rmon协议分析.docx
《rmon协议分析.docx》由会员分享,可在线阅读,更多相关《rmon协议分析.docx(12页珍藏版)》请在冰豆网上搜索。
rmon协议分析
竭诚为您提供优质文档/双击可除
rmon协议分析
篇一:
snifferpro协议分析新手教程、工具及文档
snifferpro(学习笔记)
边学边记系列~
~~好戏马上就开始喽~~~
一:
snifferpro问题集锦
1.为什么sniFFeR4.75在我的机子上用不了?
4.7.5withsp5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千m网卡
2.如何导入导出snifferpro定义的过滤器的过滤文件
方法一、强行覆盖法
c:
\programFiles\nai\sniffernt\program\
下面有很多local打头的目录,对应selectsettings里各个profile,
进入相应的local目录,用snifferscan.csf去覆盖sniffer.csf(捕获过滤)或者snifferdisplay.csf(显示过滤)
方法二、声东击西法
c:
\programFiles\nai\sniffernt\program\
下面有个文件nxsample.csf,备份。
用snifferscan.csf替换nxsample.csf
启动sniffer
新建过滤器
在新建过滤器对话框的sample选择里选择相应的过滤器,
建立新过滤。
反复新建,直到全部加入
3.sniffer的警报日志是些做什么用的
sniffer警报日志也是sniffer专家系统的一部分,通常不正常的tcp/ip通讯会产生警报和日志.
比如:
ping的反映时间太长,某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.
4.利用aRp检测混杂模式的节点
文章很长,原贴位于:
http:
///viewthread.phptid=160
5.sniffer中,utilization是按什么计算的?
octect就是字节的意思。
sniffer表盘的利用率是根据你的网卡的带宽来计算的,如果要监测广域网带宽的话,需要使用sniffer提供的相应的广域网接口设备:
比如snifferbook用来接入e1、t1、Rs/V等链路,这时它所显示出的带宽就是正确的广域网带宽(如非信道化e1它会显示2.048mbs)。
6.octets/s单位怎么计算的
octet=byte
7.expert分析系统分析的数据是定义capture所截取的数据呢还是分析所有流经镜像端口的数据?
sniffer的专家系统只对所捕获的数据进行分析8.snifferpro4.75不现实仪表盘和alarmlog怎么回事请检查您的操作系统是否安装java~
9.sniffer能识别出notes协议么
需在tools--options--protocol中将lotus所用端口定义进去。
1352是notes的端口
用什么软件是次要的,关键是要理解如何根据自身的实际情况进行定制
10.在sniffer中如何定义捕捉端口范围我想捕捉端口为8000-9000的数据包,请问在sniffer中如何定义过滤器
建议使用sniFFeRpRo4.8及以上版本
11.[snifferdecode面板]为什么都是乱码啊?
是这样的,这次你抓的都是小包,包头的ascii没有实际含义,如果抓一些http/ftp之类,你可能就可以看到一些明文了
12.为何snifferdashboard不会动的
sniffer4.7.5sp5以前的版本需要javaVitualmachine和jRe1.3.02,javaVm组件必须在安装sniffer前检查ie里是否已存在,如果没有,就要重新安装ie组件。
装完sniffer后,第一次打开sniffer时,会提示安装jRe1.3.02,如果你的机器之前安装过更高版本的jRe,需要卸载然后再装jRe1.3.02,如果没有安装过,请安装jRe1.3.02。
满足了这两个条件,dashboard就没有问题了。
如果因为java的问题无法运行dashboard的话,不会影响sniffer其它功能的运行,大不了不要打开dashboard就可以了。
13.对sniffer的疑问?
?
?
switch不是把数据包进行端口广播,它将通过自己的aRp缓存来决定数据包传输到那个端口上。
因此,在交换网络上,如果把上面例子中的hub换为switch,b就不会接收到a发送给c的数据包,即便设置网卡为混杂模式,也不能进行嗅探
answer:
Sniffer什么都不是。
。
这个自己再去想办法。
。
Sniffer只负责抓包分析的事。
。
。
其他的自己搞定
14:
我这的交换机不支持端口镜像,请问我如何配置才能用snifferpro分析网络?
