网络抓包与分析培训ppt课件

1、为什么要学习抓包和协议分析,协议分析工具,进行网络管理和网络安全管理，不仅要从宏观上管理网络的性能，还要从微观上分析数据包的内容，这样才能确保网络安全并且正常地运行。 使用协议分析工具的目的，就是为了捕获网络中传输的数据包并对数据包中的比特进行统计和分析。 宏观上，可以进行统计以确定网络性能的基线。微观上，可以从数据包分析中了解协议的实现情况、是否存在网络攻击行为等，为制定安全策略及进行安全审计提供直接的依据。 如果黑客在网络当中使用协议分析工具，就是一种消极的安全攻击。 1、故障分析定位 2、网络质量评估 3、入侵,协议分层,从网络协议说起,协议分层,协议体系,TCP/IP模型各层的功能,协

2、议分析器概述,协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析器和广域网分析器，也有的分析器既可以用于局域网又可以用于广域网。 广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据，它采用特殊的接口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广域网以便于捕获流经的数据流。 局域网分析器用来捕获和显示来自局域网的信息数据，这些局域网包括以太网、令牌环网和光纤分布式数据接口（FDDI）等。局域网分析器是通过集线器或者交换机连接到局域网网段上的。将局域网分析器连接到交换机时，需要进行一些特殊的考虑。一般情况下，分析器只能捕获经过它所连

3、接的端口的所有数据。某些交换机可以配置监视端口，把分析器接入到监视端口就可以捕获监视流经所有端口的数据。 常见的网络分析器产品有：Network Associates公司的Sniffer、NetXray公司的Sniffer Basic，科来协议分析、allot。 Sniffer公司目前主推硬件分析 还有免费的Ethereal、Wireshark（原Ethereal作者自行开发的）协议分析器等。 另外，Windows中自己带的网络监视器也可以抓取数据包进行协议分析。 LINNUX中带的TCPDUMP也可以抓取数据包进行协议分析,协议分析器的特点,捕获数据包 进行协议分析的前提是要有捕获的数据包，

4、协议分析器可以捕获所有流经其所控制的媒体的数据。高端的协议分析器还可以制定捕获的计划和触发条件。 数据包统计 协议分析器可以对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，甚至可以打印出各种直观的图表和报表。 过滤数据 大量的数据包的捕获会消耗太多的系统资源，性能很低。协议分析器可以设置过滤，只捕获满足特定条件的数据包。根据大量捕获结果排错的时候，也需要能过滤无关的大量数据包，把最有用的数据包找出来。协议分析器往往有强大的过滤功能。 数据包解码 捕获的数据包的内容就是0/1的比特流，协议分析器可以对这些比特流解码，识别哪些部分是封装的头部信息，哪些是有效净载荷。网络通信协

5、议非常多，好的协议分析器能对各种协议数据包解码。 读取其他协议分析器的数据包格式 大部分协议分析器可以读取显示其他协议分析器捕获的数据包文件,作为嗅探器的协议分析器,黑客使用协议分析器的时候，它就成了一种黑客工具，我们可以称之为嗅探器。 嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。嗅探是一种安静的、消极的安全攻击。 常见的危害有： 捕获口令 这大概是绝大多数非法使用嗅探器的理由，嗅探器可以记

6、录明文传送的用户名和密码。 捕获专用的或者机密的信息，比如金融账号 许多用户很放心在网上使用自己的信用卡或现金账号，然而嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和PIN。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便地记录别人之间敏感的信息传送，或者干脆拦截整个的E-mail会话过程。 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限 窥探低层的协议信息,抓包接入 共享网络 - 通过Hub连接上网 使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。如果您局域网的中心交换

7、设备是集线器（Hub），可将科来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯,抓包接入 交换式网络 - 交换机具备管理功能（端口镜像） 使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上方式,

8、抓包接入 交换式网络 - 交换机具备管理功能（端口镜像） 使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上方式,抓包接入 交换式网络 - 交换机不具备管理功能（无端口镜像） 一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分

