IT博客-点滴-文章分类-测试二宝-Linux/unixhttp://www.cnitblog.com/charester/category/3486.html zh-cnMon, 26 Sep 2011 06:15:08 GMTMon, 26 Sep 2011 06:15:08 GMT60【网络分析专家】学习建议 - 必读http://www.cnitblog.com/charester/articles/21118.html天空天空Tue, 26 Dec 2006 05:19:00 GMThttp://www.cnitblog.com/charester/articles/21118.htmlhttp://www.cnitblog.com/charester/comments/21118.htmlhttp://www.cnitblog.com/charester/articles/21118.html#Feedback0http://www.cnitblog.com/charester/comments/commentRss/21118.htmlhttp://www.cnitblog.com/charester/services/trackbacks/21118.html技术论坛,顾名思义,是讨论技术问题的地方。在论坛中我们讨论的是平常在学习中、工作中碰到的各种技术问题,可能是自己无法解决的,或者没有时间慢慢研究解决,再或者想听听大家的建议,等等。

学习技术(我们这儿讨论的是网络分析)是需要花时间、花精力的,而不是通过在论坛问几个问题就能一下子提高的。对于网络分析新手而言,我觉得先需要把网络分析的基础打扎实。要知其然,更要知其所以然。这个“所以然”一定需要我们有个扎实的基础。把基础打好了,将来不管学习什么新产品,都会事半功倍,只是需要一点点时间。再说,我们技术人员,在技术领域也不是从一而终嘛,说不定明天老板就要让你换个东西配置了。

我们把网络分析的学习过程设计成三个阶段(欢迎大家对此发表意见,我们会再优化结构):
网络入门--网络分析入门--网络分析专家

对于网络入门而言,首先要把协议基础知识、路由交换配置基础以及网络分析部署实施这三部分的内容扎扎实实学好。
扎实的基本功永远都是有用的。

以下根据上面提到的结构,选择论坛中现有的部分帖子经过整理一些内容,希望对于网络分析入门者提供帮助。以后,我们会慢慢充实这些内容,同时我们也会慢慢整理充实针对网络分析入门者、网络分析专业人士的内容,这个需要我们大家的共同努力。

【网络入门】【协议基础知识】

TCP/IP经典图书
http://www.netexpert.cn/viewthread.php?tid=58&fpage=1

IPv6资料收集
http://www.netexpert.cn/viewthread.php?tid=371&fpage=1

Illustrated TCP-IP - A Graphic Guide
http://www.netexpert.cn/viewthread.php?tid=213&fpage=1


TCP/IP应该说是最基础也是最重要的东西,如果你没有认真读过上述书籍或者类似的,那么最好到当当上买1,2本认真看看,总感觉看看电子档的效率比较低。

SNMPv1, SNMPv2, SNMPv3 PPT
http://www.netexpert.cn/viewthread.php?tid=105

snmp,简单网络管理协议,作为网络的管理者也是必须了解的。

[原创]新人进阶之一,局域网数据链路层协议分析
http://www.netexpert.cn/viewthread.php?tid=113&fpage=1

原创]新人进阶之二 学习ARP协议
http://www.netexpert.cn/viewthread.php?tid=303&fpage=1


前面都是一些最基础的文档,看起来有点累,看看下面这个,巩固一下LAN的知识,同时也可以验证一下自己的基本功是否扎实。
局域网数据链路层协议分析
http://www.netexpert.cn/viewthread.php?tid=113&fpage=1

【网络入门】【路由/交换配置基础】

Cisco 路由器 IOS 配置的 Essential
http://www.netexpert.cn/viewthread.php?tid=224

【转贴】再谈路由与交换
http://www.netexpert.cn/viewthread.php?tid=363&sid=P5aqFH

Cisco Press LAN Switching First-Step
http://www.netexpert.cn/viewthread.php?tid=360&fpage=1

【网络入门】【网络分析基本部署】

网络流量监测与管理.doc
http://www.netexpert.cn/viewthread.php?tid=152

要想知道怎么把协议分析软件(系统)接入到网络中去,先看看这个吧:
http://www.netexpert.cn/viewthre ... ;sid=YBrjl3#pid6017
其实,把网络入门中协议基础、路由交换配置基础两部分都学好的,差不多就是ccna的技术水品。这里,我不是要说认证好,或者鼓励大家去考认证。

再加上网络分析基本的一些知识掌握好,包括rmon/rmon2/mib2/包分析软件/netflow等,就完成网络分析的基础准备了。

【网络分析入门】

网络分析入门,就是在完成网络入门这个阶段,进入到学习网络分析方式的阶段,包括包分析软件wildpackets/sniffer/Ethereal,netflow方式,rmon/mib2方式,rmon2等等。

通过针对有代表性产品的学习,帮助我们对网络分析能够有个全面的了解。
【网络分析入门】【常用协议分析软件使用基础】

【连载全面对比OmniPeek与Sniffer】
http://www.netexpert.cn/viewthread.php?tid=146

【Sniffer Pro 47中文安装手册】【官方版】
http://www.netexpert.cn/viewthread.php?tid=451&fpage=1

【Sniffer Pro 4.7 交换机专家系统使用指南】
http://www.netexpert.cn/viewthread.php?tid=455&fpage=1

