第0章 协议分析与常用协议分析软件.doc

Tcp/ip协议分析与应用编程第0章 协议分析与常用协议分析软件(2学时)主要内容： 协议分析器作用和分类 常用协议分析软件的使用方法学习目标： 掌握协议分析软件部署方法 掌握协议分析软件的使用方法教学内容：0.1 协议分析0.1.1协议分析和分析器（Protocol Analysis and Protocol Analyzer）1、协议分析网络协议分析是指通过程序分析网络数据包的协议头和尾部，从而了解信息和相关的数据包在产生和传输过程中的行为。2、分析器包含该程序的软件和设备就是协议分析器。3、协议分析器的功能协议分析器的主要功能之一就是分析各层协议头和尾部。如果通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题时，该协议分析方法称之为专家分析。众多协议分析器商家都推出相应产品，诸如 Network General 公司的嗅探器（Sniffer），它专门用于网络故障诊断和修复。 另外还有一些协议分析器能将多层协议和数据包从低级数据包编译升级为高级数据包，以便于实时观察以及了解网络的使用和流量分析。当网络流量观察为用户的主要目标时，会采纳此种协议分析器。协议分析器既能用于合法网络管理也能用于窃取网络信息。总的来说：网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则，鉴定分析网络数据以及诊断并修复网络问题，等等。【我们进行协议分析学习的目的是：通过协议分析深入学习掌握TCP/IP体系结构。为“专家分析”打下基础】4、协议分析器的实现形式协议分析器（protocol analyser）的工作从原理上要分为两个部分：数据捕获、协议分析。对这两部分的工作从实现的形式上来说有以下常见的几种形式：1、纯软件的协议分析系统。大多数的纯软件协议分析仪是可以使用普通的网卡来完成进行简单的数据采集工作的，这就是使用率最多的协议分析软件PC网卡。这种方式的协议分析仪通常有两种原因存在的。简单廉价的软件，或自由软件，小巧实用，功能较弱运行在PC或报价本电脑上的协议分析仪的软件部分，本来协议分析工作就是基于软件分析的工作。所以再高端的协议分析仪其软件部分也是要由计算机平台实现的。 2、基于笔记本数据采集箱的便携式协议分析器这种方式与上述采用协议分析软件PC网卡的主要区别就是专用的数据采集系统，在对复杂和高速的网络链路上要想全线速地扑捉或更有效地进行实时数据过滤采用专用的数据采集方式是必须的。 3、手持式综合协议分析器从协议分析仪发展的角度来说，网络维护人员越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分析手段，典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息搜集功能、智能的专家故障诊断功能， 并且移动性能要有效。这种综合的协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要发展趋势。 4、分布式协议分析器随着网络维护规模的加大，网络技术的变化，网络要害数据的采集也越来越困难。有时为了分析和采集数据，必须能在异地同时进行采集，于是将协议分析仪的数据采集系统独立开来，能安置在网络的不同地方，由能控制多个采集器的协议分析仪平台进行治理和数据处理，这种应用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。【资料引用:/383788.html】此外，网络协议分析器（Network Protocol Analyzer）还被称为网络嗅探器（Sniffer）、数据包分析器（Packet Analyzer）、网络嗅听器（Network Sniffing Tool）、网络分析器（Network Analyzer）等。0.1.2 网络协议分析软件（纯软件的协议分析系统）安装部署（资料来源：科来 /support/capsa_environment.php）我们知道，网络协议分析软件以嗅探方式工作，它必须要采集到网络中的原始数据包，才能准确分析网络故障。但如果安装的位置不当，采集到的数据包将会存在较大的差别，从而会影响分析的结果，并导致上述问题的出现。 鉴于这种情况，我认为对网络协议分析软件的安装部署进行介绍非常有必要，一般情况下，网络协议分析软件的安装部署有以下几种情况： 1、共享式网络 使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络，集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub)，可将网络协议分析软件安装在局域网中任意一台主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。 2、具备镜像功能的交换式网络使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。 如果您网络中的交换机具备镜像功能时，可在交换机上配置好端口镜像，再将网络协议分析软件安装在连接镜像端口的主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。 3、不具备镜像功能的交换式网络一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。这时，可采取在交换机与路由器(或防火墙)之间串接一个分路器(Tap)或集线器(Hub)的方法来完成数据捕获，其安装简图如下。在实际情况中，网络的拓扑结构往往非常复杂，在进行网络分析时，我们并不需要分析整个网络，只需要对某些异常工作的部门或网段进行分析。这种情况下，可以将网络协议分析软件安装于移动电脑上，再附加一个分路器(Tap)或集线器(Hub)，就可以很方便的实现任意部门或任意网段的数据捕获，其安装简图如下。4、代理服务器共享上网当前的小型网络中，有很大一部分都可能仍然通过代理服务器共享上网，对这种网络的分析，直接将网络分析软件安装在代理服务器上就可以了，其安装简图如下。 注意：这种情况下的分析，需要同时对代理服务器的内网卡和外网卡进行数据捕获0.2 常用协议分析软件常用的协议分析软件包括：WireShark、snoffer Pro、omnipeek、（netxRay、Iris）、科来等网络协议分析软件，他们都包含数据捕获、数据分析功能，一些软件还包含协议数据包编辑和发送功能，如锐捷RG-PATS协议分析软件。