這個問題我也來說兩句從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、透過資料包的有無來判斷故障,一般用於防火牆策略除錯等場景,在防火牆上進行抓包,或交換機上映象抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路裝置配置不存在問題的情況下,透過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。1)最常見的是透過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP資料包;攻擊行為也很多時候體現為大量資料包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於透過抓包數量來分析的。2)通訊質量判斷,抓包存在大量的重傳,此時通訊質量一般都不太好。另外有影片和語音的應用場景中,有時需要透過時間統計來判斷通訊毛刺,來分析定位影片和語音通訊質量問題。3)協議判斷,比如win2008和win2003通訊時因為window scale不相容,導致視窗過小,而程式設計適當時,通訊變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通訊對接也有可能會用到協議分析,其中一種方式就是抓包分析。綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同作業系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。說了這麼多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高階排錯的一部分。
這個問題我也來說兩句從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、透過資料包的有無來判斷故障,一般用於防火牆策略除錯等場景,在防火牆上進行抓包,或交換機上映象抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路裝置配置不存在問題的情況下,透過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。1)最常見的是透過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP資料包;攻擊行為也很多時候體現為大量資料包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於透過抓包數量來分析的。2)通訊質量判斷,抓包存在大量的重傳,此時通訊質量一般都不太好。另外有影片和語音的應用場景中,有時需要透過時間統計來判斷通訊毛刺,來分析定位影片和語音通訊質量問題。3)協議判斷,比如win2008和win2003通訊時因為window scale不相容,導致視窗過小,而程式設計適當時,通訊變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通訊對接也有可能會用到協議分析,其中一種方式就是抓包分析。綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同作業系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。說了這麼多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高階排錯的一部分。