o(∩_∩)o 哈哈
很多网络管理员在初次使用数据包分析工具的时候,都会很困惑:面对海量的数据包,我该从何下手去查找问题。虽然,我们进行的是“抓包(packet)”,但如果直接面对数据包,工作量将非常复杂、庞大。如果我们从“数据流(flow)”的角度出发,将繁杂的数据包归入对应的TCP数据会话流中,就能化繁为简,从TCP会话流中分析通信双方每个数据包之间的上下关联性,对比同一个TCP数据流在不同节点的时延、丢包、重置和应用层代码等信息,快速的定位问题。
因此,我们对数据包分析工具的要求不仅仅是简单的抓包、解码,没对应用流程复杂的网络分析更需要一系列的技术要求:
 “数据流(FLOW)”的识别:通过源目标IP地址、源目标TCP/UDP端口号和协议的五元组信息识别属于同一对TCP会话的数据包;
 “数据流”重组:根据每个数据包的五元组信息和TCP序列号,将同一个TCP通信对的数据包用会话时序图的方式重组;
 关键指标记录:在时序图中标识出每个数据包之间的时延、丢包、重传、ACK重复和重置等TCP交互的关键指标,定位是哪个方向的网络或应用问题;
 应用层语句识别:识别通用的TCP/UPD应用层信息(如web、DNS、邮件和数据库等应用),从而定位到响应时延大、响应失败的应用层语句。
|
发表于 2014-7-25 21:04:41