下面分别介绍这几款软件。 【Wireshark（不包含包发生器）】0.2.1 协议分析软件的主要用途 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议0.2.2 WireShark的使用方法 (数据捕获)（/blog/static/134489362200911168381225/）1、特性 支持UNIX和Windows平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析3、安装、运行、简单抓包（1）安装后 打开wireshark首先我们要选择自己的网卡，打开Capture 可以看到Options，我们打开看一下在interface里选择自己的网卡，下面有显示自己现在的IP地址下面的CaptureFiles里有个File栏，里面可以选择自己需要抓的Protocal，也可以先把所有的协议都抓下来，然后在去选择自己需要抓的包，其他的东西就不用改了。点Start开始抓包。4、数据包分析抓包开始后，界面显示分上下两部分，上部分是抓到的包，下部分显示抓包分析结果。如下图5、wireshark过滤器使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍：1. 捕捉过滤器捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是：- 选择 capture - options。- 填写capture filter栏或者点击capture filter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。- 点击开始（Start）进行捕捉。 语法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst80andtcp dst 3128Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用 src or dst 作为关键字。例如，host 与src or dst host 是一样的。 Host(s):可能的值： net, port, host, portrange.如果没有指定此值，则默认使用host关键字。例如，src 与src host 相同。 Logical Operations（逻辑运算）:可能的值：not, and, or.否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。例如，not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。例子：tcp dst port 3128 显示目的TCP端口为3128的封包。ip src host 显示来源IP地址为的封包。host 显示目的或来源IP地址为的封包。src portrange 2000-2500显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。not imcp显示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16显示来源IP地址为2，但目的地不是/16的封包。(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8显示来源IP为2或者来源网络为/16，目的地TCP端口号在200至10000之间，并且目的位于网络/8内的所有封包。 注意事项：当使用关键字作为值时，需使用反斜杠“”。ether proto ip (与关键字ip相同).这样写将会以IP协议作为目标。ip proto icmp (与关键字icmp相同).这样写将会以ping工具常用的icmp作为目标。可以在ip或ether后面使用multicast及broadcast关键字。当您想排除广播请求时，no broadcast就会非常有用。查看 TCPdump的主页以获得更详细的捕捉过滤器语法说明。在Wiki Wireshark website上可以找到更多捕捉过滤器的例子。 2. 显示过滤器：通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大，而且在您想修改过滤器条件时，并不需要重新捕捉一次。语法：Protocol.String 1.String 2ComparisonoperatorValueLogicalOperationsOtherexpression例子：ftppassiveip=xoricmp.typeProtocol（协议）:您可以使用大量位于OSI模型第2至7层的协议。点击Expression.按钮后，您可以看到它们。比如：IP，TCP，DNS，SSH您同样可以在如下所示位置找到所支持的协议： Wireshark的网站提供了对各种 协议以及它们子类的说明。String1, String2 (可选项):协议的子类。点击相关父类旁的+号，然后选择其子类。 Comparison operators （比较运算符）: 可以使用6种比较运算符：英文写法：C语言写法：含义：eq= 等于ne != 不等于gt 大于lt = 大于等于le 捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；2 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；3 在网络上发送原始的数据包；4 收集网络通信过程中的统计信息。winpcap的主要功能在于独立于主机协议（如TCP-IP)而发送和接收原始数据包。也就是说，winpcap不能阻塞，过滤或控制其他应用程序数据包的发收，它仅仅只是监听共享网络上传送的数据包。【结束】 先安装WINpcap，然后安装RG-PATS软件。运行界面如下：登陆以后界面如下：（2）协议分析仪服务器安装先安装 iis6、dotnet2.0、mysql5.0，并配置数据库，然后安装RG-PATS教学信息平台。系统配置安装完成，默认访问访问地址分为教师端 http:/ip/ NetTech/001.aspx 学生端 http:/ip/ NetTech/default.apsx默认教师端管理员登陆 用户名：admin 密码：*协议考核系统默认的数据库连接密码为用户名：root密码：*如非此密码需修改iis根目录下NetTech目录中的web.config的设置，以保证系统与数据