文/張智偉

在龐大的互聯(lián)世界里，承載著各種信息的數(shù)據(jù)包通過網(wǎng)絡(luò)時刻不停地交換傳遞，往來于不同的目的地，數(shù)據(jù)包被不同的人賦予了不同的用處，有的傳送數(shù)據(jù)，有的暗藏危險，不明身份的數(shù)據(jù)包到處游蕩給網(wǎng)絡(luò)安全帶來了隱患。為了能夠清晰地了解網(wǎng)絡(luò)中數(shù)據(jù)包攜帶的信息，我們需要運用數(shù)據(jù)包分析技術(shù)對它們進行解讀，以分析網(wǎng)絡(luò)中的細微變化，提前做好安全防范，及時定位、清理網(wǎng)絡(luò)中的風(fēng)險。

為了能夠掌握網(wǎng)絡(luò)數(shù)據(jù)包的真實狀況，網(wǎng)絡(luò)管理工作通常會借助數(shù)據(jù)包分析工具抓取信息后生成的大量數(shù)據(jù)統(tǒng)計信息，對網(wǎng)絡(luò)上的通信設(shè)備及傳輸進行有效的還原，及時清理影響安全運行的故障或隱患。

目前，市面上有很多流行的數(shù)據(jù)包分析工具，如OminiPeek、Sniffer Pro、Wireshark、Tcpdump/windump、國產(chǎn)科來等，功能上略有差異，這些軟件有商業(yè)的、有免費的，可按個人喜好選擇使用。

1.數(shù)據(jù)包分析工具簡介

1.1 原理

數(shù)據(jù)包分析工具的本質(zhì)是數(shù)據(jù)包嗅探，是觀察正在運行的協(xié)議實體間交換報文的基本工具，通常用來進行協(xié)議分析和網(wǎng)絡(luò)監(jiān)控，以便進行故障診斷、性能分析和安全分析等，黑客則用它進行安全敏感信息的監(jiān)聽和截取。

數(shù)據(jù)包分析工具主要由分組捕獲器（packet capture）和分組分析器（packet analyzer）兩部分組成。

分組捕獲器需要把網(wǎng)卡設(shè)置為“混雜模式（promiscuous mode）”，當(dāng)數(shù)據(jù)包從嗅探器所連接的網(wǎng)卡上進入系統(tǒng)時，嗅探程序可以收到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息，包括所有的廣播、組播和單播數(shù)據(jù)包，甚至錯誤數(shù)據(jù)包，從而實現(xiàn)數(shù)據(jù)包捕獲。

分組分析器的作用是分析協(xié)議報文并把報文中所有的字段內(nèi)容直觀地顯示出來。其主要構(gòu)成通常包括包過濾器、數(shù)據(jù)包緩沖區(qū)和解碼部分，包過濾器用于設(shè)定協(xié)議分析器想要捕獲的數(shù)據(jù)包類型，通常都可以按照協(xié)議類型、通信的IP地址、網(wǎng)絡(luò)接口層地址和應(yīng)用程序來設(shè)定過濾條件；解碼部分主要是將緩沖區(qū)中已經(jīng)捕獲的數(shù)據(jù)包解析為用戶可讀的協(xié)議數(shù)據(jù)單元格式，以便用戶分析。

絕大多數(shù)數(shù)據(jù)包分析工具都提供了一定的數(shù)據(jù)包統(tǒng)計功能，可以對各種類型的數(shù)據(jù)包進行整理統(tǒng)計，包括各種類型的錯誤數(shù)據(jù)包。

