置的交换机，把某个端口给映射过来，然后我再去抓，但如果有免费平台，基本中小企业都会去找，而且有些方面比（英文）更加方便，我现在的应用来说，一般的（英文），它的方便在哪，它实际上是一个图形界面，能够非常直观的做数据的筛选，包括无线网络一直抓包。问：你现在抓的无线网的。答：就是这的。包括它可以认协议，能看到的，还能看QQ，QQ号多少一抓就出来，但是呢现在咱们是一个无线网络，它的特点有时候方便是方便，但是安全性包括这个，随便都能抓到别人的包，这个没有办法，但是基本上一般都是百照，那交换环境下怎么抓，一般都在网关上抓，网关上像我们公司没有，我用什么，只有（英文），然后你去看（英文），去（英文）有一些好处，如果我对它不是特别熟悉，我可以不加很多参数，但是我加（英文）抓说端口，然后把抓到的包放到指定的文件里去，无论用什么方式把包拷贝过来，然后我这边把包打开，非常直观非常方便，如果说局域网里边，直接像（英文）一样直接打开，马上就能看出来是在发包，但是交换环境下肯定有些不行，一般像我的公司来讲，它是一个宽带接入，光纤过来，光纤模块一转，路由器两边只是路由指向的，它给你一个IP段，一个公网出来了，这边接个网关上网了，但是有一个问题，我公网出去那块怎么抓包，我把路由器外边到光纤模块那块，拿服务器接上，我用两个网卡一边接一个，一边是路由器，一边是光纤模块，这两块网卡干嘛，非常简单，看这个（英文），给它起一个桥接模式，也就是说，它这个桥接模式相当于接了一个交换机上去，你根本看不到它，但是我通过它所有的数据包我都能抓到，而且我可以做过滤，某些端口我就不让你访问，我直接Pass，你访问的时候，根本就不可能通，你连路由器都没通，你想攻击我的路由器都没戏，还有一点，它如果是用一个（英文），它有很多类似于（英文）的分析，它可以判断出来，能够告诉你是什么，它能起到一个警报作用。01：25：00包括其他的程序，也就是说它是一个入侵检测，而且是在路由器之外的，相当于公司上网最外层的，能起到保护公司网络的作用，这是一个非常方便，而且对服务器配置要求很低。抓包我可以用（英文），然后我在文本底下做检测，认为不安全的，完全可以过滤掉，是一个非常方便的（英文）平台底下的一个抓包分析，还有一些过滤。（英文）用不着详细讲了，大家看一看都能明白，我应用最多的就是文件，因为如果说你网络流量大的话，再加参数，在底下抓住数据包还是在抓，除非说你是单个IP，指定某个IP地址，但是如果有问题的话，也还是（英文），不如把它存成文件，又省它的资源，然后我分起来也方便，很多人用的方式不一样，有可能Windows平台下，（英文）也是可以打开数据包分析的，这算是一个针对中小企业非常便宜的，开元的。主持人：讲讲什么实际应用的，你遇到什么问题等等。caoxu：刚才分析的都讲到了。主持人：排队问一下吧。彭大昆：我叫彭大昆来自华为，我问一个问题，关于您这个设备，接在路由器和交换机之间，如果你这个设备砀的话，我们知道硬件设备稳定性是不可估量的，万一断了怎么办？caoxu：我直接把网线一接就OK了。彭大昆：那如果你不在身边呢？caoxu：它本身是一个非常稳定的系统，如果说你的服务器随时都可以砀的话，那你就别这么做了。彭大昆：关于网络方面的数据包的优化，因为我们都知道临界系统非常稳定，你去优化好它，它才稳定，如果你优化不好它，它也不尽如人意。caoxu：你首先很多没用的服务都要关，这是一点，还要接内网的网卡，也给它设网关，有时候你可能（听不清），你上边配EIP，甚至说你在上面配一个规格，只允许哪个麦可上，加强内网的安全，它本身上边是三块网卡，一块接那个，这块你肯定要做一下安全措施，其他那两块怎么都弄不掉。彭大昆：这样子就可以优化了，可以找到一种类似与交换机似的。caoxu：它的速度其实是不错的。彭大昆：我没有用过，假设服务器的时候，服务器的传输，因为学校里边很多病毒爆发，经常流量过多。01：30：00caoxu：和一般的系统做优化差不多的。问：你所谓的服务器的系统，接入到这个网络以后，数据包转化能够达到交换机一样的程度吗？caoxu：看你的机器性质。问：按你这样说，如果说我的网络非常庞大的话，我一定要用非常高端的网线。caoxu：我指的是中小企业，不是说千照网络非常快那种，那肯定不行。主持人：后面的不要开小会。刘野：我叫刘野，我有个问题想问你，刚才你说抓包，我接的光纤和交换机上面，我没有听懂你到底接的哪？caoxu：它是这样，你光纤接进来之后，经过光纤模块转成以太网，你一般都会接到路由器，这中间就能接上。刘野：我不需要做交换机，我只需要去抓包。caoxu：它就是在抓包。你不可能网上接一个东西，它找数据从那过了，就相当于一个交换机，交换机实际上就是两口，它只要不是三层的，就相当于一个交换机。问：直接一个走光纤一个走交换机。caoxu：光纤那边过来，光纤另外一头是ISP这边，你这边本身是接路由器的，路由器是三层设备，这之前你接了一个二层的，相当于一个交换机，所有到路由器的都要从这过，这是你的最外层，你怀疑某些设备攻击你的路由器怎么办，比如说它攻击你公司的话，根本攻击不到它，你想干什么就干什么。问：如果设备比较多，你所说的服务器也是放在中间吗？是不是抓的包特别多，特别大，如果逐一的抓，我是不是每一层都放一台去抓？caoxu：内网环境下我没这么试过，我平常这方面加上（英文）检测。主持人：你会后找他单独聊吧。王小光：刚才听caoxu说提到一个（英文），我们公司应用（英文）做一个软波流，现在要用域名过滤使用（英文），我在（英文）把域名过滤掉。在第一条是不生效的。caoxu：有点超过我们这个话题，我给你个建议，你可以用（英文）做，它可以明确定义哪个域名不让做。王小光：比如说我让它访问淘宝网。caoxu：你可以明确的，你去匹配就行。王小光：就是说它打开了淘宝网的一个链接，是可以打开的，但是掏包.com打不开，它只匹配了这个。01：35：00caoxu：这不是抓包的范围了，这防火墙过滤了，这是后话。主持人：后面还有问题吗？问：我问一句，我想问一下（听不清），但是我们不知道怎么去做，就是在真正条件下做，流量小的话问题不大，流量大的话，很