CSNA网络分析论坛
网络分析技术
学习交流平台
科来网络全流量安全分析系统 下载网络分析软件↓
下载网络分析教程↓
下载高清网络协议图↓

返回列表 回复 发帖

新手专区之如何

主要为以后引用,一般情况不要跟贴。

[ 本帖最后由 oldjiang 于 2008-9-22 23:30 编辑 ]
凡事宜早不宜迟

如何根据端口找到相应的进程

1、在会话视图,找到本地端口,比如tcp1044

2、开始-运行-CMD,输入netstat -nao -p tcp命令,如果是udp协议,则为netstat -nao -p udp,可见1044端口对应的PID是3064

3、打开windows任务管理器,根据PID找到进程是msn

如果没有pid列,则在查看-选择列,打勾pid
原帖由 xmubbs 于 2008-11-12 23:40 发表
netstat找到了PID号,可是进程里却没有相对应的PID,怎么继续
点PID列可以排序,如果还是没有找到,可能进程结束了。如果不是持续发包而是包的数量很少,这个方法不灵。

[ 本帖最后由 oldjiang 于 2008-11-13 08:32 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

如何验证部署是否正确

1、方法1:工程设置-网络适配器-测试
测试持续一分钟,如果结果是

或者

则可能没有正确部署

2、方法2:看数据包的单播矩阵

如果没有交叉,则没有正确部署

如果只有少数的一两条交叉一般也不能算,因为那可能是交换机flood来的单播包。
到目前为止见过的最漂亮的矩阵


3、如何部署,参考:
http://www.csna.cn/viewthread.php?tid=355  网络协议分析软件安装部署简介
这个帖子的第一个图

在这个拓扑中,路由器是网络的出口,所有进出外网的包都经过路由器
HUB上接路由器,下接交换机,交换机再下接交换机、服务器和PC,所有进出外网的包也都经过HUB
而HUB是物理层设备(见http://www.csna.cn/viewthread.php?tid=9417&page=1#pid56312),所有进出外网的包都会被那个笔记本俘获
HUB的缺点是难找、影响性能,他是10M半双工的,一个冲突域
这个帖子的第二个图

端口镜像,简单的说,就是所有流经源端口的包,都被转发到目标端口,目标端口上接的是分析软件比如科来、sniffer等。
当网络出现故障的时候,比如慢、丢包、掉线,抓到尽可能多的机器的包,才能更好的分析原因,分析才是有意义的,所以镜像的源端口一般是网络的出口。
有些协议是基于广播的比如ARP,抓ARP扫描、环路等就可以不做端口镜像。
最常用的部署方法是在交换机或路由器上做端口镜像

http://www.csna.cn/viewthread.php?tid=370  交换机端口镜像方法专帖
http://www.csna.cn/viewthread.php?tid=9703 交换机端口镜像资料收集整理
http://www.csna.cn/viewthread.php?tid=10444 网络分析系统安装部署介绍
http://www.csna.cn/viewthread.php?tid=7807 到底要怎么做好产品部署
http://www.csna.cn/viewthread.php?tid=12147 如何正确部署网络分析软件?
在代理服务器上部署,参考kodin的帖子http://www.csna.cn/viewthread.php?tid=9406

4、如何抓包,参考论坛精华帖:
http://www.csna.cn/viewthread.php?tid=7556
http://www.csna.cn/viewthread.php?tid=7562
http://www.csna.cn/viewthread.php?tid=7594
http://www.csna.cn/viewthread.php?tid=11632 下载软件(6.9版)
http://www.colasoft.com.cn/registration/ 申请授权
一般抓包时间3-5分钟即可

5、镜像抓包后经常要分析流量,参考:
http://www.csna.cn/viewthread.php?tid=8854 网络速度慢的原因查找—语音视频教程
http://www.csna.cn/viewthread.php?tid=7974 网络异常流量分析—语音视频教程连载一

[ 本帖最后由 oldjiang 于 2009-2-17 16:08 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