交换环境下的aRp欺骗和sniffer,就这么简单
1、准备
win2000/xp+etherpeek。
将自己的mac修改为一个不存在的,具体步骤不再叙述。
干坏事嘛,总得伪装一下。
2、将本机的网关设为非本网段的任一ip,比如设成其他网段的网关。
制作一个批处理包含以下命令:
arp-s网关ip本网段网关的mac
这样做的目的是防止aRp欺骗时自己上网也困难
3、在注册表的
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters下增加:
name:
ipenableRouter
type:
Reg_dwoRd
Value:
0x01
重启系统即可。
目的是启用路由转发功能,以便在随后的aRp欺骗中本机充当
man-in-the-middle(中间人)
4、启动etherpeek,构造如图所示的包(图1),可以将这个包存盘,以备后用。
5、以每秒5个包的速度向外发送这个aRp欺骗包(图2)。
6、启动捕获,就可以抓到整个网段内的包。
7、注意:
不要用此方法干坏事。
被网管抓住别找我!
15:
通过packetgenerator如何定向发包?
q:
的意思是往指定的主机发包吗?
自己造包比较麻烦,你可以先截取一段数据包,然后编辑包,修改目的地址
15:
在监控端口和sniffer之间,可以级联交换机吗
可以,前提是要支持RSPAN,并且正确配置!
16:
sniffer的非正常退出
我在使用sniffer的过程中,会发生异常错误。
sniffer进程无法杀掉。
请问该如何解决?
ntsd
-cq-ppid
强制杀掉进程,pid为在任务管理器里看到的进程号
17:
在sniffer的sourceaddress这一栏下,为什么有的显示ip地址,有的却显示mac地址?
是不是因为显示mac地址的数据包没有包括ip层及以上的层的数据?
有些协议用于链路协商,分配地址等等,是没有带ip地址的包头的,比如rapr,arp协议等。
18:
[原创]在snifferpro中创建基于子网掩码的过滤器
初为做的一个说明,解释如何在snifferpro中实现基于子网掩码的过滤,(默认功能只能提供基于主机ip地址的过滤)
以后再介绍介绍在omnipeek里实现的快捷方式,对比一下就知道snifferpro这只大笨象有多笨拙了
19:
我单位使用的都是3com产品,不知能否通过sniffer的switch功能来能交换机进行管理呢.
我自己试了试,不行,请高手指点.
sniffer只支持cisco大部分交换机和北电的450,3com的不支持。
snifferswitchexpert可以收集交换机的Rmon信息,可以设置交换机警告并自动触发抓包,可以设置镜像端口等。
如果要用snifferswitchexpert功能,最好是有两块网卡,一块用来与交换机通讯,一块用来捕捉包。
19:
sniffer的历史采样如何打开?
在sniffer里做了占用率等历史采集,保存成了.hst文件,现在想调出来看,如何做?
q:
打开history,将.hst文件拖进去
20:
用sniffer构建数据包时,建好了不能保存啊?
用sniffer构建数据包时,建好了不能保存啊?
每次都得重新构建数据包,这样
很麻烦呀,可不可以保存下来,每次调用一下就ok了
q:
构造好之后发送出去,同时捕捉一次不就保存下来了,我以前常这么干,省得我自己计算ip_sum什么的。
21:
如何在8139网卡上设置,使其能在SNIFFER下看到小于64大于1518的包?
如果使用sniffer提供的专用网卡(sniffercardbus网卡),可以捕捉到许多数链层的错误:
1、cRc校验错误。
2、collison(小于64字节,一般是中继器发jam信号导致)。
3、Runt(小于64字节,但有正确的cRc)。
4、Fragment(小于64字节,但cRc错误)。
5、aligment(有两种,一种是小于64字节,另一种大于64字节)。
6、jabber(大于1514字节,一般可能是网卡或中继器问题引起)。
7、oversize(大于1514字节,如果是Vlan的trunk协议,如802.1q协议(1518字节)和ciscoisl协议(1540字节),它们都大于1514字节,sniffer也会认为它们是oversize。
)
那么上面说了这么多种错误,实际上你在现在的网络环境当中,就算是使用了sniffer专用的cardbus网卡,也不见得会捕捉到这些错误,为什么呢?
原因有二:
一是因为我们现在的网络大多是交换网络,需要进行交换机镜像才能让sniffer进行捕捉数据包,而交换机会把这些错误包给丢弃了,根本到达不了sniffer镜像的端口。
二是因为这些错误基本上是因为中继设备和网卡设备的硬件故障导致的,而现在无论是交换机、集线器还是网卡,硬件制造的工艺都很成熟和稳定,以上这些错误,基本上,很难再产生了。
如果你没有sniffer专用网卡,可以有两种办法:
一,按V大说的自开发驱动。
二,到市场上买xircomcbe2-100型号网卡,sniffercardbus网卡是它oem的。
22:
snifferpro是不是只能监控同一交换机下的流量?
这个和sniffer没有关系!
