宽带网络监控教研中心宽带网络监控教研中心单机流量监测网络流量监测目录1.网络流量监测方式2.网卡的工作原理3.Sniffer4.Wireshark5.Pcap文件格式2网络流量监测行为的分类l主动监测：主动发起网络通信，并分析流量。优点是可以按测量要求定制合适的业务流量和业务行为方式缺点是给网络增加了额外的流量开销。l被动监测：在某个节点收集、提取现有流量来分析。优点是不产生额外流量，对监测点的网络性能无影响缺点是对测量业务没有可控性。3网络流量监测位置的分类4网络出口流量监测用户主机内嵌软件监测用户端独立监测终端监测核心网关监测终端监测以上监测方式各自有自己的优点和缺陷单机流量监测软件l运行在微机上, 利用微机的网卡，截获或发送网络数据，并做流量分析的软件。l属于用户主机内嵌软件，可采用主动、被动监测。l例如Sniffer、 Wireshark 、OmniPeek、 NetPeeker 等。l更专业的方式是自己写单机监测软件。5单机流量监测方式特点6l可以捕获链路层的帧，核心网关监测做不到l可分析链路层、网络层、传输层、应用层协议，可以做复杂的深度流量分析l可监测端到端质量l可采用主动监测，监测目标和策略可自由定制、可动态变更 l监测终端对流量的分析相对容易，高效l监测终端靠近用户端，可反映用户感受到的网络质量，可准确匹配用户身份单机流量监测用途7l正当：协议分析、流量分析、故障管理、性能管理、安全管理、通信监视等。l不正当：捕获用户的账号、密码、机密数据，攻击网络邻居，获取高级别的访问权限等。目录1.网络流量监测方式2.网卡的工作原理3.Sniffer4.Wireshark5.Pcap文件格式8微机上的网卡是什么？l计算机与外界网络的连接是通过主机内插入一块网络接口板。网络接口板又称为通信适配器或网络适配器（adapter）或网络接口卡NIC（Network Interface Card）但是现在更多的人愿意使用更为简单的名称“网卡”。l独立网卡、主板集成网卡l以太网网卡、WIFI网卡、3G上网卡l同一主机可以有多个网卡9网卡的属性l每个网卡对应了一个网络接口l每个网卡有唯一的MAC地址l每个网卡可配置IP地址、子网掩码、网关、DNS服务器l可同时配置IPv4和IPv6地址lWindows中管理网卡属性（演示）控制面板ipconfig命令10网卡属性11ipconfig12网卡的工作原理l网卡收到传输来的数据，先解析数据头的目的MAC地址，根据网卡设置的接收模式判断该不该接收。l认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就丢弃了，计算机根本就不知道。lCPU得到中断信号产生中断，然后处理这些数据。l当主机发送数据时，网卡等待合适的时间将分组插入到物理数据流中 。13网卡工作模式14混杂模式lPromiscuous Model网卡默认工作在非混杂模式，只接收目的地址是本机的报文和帧l特殊功能的软件，可以将网卡配置为混杂模式l如果网卡配置为混杂模式，那么它就会捕获通过它的所有报文和帧，不论其目的地址是否为本机l一般用于网络监测15目录1.网络流量监测方式2.网卡的工作原理3.Sniffer4.Wireshark5.Pcap文件格式16SnifferlNAI（McAfee）公司设计的协议分析软件l老牌单机流量监测软件，早期影响很大l现归属于NetScout公司l中文官网：www.sniffer.net.cn17Sniffer功能l网络流量分析、网络故障诊断 l应用系统流量分析及故障诊断 l网络病毒流量、异常流量检测 l无线网络分析、非法接入设备检查 l网络安全检查、网络行为审计18Sniffer界面示意图19目录1.网络流量监测方式2.网卡的工作原理3.Sniffer4.Wireshark5.Pcap文件格式20Wiresharkl原名Ethereal l功能强大的免费单机流量监测软件l基于主流单机流量监测软件包Winpcap，后续课程讲解通过Winpcap自己编程监测l官方网站：http:/www.wireshark.org/ 21Wireshark界面示意图22网卡列表23配置捕获选项24Wireshark过滤器Wireshark有两个过滤器：1.捕获过滤器：捕获网络流量时进行过滤，只捕获需要的流量2.显示过滤器：显示捕获的包时进行过滤，用于不同的分析用途，呈现不同的网络包 25PacketPacketPacket捕获过滤PacketPacket生成在cap文件中PacketPacket显示过滤Packet显示在界面上配置捕获过滤器26 Filter name：任意 命名 Filter string：过滤 的命令捕获过滤器命令语法27usrc|dst host uether src|dst host usrc|dst net mask |len utcp|udp src|dst port uless|greater uip|ether proto uether|ip broadcast|multicastu 参考Wireshark帮助“Filtering while capturing”过滤的字符串举例28a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所 有包ether host 00:d0:f8:00:00:03b.捕获 IP地址为 192.168.10.1 网络设备通信的所有包host 192.168.10.1c.捕获网络web浏览的所有包tcp port 80d.捕获192.168.10.1除了http外的所有通信数据包host 192.168.10.1 and not tcp port 80流量分析29显示过滤器30显示过滤的语法31正确的语法如下，和“Capture Filter”的语法有所不同：显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有包eth.addr=00.d0.f8.00.00.03显示 IP地址为 192.168.10.1 网络设备通信的所有包 ip.addr=192.168.10.1显示所有设备web浏览的所有报文tcp.port=80显示192.168.10.1除了http外的所有通信数据包ip.addr=192.168.10.1 & tcp.port!=80显示过滤器语法工具32从包信息中生成过滤器33Apply as Filter：实施过滤 Prepare as Filter：生成过滤命令，但不立即过滤流量的统计34在Statistics 菜单下Summary 包统计 Protocol hierarchy 协议层即各协议层包统计 Conversations 会话报文信息 （ 双方通信的报文信息） Endpoints 分别显示单方节点的 报文信息 Packet Lengths 包长统计 IO Graphs包通信量Summary 帧统计35Protocol hierarchy协议层36Conversations 双方通信的报文信息37endpoints 单节点报文信息38Packet Lengths 包长统计39IO Graphs 流量历史曲线40Follow TCP Streaml在包列表窗口中选择某个TCP包点击右键 选择 “Follow TCP Stream”，就可以跟踪这个TCP连接的所有报文。易于查看TCP会话重构后的数据流。41TCP会话重构后的数据流42目录1.网络流量监测方式2.网卡的工作原理3.Sniffer4.Wireshark5.Pcap文件格式43Pcap文件的格式lWireshark捕获的数据包可以保存为.pcap文件，后期可开发程序对其作进一步分析。l每个Pcap文件都有24字节的文件头，然后是各个数据帧。数据帧前16字节是数据帧头部，接着是数据帧。 44文件头字段的具体含义lMagic：4字节：用来标示文件的开始；lMajor：2字节，当前文件主要的版本号；lMinor：2字节，当前文件次要的版本号；lThisZone：4字节，当地的标准时间；lSigFigs：4字节，时间戳的精度；lSnapLen：4字节，最大数据帧存储长度 ；lLinkType：4字节，链路类型。45Packet首部(16Byte)组成46数据包头的具体含义lTimestamp：时间戳高位，精确到秒；lTimestamp：时间戳低位，精确到微秒；lCaplen：当前数据包捕获到的长度。Caplen小于或等于Len 和Pcap头的SnapLen长度；lLen： 数据包到达网络时实际的长度，多数情况下和Caplen数值相等。若Len大于Caplen，则可能是SnapLen不够长导致的。47下节课程预告l下节课程预告SNMP与MRTG48