9、析。如果您的中心交换或网段的交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。如图所示： 使用网络分接器(Taps)使用Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安装另外的网卡。 用集线器(Hub)Hub成本低，但网络流量大时，性能不高，Tap即使在网络流量高时，也对网络性能不会造成任何影响,接入方式对比,常见的协议分析工具,主要功能如下： 为网络协议分析捕获网络数据包 分析诊断网络故障 实时监控网络的活动情况 收集单个工作站、会话、或者网络中的任何一部分的详细的网络利用情况和错误统计； 保存网络情况的历史记录和错误信息，

10、建立基线 当检测到网络故障的时候，生成直观的实时警报并通知网络管理员 模拟网络数据来探测网络，衡量响应时间，路由跳数计数，排错,Microsoft Network Monitor,Windows中自带的组件网络监视器Network Monitor，其工作原理类似于其他协议。Network Monitor可以捕获所有经过指定的网络接口的数据包，并进行协议分析。使用网络监视器，可以发现网络通信模式和网络问题。例如，可以定位客户端到服务器的连接问题，发现工作请求数目不成比例的计算机，以及发现网络上未经授权的用户。 系统自带 也可以下载： http:/,Ethereal,这是个小巧的协议分析器，包含了

11、对许多常用协议的分析解码功能。Ethereal也可以设置过滤器，以便于把真正用户关心的数据捕获并显示出来。 已不用了,WireShark简介,Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark

12、这个新名字也就应运而生了。 官方网站：,3. DISPLAY FILTER（显示过滤器,显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容,4. PACKET LIST PANE（封包列表,封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。 如果捕获的是一个OSI layer 2的封包，您在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空

13、。 如果捕获的是一个OSI layer 3或者更高层的封包，您在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。 您可以在这里添加/删除列或者改变各列的颜色：Edit menu - Preferences,PACKET DETAILS PANE（封包详细信息,这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息,6. DISSECTOR PANE（16进制数据,解析器”在Wireshark中也被叫做“16进制数据

14、查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050,MISCELLANOUS（杂项,在程序的最下端，您可以获得如下信息：- 正在进行捕捉的网络设备。- 捕捉是否已经开始或已经停止。- 捕捉结果的保存位置。- 已捕捉的数据量。- 已捕捉封包的数量。(P)- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)- 被标记的封包数量。(M,非混杂模式及混杂模式下抓包,非混杂模式指：WireShark只抓取指定网卡上的发出与接收的数据包，与

15、指定网卡无关的数据包将被忽略。 混杂模式指： WireShark能够抓取主机所在局域网内的全部网络包，即接收所有经过网卡的数据包，包括不是发给本机的包,过滤器,捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的

16、记录。 两种过滤器使用的语法是完全不同的,1. 捕捉过滤器,捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的,设置捕捉过滤器的步骤是： 选择 capture - options。 填写“capture filter”栏或者点击“capture filter”按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。 点击开始（Start）进行捕捉,捕捉过滤器语法,Protocol（协议）:可能的值: ether, fddi, ip, a

17、rp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。例如，“host ”与“src or dst host ”是一样的,捕捉过滤器语法,Host(s):可能的值： net, port, host, portrange.如果没有指定此值，则默认使用“host”关键字。例如

18、，“src ”与“src host ”相同。 Logical Operations（逻辑运算）:可能的值：not, and, or.否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。例如，not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同,捕捉过滤器语法举例,tcp dst port 31

19、28 显示目的TCP端口为3128的封包。 ip src host 显示来源IP地址为的封包。 host 显示目的或来源IP地址为的封包。 src portrange 2000-2500 显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包,捕捉过滤器语法举例,not imcp 显示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 2 and not dst net /16 显示来源IP地址为2，但目的地不是

20、/16的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 显示来源IP为2或者来源网络为/16，目的地TCP端口号在200至10000之间，并且目的位于网络/8内的所有封包,注意事项,当使用关键字作为值时，需使用反斜杠“”。“ether proto ip” (与关键字“ip”相同).这样写将会以IP协议作为目标。 “ip proto icmp” (与关键字“icmp”相同).这样写将会以pin