1.2 主要用途

數(shù)據(jù)包分析工具在網(wǎng)絡(luò)管理中通常用于診斷網(wǎng)絡(luò)活動出現(xiàn)的故障，還可以用于搜集網(wǎng)絡(luò)性能的趨勢，從而為預(yù)防出現(xiàn)影響網(wǎng)絡(luò)正常工作或性能的極端情況提供參考，多數(shù)數(shù)據(jù)分析包工具都有能力跟蹤網(wǎng)絡(luò)流量的短期和長期趨勢，包括網(wǎng)絡(luò)利用率、每秒鐘數(shù)據(jù)包速率、數(shù)據(jù)包長度分布及使用的協(xié)議等，網(wǎng)絡(luò)管理員能夠利用這些信息跟蹤網(wǎng)絡(luò)發(fā)生的細微變化，為網(wǎng)絡(luò)管理提供極大的幫助。

1.3 部署方式

常見的數(shù)據(jù)包分析工具部署方式有3種：

（1）直接在被監(jiān)控的主機上安裝，用來捕獲通過網(wǎng)卡進出的所有數(shù)據(jù)包。

（2）端口鏡像。將交換機上的多個端口鏡像到一個端口用于監(jiān)控。

采用端口鏡像方式時，需要注意鏡像端口的流量負載，把太多的端口鏡像到一個端口，在網(wǎng)絡(luò)流量達到一定級別后，可能會遠遠超出鏡像端口的物理承受能力而出現(xiàn)數(shù)據(jù)包丟失情況，而且交換機在長時間維持最大負荷時，可能會將鏡像端口判斷為遭到某類型的拒絕服務(wù)或廣播風(fēng)暴攻擊，丟棄多余的數(shù)據(jù)包，甚至?xí)和?nèi)部交換電路。在高吞吐量級別的環(huán)境下，端口鏡像可能會產(chǎn)生不穩(wěn)定的結(jié)果。

（3）使用網(wǎng)絡(luò)分路器（TAP）。網(wǎng)絡(luò)分路器是一個可以實時獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時串接在網(wǎng)絡(luò)鏈路中，在不影響網(wǎng)絡(luò)正常流量的情況下，將被監(jiān)測鏈路中的網(wǎng)絡(luò)數(shù)據(jù)復(fù)制到它的另外一個或多個端口上供不同的分析工具進行分析。

只有正確捕獲數(shù)據(jù)包，才能如實還原網(wǎng)絡(luò)的狀況，在部署數(shù)據(jù)包分析交換工具時還是要先了解抓包網(wǎng)絡(luò)的具體情況，仔細考慮工具的部署位置。有些特殊情況應(yīng)當(dāng)注意：在交換式網(wǎng)絡(luò)中，抓取整個VLAN數(shù)據(jù)包，須直連核心交換機，避免因特殊VLAN劃分導(dǎo)致部分主機數(shù)據(jù)包漏抓；防火墻流量監(jiān)控有所不同。監(jiān)控防火墻內(nèi)口，可以觀察到內(nèi)網(wǎng)用戶發(fā)起的所有訪問Internet的流量，其源IP地址均為內(nèi)部IP地址，監(jiān)控防火墻外口，則觀察到的是所有經(jīng)過防火墻放行的訪問Internet的流量，其源IP地址均為外部（公網(wǎng)）地址。

2.網(wǎng)絡(luò)管理應(yīng)用

通過數(shù)據(jù)包分析工具可以查看網(wǎng)絡(luò)中的通信過程及應(yīng)用占用帶寬情況，識別網(wǎng)絡(luò)運行的高峰時間，分析可能的攻擊或惡意行為，尋找不安全以及濫用網(wǎng)絡(luò)資源的應(yīng)用，是了解網(wǎng)絡(luò)狀況的最佳工具。日常網(wǎng)絡(luò)管理應(yīng)用大多基于以下幾個方面：

2.1 評估網(wǎng)絡(luò)性能

數(shù)據(jù)包分析工具內(nèi)置了多種數(shù)據(jù)統(tǒng)計信息功能，如IO、協(xié)議分層、會話等數(shù)據(jù)匯總圖表，通過這些信息展示出當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包所呈現(xiàn)的帶寬性能、用戶帶寬占用、數(shù)據(jù)包長度、端點會話情況等綜合情況，為網(wǎng)絡(luò)管理員分析、評估是否要對網(wǎng)絡(luò)進行相應(yīng)的調(diào)整提供了詳實的數(shù)據(jù)依據(jù)。

