网络数据包分析工具有哪些?包(Packet)是TCP/IP协议通信传输中的数据单位,一般也称“数据包”。一个数据包分成两个部分,包括控制信息(头,header)和数据本身(负载,payload)。我们可以将一个数据包比作一封信,头相当于信封,而数据包的数据部分则相当于信的内容。
数据包分析工具
目前使用的比较多的网络数据包分析软件主要有:Wireshark(或者是:Ethereal)。依靠这些软件抓取需要的信息包:首先可以根据自己的需要,设置各种灵活的过滤条件,捕获你所需要的信息包,然后对各种抓取到的信息包进行数据包分析,尤其在网络出现各种故障时,该技术显得特别有用。另外,就是可以捕获到非加密传输的用户名和密码。(例如:ftp 传输、telnet传输等都是明文传输)
Wireshark使用技巧及数据包分析方法
Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。
0x00:只抓包头
在进行网络分析时往往只需要知道两个节点是不是能够联通,具体的传输信息并不重要,所以抓包的时候可以设置只抓包头,这样就大大减少了数据包的大小,有利于数据分析。
设置方法:Capture(捕获)-->Options(选项)-->Snaplen(Snap长度)。
将这个值设置200以下就可以抓到所有网络层次的头信息了。
0x01:只抓必要的包
我们可以设置抓包的filter,只抓一些感兴趣的包。
设置方法:Capture(捕获)-->Options(选项)-->Capture Filter(捕获过滤器)
0x02:过滤
使用过滤规则进行数据包筛选是Wireshark最强大的功能之一,比如如果知道问题发生的具体协议就可以以协议名称过滤。使用协议过滤时要注意协议之间的依赖性,比如NFS共享挂载失败,问题可能发生在挂载所用的mount协议,也可能发生在mount之前的portmap协议。