21、g工具常用的icmp作为目标。 可以在“ip”或“ether”后面使用“multicast”及“broadcast”关键字。 当您想排除广播请求时，no broadcast就会非常有用,2. 显示过滤器,通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大，而且在您想修改过滤器条件时，并不需要重新捕捉一次,显示过滤器语法,Protocol（协议） 您可以使用大量位于OSI模型第2至7层的协议。点击“Expression.”按钮后，您可以看到它们。 比如：IP，TCP，DNS，SSH,显示过滤器语法,您同样可以在如下所示位置找到所支持

22、的协议,显示过滤器语法,String1, String2 (可选项) 协议的子类。 点击相关父类旁的+号，然后选择其子类,显示过滤器语法,Comparison operators （比较运算符） 可以使用6种比较运算符,显示过滤器语法,Logical expression_rs（逻辑运算符） 被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。让我们举个例子：tcp.dstport 80 xor tcp.dstport 1025只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这

23、样的封包才会被显示,显示过滤器语法举例,snmp | dns | icmp 显示SNMP或DNS或ICMP封包。 ip.addr = 显示来源或目的IP地址为的封包。 ip.src != or ip.dst != 显示来源不为或者目的不为的封包。换句话说，显示的封包将会为：来源IP：除了以外任意；目的IP：任意以及来源IP：任意；目的IP：除了以外任意 ip.src != and ip.dst != 显示来源不为10.1.2.

24、3并且目的IP不为的封包。换句话说，显示的封包将会为：来源IP：除了以外任意；同时须满足，目的IP：除了以外任意,显示过滤器语法举例,tcp.port = 25 显示来源或目的TCP端口号为25的封包。 tcp.dstport = 25 显示目的TCP端口号为25的封包。 tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn = 0 x02 显示包含TCP SYN标志的封包。如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。 表达式正确表达式错误,科来,网络常见的ARP攻击安全问题,通讯异常发现安全问

25、题,收发比异常,快速定位ARP攻击,快速定位各种arp 攻击,网络故障诊断,出现网络故障，只要能快速定位诊断，就可以最快速的解决问题，减少损失。 网络通讯分析通过对底层数据包的诊断，能最有效的找出问题的所在。 特点： 快速定位故障点 自动发现并提取问题 智能的专家建议，提供故障原因、可解决的办法等,强大的故障诊断视图,按照网络 层次分类,强大的诊断配置,提供48种以上网络故障诊断,并且为每个故障提供阈值修改,每个故障发生的原因,快速定位IP冲突,发生冲突的两个MAC,事件的详细描述,网络性能检测,提高网络性能，才可以合理的利用网络资源。 性能分析有助于实现资源的合理分配；为规划和调整网络提供准

26、确依据。 特点： 提供精确的性能分析数据，微秒级的数据响应时间、时间差、相对时间等； 各种协议的详细统计 深入到每个节点数据的分析 每个应用的会话情况,微秒级统计时间,深入各协议分析,4百多种协议的详细解码分析,提供每个节点数据的分析,某IP的概要统计,每个应用的连接情况,HTTP应用的连接情况,网络通讯监视,可以让管理者了解每个端点、会话的通讯情况 查看通讯数据，迅速定位异常端点和会话 特点： 多达22种端点统计参数 端点与会话的完美组合 TCP会话的时序图呈现 可视化的连接矩阵图 DNS/Email/FTP/HTTP日志分析,物理层/IP层/TCP/UDP主机会话,持续时间最长的会话主机,