如何发图文相间的帖子

首先浏览附件

然后把光标定位在要插入附件的位置

接着点插入

图文并茂就出来了
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

关于ARP

过滤器
工程设置-过滤器-添加-从过滤器表

选择第一个


ARP攻击与防护完全手册 http://www.csna.cn/viewthread.php?tid=1311
视频教程:如何查找ARP攻击 http://www.csna.cn/viewthread.php?tid=5334
科来网络分析系统ARP攻击解决方案 http://www.csna.cn/viewthread.php?tid=4416
在论坛按标题搜索"ARP",有大量的帖子。

ARP请求是广播包,所以抓ARP扫描不需要做镜像

[ 本帖最后由 oldjiang 于 2009-2-17 20:42 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

技术交流版的缓存

技术交流版有16MB缓存的限制,一个超出缓存的工程文件,必定有部分数据包被冲掉,不利于分析。如何判断是否超出了呢?
1、首先看工程状态栏,红色且逼近16M的则多数都超出了

2、定位顶级节点(向上为灰色)

如果第一个数据包的编号不是1,则超出了

3、超出的,部分协议或节点无相应的数据包

4、避免超出的方法


这个限制还是有他的道理的,如果缓存是100MB,那上传就有50个附件,没人看了
其实超了也不要紧

[ 本帖最后由 oldjiang 于 2008-11-3 13:16 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

使用数据包视图的解码列

1、最初的解码列是空的

2、点显示数据包解码

3、在数据包解码的IP层点标志字段

4、解码列就显示ip标志

同理可以显示其他字段,比如常用的TTL、序列号、确认号等
5、常用的标志还有:
DNS标志,匹配一对请求和应答

ICMP序列号,匹配一对请求和应答
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

如何导入过滤器

1、工程设置-过滤器

2、导入

3、导入后的结果

4、双点过滤器可以看到成员(自己起的名称)

5、双点成员可以看到细节
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

用snmp graph观察流量和利用率

snmp graph是solarwinds的一个组件,简单易用
1、开始--程序--SolarWinds 2002 CATV Engineers Edition--Performance Monitoring--SNMP Real-Time Graph
2、点添加MIB

3、输入两个参数,选择指标

4、点OK按钮,选择接口

5、重复2-4步,选择其他指标。可以同时监控多个指标,常用的指标有三个:
RFC1213-MIB:ifInOctets 进入端口的流量(主机到端口)
RFC1213-MIB:ifOutOctets 出端口的流量(端口到主机)
OLD-CISCO-CPU-MIB:avgBusy5 五分钟平均利用率
6、运行的样子

7、保存,以后可以直接运行

8、参考http://www.net130.com/CMS/Pub/soft/soft_net/2005_06_22_29408.htm
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

如何分卷压缩上传工程文件

第一步

第二步,选择1.44M分卷大小

此图由ansenhyc网友提供

可以一次回帖,多个附件:
1、点浏览

2、可以点多次,每次添加一个附件

3、最后点发表回复


参考http://www.csna.cn/viewthread.php?tid=11391&page=1#pid65697的附件,如:


[ 本帖最后由 oldjiang 于 2009-3-2 10:15 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

关于HUB

Hubs at the Physical Layer
A hub is really a multiple-port repeater. A repeater receives a digital signal and reamplifies or
regenerates that signal, and then forwards the digital signal out all active ports without looking at
any data. An active hub does the same thing. Any digital signal received from a segment on a hub
port is regenerated or reamplified and transmitted out all ports on the hub. This means all devices
plugged into a hub are in the same collision domain as well as in the same broadcast domain.
Switches and Bridges at the Data Link Layer

层次不一样
凡事宜早不宜迟

经典入门书籍和学习工具

用packet tracer 学习CCNA STUDY GUIDE
packet tracer 5.0 http://www.csna.cn/viewthread.php?tid=10284

