网络分析的世界.PDFVIP

网络分析的世界 网络分析是监听和分析网络流量的一个过程。网络分析通过对网络行为的深入观察来确定网 络性能问题，定位安全漏洞，分析应用行为和规划网络容量。网络分析（又称为协议分析） 是网管人员用来维护网络性能与安全的重要手段。 网络分析可不是脑科手术，任何人都可以分析网络行为。你只需要拥有以下三个基础技能就 能成为顶尖的网络分析师，然后你就能定位网络性能问题，有安全漏洞的主机，有异常行为 的应用以及提前发现网络过载等问题。 1. 理解TCP/IP 协议簇； 2. 熟练使用任何一款网络分析软件；（本文以科来网络分析系统为例） 3. 熟悉数据包的结构以及典型的数据流。 大多数本文的读者应该已经安装和配置过TCP/IP 网络，-事实上，我可以想象你们中的一些 人甚至已经安装了成百上千台基于 TCP/IP 服务器与客户端。很好！那么你应该已经足够了 解IP 地址并且认识到了DNS 和DHCP 服务器在你的网络中扮演的角色。 但是从一个网络分析者的层面，你需要理解的是这样设备与协议是如何工作的。比如：一台 DHCP服务器是如何分配一个IP地址并且有时如何把它配置到一个DHCP客户端中的？如果中 间有一个中继代理呢？如果用户的IP 地址租期到期会发生什么？如果用户想访 问 如何学到目的IP地址？如果本地域名服务器不知道答案怎么办？如 果域名服务器宕机了又怎么办？ 如果能够看到这些交互过程在数据包级别的运行状况，那么你就能在最短的时间内掌握你的 网络内在运行规律。这样你就建立了你的理解基线，-这里基线的意思就是关于这些协议应 该是如何工作的基本知识体系。 一个典型的网络分析实例包括以下几个任务： 1. 在适合的地点捕捉数据包； 2. 通过合适的过滤器找出感兴趣的流量； 3. 定位流量中的异常。 下面让我们来进行一次网络分析。首先打开你的科来网络分析系统（如果你不知如何得到科 来网络分析系统，接着往下看），选择你正在使用的网卡开始抓包。然后在你使用的网络浏 览器中输入 ，以下应该是你在浏览器中看到的画面： 相应的以下是你在科来网络分析系统中看到的构成这个画面的流量： 你的系统首先向域名服务器会请求 的IP地址。你会看到你的DNS请求， 以及域名服务器给出的应答。（你的系统知道了 的IP地址为1 ） 然后你的主机建立了一个与 1 的TCP 连接并发出了 HTTP GET 请求，用来请求 default 页面(GET /)。如果一切进行顺利，你会看到HTTP 服务器应答200 OK 的回包。然后页 面就开始下载了。你可以看到多个GET 请求从你的系统发出-你正在请求网页式样表文件、 图片以及其他构成网页的元素。 当你点击网页中的“下载技术交流版”，你的系统发出对下载页面的请求。同样的，你又能 看到与搭建下载页面相关的数据流。然后你可以点击下载链接，下载“科来网络分析系统 技 术交流2010 版”（此版本为免费版本，用于个人网络分析技术的学习与交流）。然后你的系 统会发起一个新的 TCP 链接到下载目录去下载科来网络分析系统的安装包。（GET /download/products/csnas_tech_732.exe HTTP/1.1）。最后你会看到安装 包已经被下载到你的本地硬盘里，一切都很完美。 但是也有可能出现另一种情况，你可能坐在电脑桌前耐心的等待下载完成。但是下载的太慢 了，你发现按照这个下载速度你可能错过午餐，甚至晚餐。那是什么问题引起的呢？也许这 并不是科来下载服务器的问题。也许你是的外网线路有问题，或者是你的内网，或者你是的 DNS 服务器，甚至可能时你的操作系统。 那到底是什么问题呢？如果你正在后台运行科来网络分析系统，那么很有可能在我敲完上面 那段话之前你已经找到答案了。数据包永远不会说谎，他们总能帮助你找到问题的关键。网 络分析是网络管理中不可或缺的工具，就好像医院急诊室的X 光机一样 网络分析给了你机会去看清网络的内在远行状况：就好像幕布被拉开，然后你看到了数据包 来往交互。你能看到DNS查询包被发出去，然后带着你想要信息的DNS应答包被发回来。你 能看到本机发起TCP连接到 的三次握手的过程。你甚至能看到你的浏览 器发出HTTP GET请求去下载文件。下载出现问题了？没有关系，动动你的手指，数据包就能 帮你找到问题所在。