27、占用带宽最大的通讯,端点与会话的完美组合,IP端点,会话统计,TCP会话的时序图呈现,TCP标志、负载,通讯连接：强大的矩阵连接,正常网络,DDos攻击,DNS/Email/FTP/HTTP日志 分析,可查看日志的详细信息，并支持保存功能,5、流量分析,提供精确的流量分析数据，才可以使您解决广播风暴、网络阻塞、带宽非法占用、网络滥用等问题。 特点： 提供非常丰富的数据，42种以上的流量统计数据 丰富的实时监控图 提供每个主机的各种流量 绑定IP与MAC流量对应关系 统计内网流量、广播/组播流量、私有流量,提供42类流量数据值,可根据协议、物理、IP进行浏览,这是所有TCP会话的IP,发送的流量

28、,接收的流量,协议、重传及乱序等,右击显示更多参数,丰富的实时监控图,总流量的历史变化,TCP会话的建立情况,利用率的实时监控,SYN 个数的统计,每个主机的各种流量,各种流量分析,网络协议分析,只有深入到协议，挖掘到数据包内容才能真正掌握整个网络 通过数据包重组数据流，可以重现网络通信内容 特点： 支持四百多种协议的解码 对整个数据包内容结构的呈现 对数据流重组,四百多种协议解码,树状呈现各层协议,数据包解码,各层报头,十六进制显示,ASCII编码显示,数据流重组,会话节点,会话的数据流,TCPDUMP,命令参数 -i: 指定网卡; -n:以数值方式显示网络地址及端口号; -s:snapsh

29、ot长度，通常指定为0，即不做限制; -X:以16进制方式显示网络包的内容; -w:输出到文件 port n:指定监听的端口号n，如果不指定则监听所有端口; dst host:指定发送包的目的主机; src host:指定发送包的源主机,TCPDUMP,tcpdump-ni eth0 -s 0 -X port 8080 and dst tcpdump -n -s 0 -w /sdcard/dopool.pcap,TCPDUMP,Android下的操作步骤 root手机 下载tcpdump执行文件 adb remount adb push D:tcpdump /syst

30、em/xbin/tcpdump adb shell chmod 777 /system/xbin/tcpdump adb shell tcpdump -n -s 0 -w /sdcard/dopool.pcap adb pull /sdcard/dopool.pcap D:1.pcap,ping大包丢包故障,故障环境 故障现象 故障分析 故障解决 技巧小结,故障环境,说明： 1、办公机器都属于/24网段； 2、办公机器通过一个二层的接入交换机、光电转换器接入 集团核心交换机,连接拓扑,故障现象,Ping大包丢包严重 ping小包正常 前期使用单机ping大包未出现丢包现象

31、,故障前期简单分析,链路测试、策略检查均无异常，该故障非一般连通性故障 此类丢包问题，主要是需要定位出丢包的位置 可能故障点主要有,故障分析-分析方法,数据包分析法,对比分析法,在此次的故障解决过程中，我们主要使用对比分析法分析 出将大数据包丢弃的中间设备或链路,主要通过专有的网络分析工具（科来网络分析系统）将故障 时相应的数据包捕获下来进行深度分析，并通过分析发现相 应的异常，从而定位故障原因的方法,主要指通过对网络中传输的数据包的对比，分析出数据包在 传输过程中各个中间设备对数据包的相应处理过程，包括更 改、丢弃和转发等,故障分析过程-选取抓包故障点,在实际的分析过程中，我们需要考虑到抓包

32、的方便性和相 应中间设备的功能特性选取数据包捕获点,在这个故障环境下，我们主要选在接入交换机与核心交换 机上抓取数据包,故障分析过程-重现故障,在测试机器6上使用如下命令测试网络的大包传输情况：ping -l 10000 t 。 我们可以简单计算一下ping10000字节的大包在以太网中会被分成多少个分片： PING产生的IP负载=10000(ping负载）+8（icmp头长度） 一个以太网IP包的最大有效负载=1500（以太网MTU)-20（IP包头长度）=1480B 产生IP分片数的计算方式为： 10008/1480=6余1128，即一个1500B