关键在于交换机
比如有些可以支持Rspan,跨交换机的流量也可以看到啊23:
使用snifferportable抓包的时候,在解码后发现"Frametooshort"提示的可能原因是什么硬件(网线、网卡、端口等)有故障的症兆或存在双工、速率匹配问题。
24:
请教一个sniffer的协议分析使用的问题
对比了一下,发现自己的sniffer在查看protocols分布情况时,未知的协议类型都为“others”,而别人的却能显示出具体的协议和端口号,如下图,这是怎么回事?
是不是什么选项没选上?
加入具体的协议端口,下次你的也就不会是
篇二:
sflow总结
目录
8
sFlow8.2参考标准和协议8.4原理描述8.6术语与缩略语
8.1介绍
定义
sFlow是sampledFlow的简称,由inmon提出,是一种用于监控数据网络上交换机或者路由器流量转发状况的技术。
sFlow系统包括若干sFlowagent(内嵌于交换机或者路由器等转发设备)以及一个核心的sFlowcollector。
sFlowagent通过特定的采样技术获取网络设备上的流量转发统计并实时地通过sFlow数据报文发送到collector以供collector进行分析,通过生成流量视图或者报表的形式,帮助网络管理员更加有效地管理整个站点(通常是企业级站点)的网络流量。
目的
相对于电信级网络,企业级网络通常具有规模相对较小、组网灵活、易受攻击等特点,因此企业级网络更容易出现由组网或者攻击导致的流量业务异常,因此企业用户更需要一种以设备端口为基本采样单元的流量监控技术来实时监控流量状况以及及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。
一个典型的sFlow系统提供了一组agent以及一个collector,agent内嵌于网络设备,负责采集相关的流量统计信息;collector的角色通常由专门的服务器充当,通过在服务器上运行sFlowtrend等专门的sFlowcollector软件,收集agent发送过来的统计数据,以图形化的统计信息汇总或者以报表的形式输出。
为企业用户特别是不设置专职网络管理员的企业用户的日常巡检维护提供了极大的方便。
8.2参考标准和协议
本特性的参考资料清单如下:
8.3可获得性
license支持
无需获得license许可,均可获得该特性的服务。
版本支持
表8-1sFlow特性的版本支持
特性依赖
sFlow特性与其他特性的依赖关系如下:
依赖于ip协议栈以及单播路由转发特性。
如果collector软件需要使用sFlowtrend(inmon提供的标准collector软件),设备必须支持snmpV2
或者snmpV3。
并且snmpagent功能以及公有mib的读写功能必须开启。
8.4原理描述
8.4.1sFlowagent的基本原理
sFlowagent是sFlow的客户端设备,在一个典型的部署sFlow的网络中,一般是内嵌于网络转发设备中(比如交换机和路由器),负责收集设备上的流量转发情况并实时发送给sFlowcollector以供分析使用。
sFlow的采样报文格式
sFlow报文采用udp封装,缺省目的端口号为知名端口6343。
sFlow报文共有4种报文头格式,分别为Flowsample、expandedFlowsample、countersample、expandedcountersample。
其中expandedFlowsample和expandedcountersample是sFlowversion5新增内容,是Flowsample和countersample的扩展,但不前向兼容。
所有的extended的采样内容必须使用expanded采样报文头封装。
sFlow的报文格式如图8-1。
图8-1sFlow报文格式
sFlow的两种采样
sFlowagent提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及counter采样。
Flow采样
Flow采样是sFlowagent设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析,并将分析的结果通过sFlow报文发送到collector设备的过程。
Flow采样报文中的主要信息如表8-2所示。
表8-2Flow采样报文中主要字段信息说明
Flow采样是针对接口上报文的采样方式,报文的采样主要由两种方式:
固定采样方式和随机采样方式。
固定采样方式是在设备上启用一个计数器,采样比为1/n时,初时计数器值为n,接口每处理一个报文计数,记数器计数减一,当计数器减到0时,采样当前的报文,重置计数器的计数为n,重复前面的处理;随机采样方式是指针对每一个接口处理的报文给一个随机值(假定随机数的取值范围为0~n),设置一个阈值n(n∈[0,n]),当报文的随机值小于这个阈值时,报文采样,这样实际的采样比为n/(n+1)。
从统计角度来说,随机采样方式采集的样本更加能够体现整个样本空间的情况,因此目前主要采用的采样方式为随机采样方式。
说明:
目前交换机支持Rawpacket、ethernetFramedata、ipV4data、ipV6data、extendedswitchdata、extendedRouterdata的6种字段。
counter采样
counter采样是sFlowagent设备周期性的获取接口上的流量统计,并将这些统计信息通过sFlow报文发送给collector设备的过程。
counter采样报文中的主要信息如所示。
表8-3counter采样报文中主要字段信息说明
篇三:
基于wireshark的协议分析wireshark远程抓包
基于wireshark的协议分析4.wireshark远程抓包20xx-03-1015:
34
基于wireshark的协议分析4.wireshark远程抓包
远程抓包方案
主要参考文档:
使用wireshark时,我们一般加载已经保存的数据文件或者实时抓取网卡上的数据包,进行数据分析。
有时为了监控远程机器网络流量,我们需要远程抓包,并对抓取的包进行实时分析。
这时候,我们需要在远程捕获网络流量,并在本地启动wireshark进行数据分析。
为实现这个目的,这时候我们就面临一下几个问题:
1.远程主机上如何抓包:
远程主机os是windows还是linux
2.本地主机和远程主机通过什么连接:
ssh、netcat,还是其他协议
3.远程主机数据如何传到本地:
是传到namedpipe(命名管道)还是stdout根据wiresharkwiki文档,我们知道目前有这三种解决方案:
-usingaunixpipeanduseadifferenttooltocapturefrom
下文主要讨论这种方式
-using[]sremotecapturingfeature(rpcapd)-
currentlynotsupported
在windows下安装winpcap后,winpcap安装目录下就有rpcapd这个命令行工具,但wireshark目前不支持读取rpcapd的输出,可以用其他工具读取rpcapd的输出。
这种方式只限于windows操作系统。
Rmon-usesnmpsRmontocapture-currentlynotsupported(explainswhyitdoesntworkwell)
这种方式不清楚怎么用
测试一:
namedpipeonlocalmachine(本地namedpipe测试)
利用管道,将libpcap数据文件作为输入,输出到tshark,开始分析
localmachine:
192.168.1.86
hank@gts~$mkfifo/tmp/pipe
hank@gts~$./tshark-i/tmp/pipevefinishedstep4successfully!
inthisstep:
dontuseyourlocalmachinetocapturetrafficasinthepreviousstepsbutusearemotemachinetodoso.
Remotecapturingiscurrentlyverylimited:
-usingaunixpipeanduseadifferenttooltocapturefrom
-using[]sremotecapturingfeature(rpcapd)-
currentlynotsupported
Rmon-usesnmpsRmontocapture-currentlynotsupported(explainswhyitdoesntworkwell)
ofcourse,youcanusewiresharkinstalledonaremotemachineincombinationwitharemotecontrolsoftware(e.g.Vnc,windowsRemotedesktop,...).xxx-explainspecialcapturefilterstringsrelevanttoremotecapturing!
pipes
thefollowingwillexplaincapturingusingpipesabit.contents
3.4.
beforepipes,wiresharkcouldreadthecapturedpacketstodisplayeitherfromafile(whichhadbeenpreviouslycreated)orforanetworkinterface(inrealtime).sincepipesaresupported,wiresharkcanalsoreadpacketsfromanotherapplication,andshowstheminrealtime.thisisusefulifyouwanttowatchanetworkinrealtime,andwiresharkcannotcapturefromthatnetwork,e.g.becauseitisnotanethernetnetwork,oritisnotonthelocalmachine.
therearethreemainlimitationsthatyoushouldbeawareof:
1.itisnotcurrentlyknownwhetherthisworksonwindows.ifyouwantto
usethisonwindows,giveitatryandreportyourresultstothe
developmentlist(and/orupdatethispage).ifyouwanttohelptesting,youshouldbeabletocompilewiresharkfromsources.
2.thisonlyworkswiththedefactostandardlibpcapformatversion2.4,as
describedin.someotherformatsmayworkintheory,butthishasnotbeentested.
3.capturingfromapipeisinconvenient,becauseyouhavetosetupthepipe
andputafileheaderintothepipebeforeyoucanstartthecapture.afewpatcheshavebeenmailedtothedevelopmentlistthatcouldsolvethis,soifyoufindtheapproachinconvenient,trythepatches.
xxx-mentiontoconfigureliveupdateofthewiresharkwindow
namedpipes
anamedpipelookslikeafile,butitisreallyjustabufferforinterprocess
communication.oneprocesscansenddatatoit,andanotherprocesscanreadit.therearetwomainwaystocreateanamedpipe:
withmkfifoorusingspecialsyntaxofthebashshell.
way1:
mkfifo
ifyouhaveacapturefileintherightformat(fromwiresharkortcpdump),youcandothefollowing:
>mkfifo/tmp/pipe>wireshark