前言
通常这些数据包会由发出或者接受的软件自行处理,普通用户并不过问,这些数据包一般也不会一直保存在用户的计算机上。抓包工具可以帮助我们将这些数据包保存下来,如果这些数据包是以明文形式进行传送或者我们能够知道其加密方法,那么我们就可以分析出这些数据包的内容以及它们的用途。目前抓包工具更多的用于网络安全,比如查找感染病毒的计算机。有时也用于获取网页的源代码,以及了解攻击者所用方法、追查攻击者的ip地址等。例如单机的网络爬虫程序抓取数据速度太慢,而大多数成熟的开源网络爬虫框架都未实现分布式化;互联网中的网页结构各不相同,单一的网络爬虫程序无法匹配所有类型的网页等等。
应用背景
移动分组网维护中常见的客户应用故障分为两大类:移动信令故障、数传及应用层故障对于移动信令部分出现的问题,无论是会话管理(SM)还是移动性管理(MM)流程异常,利用核心同GSN或无线RNC设备的维护台通过信令跟踪可很容易得到定位但对于那些移动信令交互正常。如终端可以正常完成附着澈活流程却仍然无法访问业务的故障。依靠移动分组}殳备的信令2B踪工其进行排查则会变得相当麻烦终端在完成PDP激活后的数据传输出现问题时。只有对数传的IP报文、IP通信的变换过程甚至IP:IE文的L7层数据做深人解析后才能最终定位问题而这正是传统固嘲数通故障排查中常用的抓包工具软件所独有的优势。
移动分组业务在终端完成对网络的附着、PDP澈活流程后。后续的业务访问流程与传统的数据通信过程基本相同。只是在SGSN与GGSN间传递的报文需要进行GTP的封装,在GTP隧道内完成传输。
功能
抓包工具常用数通分析功能有:
1、TCP/UDP/ICMP等报文交互过程分析
这是抓包工具最基本的功能,此处不再详述。
2、数据包传输时延分析
抓包工具支持记录每一抓取报文的时间点,还支持用任一报文与前一报文的时间差来作为记录报文抓取的时间点。据此可以实现对特定时间点报文的分析和对节点转发报文时延的计算。
3、L3-L7层IP数据报文分析
实现对IP报文的L3层IP地址头、L4层TCP/UDP头直到7层的内部信息的直观分析。
4、数传丢包分析
通过比对某节点进出两侧的抓包的IP报文中经节点转发后保持不变的identification字段,或者利用TCP通信的SEQ及ACK序列号分析节点或链路丢包情况,可分析判断转发报文的设备(路由器、交换机、SGSN、GGSN)是否发生了故障或出现了报文转发瓶颈。
获取
移动分组网中抓包文件的常用获取方法有如下几种:
1、转换工具:
利用厂家提供的转换工具对移动分组设备(GSN)的维护台跟踪得到的信令文件实施转换,得到抓包文件。目前移动分组网设备厂家基本都提供了类似的工具软件,其中华为公司提供的转包工具还支持对某台设备上跟踪到的信令文件分in方向(Gn接口-GGSN)和out方向(GGSN->Gi接口)分别提取转换,此功能极大地方便了对GSN设备丢包问题的分析。
2、端口镜像:
如分组设备厂家未提供转换工具,则必须自行在分组设备接入的数通设备上采用端口镜像的方式进行抓包获取。端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。在使用抓包终端抓包时,需要将安装有抓包软件的主机的抓包网卡连接到监控端口,来捕获流经被监控端口的I数据包。交换机端口镜像的配置方法随不同厂商、不同型号的交换机而有所区别,具体方法请查阅具体设备的指导手册。
应用条件
在实际故障排查中,并非任何故障定位都需要开启抓包工具进行分析。启用抓包分析手段的前提是:利用信令跟踪排除了移动分组信令接续异常(无法附着、无法激活等MM及SM流程异常)导致的故障,即终端成功激活并获取到了GGSN分配的IP地址但访问业务失败,需要进一步对数传过程及IP报文做深入分析才能定位故障。当然在利用抓包工具分析过程中,仍然需要考虑具体的通信过程是否与移动分组的信令接续有相关性,两者结合全面分析才能得出正确的结果。
使用方法
下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。
1、安装抓包工具。
目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难,Sniffer,wireshark,WinNetCap.WinSock Expert都是当前流行的抓包工具,我使用了一种叫做SpyNet3.12的抓包工具,非常小巧,运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。
2、配置网络路由。
你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
3、开始抓包。
抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet点击Capture你会看到好多的数据显示出来,这些就是被捕获的数据包。
被捕获的数据包的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。
4、找出染毒主机。
从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。