老外的书写的非常好(尤其是过一段时间你读第二遍的时候),讲的很清楚,结合试验,事半功倍

http://www.net130.com/CMS/Pub/bo ... 005_06_03_71373.htm
Sybex CCNA Cisco Certified Network Associate Study Guide Fourth Edition(2004)

http://www.net130.com/CMS/Pub/bo ... 005_11_26_29086.htm
Sybex CCNP Complete Study Guide(2005)

http://www.net130.com/CMS/Pub/bo ... 2005_10_07_8958.htm
CCIE Professional Development Routing TCP IP Volume 1 2nd Edition(2005)

http://www.net130.com/CMS/Pub/bo ... 005_06_03_94704.htm
CCIE Professional Development-Routing TCP IP Volume II(2001)

例子:
http://www.csna.cn/viewthread.php?tid=10216 用packet tracer 学习CCNA STUDY GUIDE 总结
http://www.csna.cn/viewthread.php?tid=10113 The IP Routing Process
http://www.csna.cn/viewthread.php?tid=10318&page=1#pid58168 The Life of a Packet
http://www.csna.cn/viewthread.php?tid=10247 Packet Tracer系列文章之一:距离-向量路由协议的一些特征
http://www.csna.cn/viewthread.php?tid=10304 Packet Tracer系列文章之二:OSPF的收敛过程
http://www.csna.cn/viewthread.php?tid=10405 Packet Tracer系列文章之三:NAT
http://www.csna.cn/viewthread.php?tid=10628 Packet Tracer系列文章之四:EIGRP
http://www.csna.cn/viewthread.php?tid=11215 Packet Tracer系列文章之五:用GNS3_Dynamips_科来抓OSPF数据包
http://www.csna.cn/viewthread.php?tid=11267 Packet Tracer系列文章之六:OSPF的DR和BDR
http://www.csna.cn/viewthread.php?tid=11575 Packet Tracer系列文章之七:VLAN, Trunk, and VTP
http://www.csna.cn/viewthread.php?tid=11629 Packet Tracer系列文章之八:Layer 2 Switching and the Spanning Tree Protocol
http://www.csna.cn/viewthread.php?tid=12345 PAgP数据包

[ 本帖最后由 oldjiang 于 2008-12-18 21:31 编辑 ]
凡事宜早不宜迟

如何导出、导入数据包并应用过滤器

1、工具栏点向上按钮直到灰色,节点浏览器在最高层

2、文件-导出

3、文件-新建,开一个新的工程
4、文件-导入
第一步是打开刚才导出的文件

第二步是选择范围,一般不管

第三步是过滤器,这是关键所在

点添加-新过滤器

一般我喜欢用高级过滤器
例1,这个工程中我只想要172.29.132.172的包:

例2,数据包值过滤器,我要大于1518字节的包:

例3,内网访问外网的包:

做好的过滤器

如果正好相反,要非这个条件的包,就点一下“非”
5、完成
6、单向流量过滤器
从外网到内网的包,其源mac地址是网关mac
从内网到外网的包,其目标mac地址是网关mac
从外网进入的流量,mac是网关,注意方向

到外网去的流量

说一下过滤器的根据:
wan0从外网收到一个包
ip层提取出packet
ip查找路由表,找到exit interface比如lan0
packet被switch给lan0
根据介质类型重新封装为frame,此处是以太网,用mac
lan0根据目标ip地址解析目标mac地址(arp),源mac就是lan0自己了
以前知道用这个过滤器,但读书之后才知道背后的根据是什么,所以学习理论还是大有好处的。

[ 本帖最后由 oldjiang 于 2008-10-24 09:17 编辑 ]
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟

科来打开ethereal或wireshark抓的包

1、在wireshark另存为

2、得到文件

3、在科来,打开,手工输入文件名
附件: 您所在的用户组无法下载或查看附件
凡事宜早不宜迟
版主,用WS的,哈哈哈哈哈
支持 一下  挺好的教材
顶一下,   不错的学习资料!!!
dingdingdingdingding
很适合入门的
学些一下
啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊
就该顶一下
谢谢楼主。
都是高手顶下
很适合入门的
过来学习下
正想学习这个的呢
返回列表