33、的icmp报文，5个1500B的ip分片包，1个1148B的ip分片包,通过该测试命令重现了故障现象：大文件传输丢包情况较为严重,故障分析过程-抓包,我们分别在核心交换机6509、接入交换机上做端口镜像（端口镜像的详细命令和过程在此不再描述），将其相应链路的数据包镜像到我们选取的监听口，我们再通过科来网络分析系统捕获相应的数据包,故障分析过程-对比分析,1.分析接入交换机上抓取的数据包,1个1500字节icmp包,5个1500字节ip分片包,1个1148字节ip分片包,接入交换机数据包分析结论,Ping超时的原因为中间某个大包在传输的过程中 被丢弃了，导致接收端重组超时 接入交换机转发了所有的

34、分片包，即某个分片包不 是在接入交换机上丢弃的,1个1500字节icmp包,4个1500字节ip分片包,故障分析过程-对比分析,2.分析核心交换机6509上抓取的数据包,1个1148字节ip分片包,结论： 这个被丢弃的某个分片在到达核心交换机6509前就 被丢弃,对比分析结果,根据前面的对比分析，结合拓扑结构，我们可以知道，某个 分片包是在接入交交换机转发之后、核心交换机6509接收之 前被丢弃的，那么可能被丢弃的位置只剩下光电转换器了,在线视频不定时异常中断,故障环境 故障现象 故障分析 故障解决 技巧小结,故障环境,故障拓扑,说明： 1.VOD在线视频是通过web页面观看的，通 讯流全部使

35、用HTTP的80端口传输数据 2.客户端与服务器是纯路由环境下完成数据 交互的,故障现象,客户端通过浏览器在线观看VOD视频时，不定时（有时几分钟、有时十几分钟，没有规律）的出现中断情况。 使用ping命令长时间测试VOD服务器的连通性，一直正常。 异常时，VOD服务器的web页面访问正常,前期简单分析,Ping命令测试正常，说明不存在连通性问题 不定时出现、无规律性说明应该不是策略（时间控制等）原因导致的 其他应用未反应异常,通过简单分析，没有什么明显的突破口，此类故 障应属于较高层次的故障，只能借助科来抓包分析 来找突破口了,客户端抓包分析可能原因,首先在客户端在线视频时，开启科来抓包，在

36、故障出现后停止抓包，并分析 故障时间段的数据包，看能否找到一些突破口,一般而言，这种应用都是服务器向客户端传输数据， 而客户端仅对服务器端发送确认即可，这种确认不 包含任何的数据，其大小在填充完后只有64B,而在故障发生时，我们竟然发现了客户端向服务器 发送的大小为70B的ack,TCP选项字段导致的70B的ack,TCP选项解码,1.选项字段解码，显示为客户端 使用的为SACK选项，其左右边 边界都已表示出,2.科来抓包显示客户端多次向服 务器发送带SACK选项的ACK包,3.通过科来解码，显示SACK左 左边界内容一致,4.显示客户端没有收到来自服务器的某个数据段,服务器端抓包确认问题原因

37、,1.查看服务器端是否收到客户 端的带有SACK选项的ACK报文,2.查看服务器端是否重传了客户 端未收到的数据段,3.通过查看服务器给客户端传输数据的次序与序 列号，我们可以看出服务器重传了客户端未收到 的数据包,可能故障点,可能故障点,通过前面的深入分析，我们可以知道，客户端由于没有收到某段来自服务器的 数据，导致了在线电影视频的异常中断，但是客户端向服务器端发送看带有SACK 选项的ACK报文，告知服务器端重传其未收到的数据段，服务器端收到了这个重传 信息，也重传了客户端要求的数据段，但客户端还是未收到，可见，该故障与端系 统无关，是中间系统导致的，接下来明确中间系统可能故障点,由于交换机丢弃数据包的 可能性极小，因此，我们 应该将分析的重点放在网 关设备上,抓包分析定位故障点,首先，已经明确了是服务器发送给客户端的某个数据段被丢弃了，那么我们只 需要在服务器、防火墙进出接口分别抓包，并做对比分析即可定位出是否是防 火墙将数据包丢弃的，确认三个捕包位置分别如下,数据包捕获点,捕包工作的开展,捕包位置已经定下来了，接下来就是如何以最简单