在傳輸期間發(fā)生錯誤、丟包、重傳現(xiàn)象，是網(wǎng)絡(luò)管理員在工作中需要關(guān)注的常見問題。其中，遇到最多的是TCP重傳，這種情況下，可記下報錯IP地址，然后直接在瀏覽器訪問，能訪問的可根據(jù)網(wǎng)頁信息判斷與網(wǎng)絡(luò)內(nèi)的終端是否有應(yīng)用關(guān)聯(lián)；無法訪問的可以到域名查詢網(wǎng)站（如whois.com）了解該IP的注冊信息，再做進一步處理。

實際工作中，也經(jīng)常遇到與應(yīng)用層軟件有關(guān)的情況，例如，一種是終端用戶使用了一些部分功能可在國內(nèi)使用的境外軟件，運行中后臺自動訪問不能在國內(nèi)訪問的境外官網(wǎng)，導(dǎo)致無法連接出現(xiàn)錯誤數(shù)據(jù)包。最典型的是谷歌，其Chrome瀏覽器市場占有率較大，內(nèi)置的某些模塊經(jīng)常會后臺訪問官網(wǎng)，運行netstat可以看到，前述方法查證的谷歌所屬IP的TCP連接狀態(tài)顯示為SYN_SENT，沒有收到應(yīng)答。一般情況下，TCP三次SYN同步請求而沒有任何回復(fù)，可能是服務(wù)器端的問題，也有可能是防火墻攔截了特定端口上的請求，大量訪問谷歌地址產(chǎn)生的錯誤TCP數(shù)據(jù)包就應(yīng)該屬于這種情況。

又如，越來越多的殺毒、文字處理等各種應(yīng)用軟件廠家懷著不同的目的，以為用戶提供各種服務(wù)為由，常駐電腦啟動項或服務(wù)項，經(jīng)常自動在后臺連接其官網(wǎng)檢查更新或同步數(shù)據(jù)。通過直接訪問或whois查詢的方式，確認其公網(wǎng)IP地址后，抓取客戶端和服務(wù)器會話的數(shù)據(jù)包查看，雙方第一次握手的TCP SYN同步請求都很快連接，但服務(wù)器回應(yīng)客戶端較慢，導(dǎo)致傳輸時發(fā)生TCP重傳，推測為由于辦公類軟件互聯(lián)網(wǎng)用戶數(shù)量龐大，服務(wù)器連接壓力較大。為了進一步確認發(fā)生TCP重傳的IP地址所關(guān)聯(lián)的應(yīng)用層程序，運行netstat -ano查詢該IP地址使用的PID，使用進程查看工具強行關(guān)閉PID后，再次抓包，該地址不再出現(xiàn)在TCP重傳統(tǒng)計里，由此可驗證，應(yīng)用層軟件與IP地址的關(guān)系判斷正確與否。

網(wǎng)絡(luò)的性能受多種因素影響，不可能始終保持最佳狀態(tài)，有賴于TCP的錯誤恢復(fù)特性，量級較小的延時、較少的TCP重復(fù)確認和重傳等數(shù)據(jù)包錯誤，不需要做什么特別處理。

2.2 快速定位故障

曾經(jīng)有用戶反映在單位內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)，在抓包中發(fā)現(xiàn)網(wǎng)絡(luò)中有單位內(nèi)網(wǎng)地址主機的數(shù)據(jù)包，雖然內(nèi)網(wǎng)規(guī)模較小，沒有做VLAN劃分等區(qū)分措施，但是各個內(nèi)網(wǎng)主機分布在辦公樓的各樓層，只能在機房匯聚交換機上一層一層拔除各樓層上連到交換機端口的網(wǎng)線，逐步縮小范圍，確認混插位置。事后得知，該部門某人因無法上網(wǎng)，查看線路時看到部門的8口小交換機旁有網(wǎng)線，以為是從交換機上脫落，隨手將網(wǎng)線插入了內(nèi)網(wǎng)用的交換機，而這根網(wǎng)線實際上是從外網(wǎng)交換機上來的。