【Sniffer Pro 47中文使用手册】【官方版】
http://www.netexpert.cn/viewthread.php?tid=452&fpage=1

【Sniffer Pro 47手册官方版-英文版】(无积分限制)
http://www.netexpert.cn/viewthread.php?tid=591&fpage=1

[转自麦子]NAI Sniffer 入门资料
http://www.netexpert.cn/viewthread.php?tid=236

sniffer使用教程
http://www.netexpert.cn/viewthread.php?tid=68

[原创]Iris Traffic Analyzer简易教程
http://www.netexpert.cn/viewthread.php?tid=214

如何快速掌握ethereal的使用方法
http://www.netexpert.cn/viewthread.php?tid=178

《Ethereal Packet Sniffing》及Ethereal官方教程[url]
http://www.netexpert.cn/viewthread.php?tid=373&fpage=1[/url]

[原创]使用Ethereal学习TCPIP协议
http://www.netexpert.cn/viewthread.php?tid=184

【网络分析入门】【MRTG基础】

MRTG专题
http://www.netexpert.cn/viewthre ... p;sid=XiPaYC#pid442
【网络分析入门】【Netflow基础】

[原创]Linux下的免费Netflow解决方案
http://www.netexpert.cn/viewthread.php?tid=35&fpage=1

cisco 官方netflow ppt文档
http://www.netexpert.cn/viewthread.php?tid=19&fpage=3

在Cisco设备上开启Netflow
http://www.netexpert.cn/viewthread.php?tid=6&fpage=1

【网络分析入门】【常见网管小工具】

下面的这个帖子是使用Ethereal这个工具,了解SolarWinds读取设备MIB的过程,讨论的其实是snmp 对mib读写,我不知道发到哪儿比较合适。
[原创]使用Ethereal了解SolarWinds读取设备MIB的过程
http://www.netexpert.cn/viewthread.php?tid=85&fpage=1

Tamosoft Essential NetTools简介
http://www.netexpert.cn/viewthread.php?tid=607&fpage=1
【网络分析专家】【常见应用分析】

你知道怎么使用协议分析软件分析bt流量?
http://www.netexpert.cn/viewthread.php?tid=354&fpage=1

MSN现在非常流行,看看它的分析
http://www.netexpert.cn/viewthread.php?tid=606&fpage=1

采用netscout分析PPPOE网络故障
http://www.netexpert.cn/viewthread.php?tid=258&fpage=1

对比Sniffer和OmniPeek分析PPPoE协议通讯
http://www.netexpert.cn/viewthread.php?tid=62&fpage=1

【网络分析专家】【案例分析】

一个简单网络故障的诊断
http://www.netexpert.cn/viewthread.php?tid=406&fpage=1

一次不同寻常的垃圾邮件发送源的查找
http://www.netexpert.cn/viewthread.php?tid=73&fpage=1

百货商厦网络瘫痪事件的诊断与恢复
http://www.netexpert.cn/viewthread.php?tid=16&fpage=1
【网络分析专家】【安全相关】

用Sniffer分析入侵/安全扫描教程(更新 增加全部捕获文件和过滤器)
http://www.netexpert.cn/viewthread.php?tid=30&fpage=1


天空 2006-12-26 13:19 发表评论
]]>计算机网络,ethereal使用介绍http://www.cnitblog.com/charester/articles/21114.html天空天空Tue, 26 Dec 2006 01:47:00 GMThttp://www.cnitblog.com/charester/articles/21114.htmlhttp://www.cnitblog.com/charester/comments/21114.htmlhttp://www.cnitblog.com/charester/articles/21114.html#Feedback0http://www.cnitblog.com/charester/comments/commentRss/21114.htmlhttp://www.cnitblog.com/charester/services/trackbacks/21114.html
   先来介绍一下ethereal,ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows下面ethereal 的使用方法,启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
    ethereal使用-capture选项
 nterface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制
  Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷
  其他的项选择缺省的就可以了
ethereal的抓包过滤器
  抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]
个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式:
  1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包;
  2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;
etheral的显示过滤器(重点内容)
  在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
  举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp, 然后回车,ethereal 就会只显示tcp 协议的包。
  直接比较表达式可以使用下面的操作符来构造显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10
  表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and && 逻辑与,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 逻辑或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非,如 !llc
例如:
我想抓取IP 地址是192.168.2.10 的主机,它所接收收或发送的所有的HTTP 报文,那么合适的显示Filter (过滤器)就是:ip.addr=192.168.2.10 and http
在ethereal 使用协议插件
ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal 的H.323 插件,下载地址http://www.voice2sniff.org/ 下载完了以后将文件(h323.dll) 解压到ethereal 安装目录的plugin\0.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置1)启动ethereal 2)菜单Edit->Preference 3)单击Protocols 前面的"+"号,展开Protocols 4)找到Q931 ,并单击5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)6)单击TCP 7)确保"Allow....TCP streams" 是选中的8)确保没有选中"Check....TCP checksum" 和"Use....sequence numbers" 9)单击TPKT 10)确保"Desegment....TCP segments" 是选中的11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap 和ethreal,这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件。这也是懒人的一种做法。
  介绍完毕~~感觉还不错吧~


天空 2006-12-26 09:47 发表评论
]]>