2.3 排查網(wǎng)絡(luò)威脅

作為網(wǎng)絡(luò)管理員，要時刻留意網(wǎng)絡(luò)中可能出現(xiàn)的安全威脅，不定期觀察網(wǎng)絡(luò)數(shù)據(jù)包情況以及數(shù)據(jù)包分析工具內(nèi)置的協(xié)議、會話、端點等統(tǒng)計信息，可清楚地觀察到數(shù)據(jù)包在網(wǎng)絡(luò)中的異動，我們可根據(jù)需要具體分析。使用統(tǒng)計信息時應(yīng)當(dāng)注意的是以下兩點：

2.3.1 關(guān)注網(wǎng)絡(luò)流量大的IP地址

有些異常的網(wǎng)絡(luò)流量可以通過每個IP地址的收發(fā)包數(shù)量是否正常來判斷，即收發(fā)之間是否存在較大差異，如發(fā)包數(shù)量遠大于收包數(shù)量。光發(fā)包不收包是種類似于廣播的應(yīng)用，如果只收不發(fā)或者只發(fā)不收，那很可能就意味著這個IP地址的當(dāng)前流量有異常（例如受到SYN攻擊），需要可以進一步通對捕獲的數(shù)據(jù)包的內(nèi)容進行分析。

2.3.2 分析大流量IP地址的數(shù)據(jù)包

查看大流量IP地址的協(xié)議使用和收發(fā)包情況，注意發(fā)包時間間隔，非常短的毫秒級間隔，異常流量包括ARP、IP或TCP掃描等，而TCP掃描行為未必只有病毒才能引發(fā)，軟件bug也可以觸發(fā)，應(yīng)當(dāng)注意區(qū)分。

由于感染病毒的主機會在網(wǎng)絡(luò)中不斷的發(fā)送數(shù)據(jù)包，使網(wǎng)絡(luò)的效率非常低，大大影響網(wǎng)絡(luò)的性能，利用數(shù)據(jù)包分析工具能非常直觀、快速地發(fā)現(xiàn)這些主機，幫助網(wǎng)絡(luò)管理人員迅速鎖定問題IP地址。

查看IP對話統(tǒng)計信息，按照發(fā)出數(shù)據(jù)包由少到多排序，當(dāng)看到一個IP地址向各個其他IP地址發(fā)送報文，就要注意繼續(xù)確認是否有主機感染了病毒。

在TCP/UDP會話統(tǒng)計中可以查看發(fā)包，一般一個主機合理的TCP連接數(shù)是10到30個左右，上百個可能是不正常的，但也有可能是該主機正在進行P2P下載，需要核實。

結(jié)語

數(shù)據(jù)包分析工具能使我們更加深入地理解網(wǎng)絡(luò)概念，清晰地了解網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議，快速地診斷網(wǎng)絡(luò)故障，迅速解決網(wǎng)絡(luò)的實際問題，在網(wǎng)絡(luò)管理和安全監(jiān)控中起到了很大作用。除此之外，數(shù)據(jù)包分析工具還可以應(yīng)用于網(wǎng)絡(luò)應(yīng)用的開發(fā)與調(diào)試，幫助開發(fā)人員分析網(wǎng)絡(luò)產(chǎn)品的數(shù)據(jù)包通信情況，以便于更好地優(yōu)化產(chǎn)品。隨著萬物互聯(lián)時代的到來，網(wǎng)絡(luò)數(shù)據(jù)包分析工具的應(yīng)用范圍必將會越來越廣闊。