網絡分析(又稱網絡嗅探、網絡流量分析、協議分析、數據包分析、網絡竊聽等)就是通過捕獲網絡流量並進行深入檢查,了解網絡中發生了什麼情況的過程。從定義來看,網絡分析主要指在網絡上,通過某台主機捕獲其他主機之間的數據包實現對網絡流量的監視、分析或記錄。不過在本書中,還包含了數據包的發送技術。
網絡分析器(network analyzer)通常用於通用協議數據包的解碼,並以人可讀的格式來顯示網絡流量的內容。而嗅探器(sniffer)則是監視網絡上所傳輸數據的一種工具。未經授權的嗅探器會對網絡安全構成威脅,因為它們具有難被發現並且可插入在任何地方的特性,使其成為黑客最喜歡使用的一種工具。本書後面不會對網絡分析器與嗅探器做嚴格區分,除非有特別說明。
歷史上,網絡分析器曾經專註於通過昂貴的、並難以使用的硬件設備來實現。而新出現的先進技術使得基於軟件的網絡分析器的開發成為可行方案,其為有效進行網絡分析提供了一種更為便捷與廉價的工具,同時具備很強的網絡分析能力。
一個網絡分析器由硬件與軟件兩部分共同組成。它可以是一個帶有特定軟件的單獨硬件設備,也可以是直接安裝在台式電腦或筆記本電腦上的一個軟件。儘管每種產品之間具有差別,但基本都是由下列五個基本部分組成的。
❑硬件:多數網絡分析器是基於軟件的,並工作於標準的操作系統與網卡之上。
不過有一些硬件網絡分析器會提供額外的功能,諸如硬件故障分析(比如循環冗餘糾錯(CRC)錯誤、電壓問題、網線問題、抖動(jitter)、逾限(jabber)、協商錯誤等)。除了部分網絡分析器僅支持以太網或無線網適配器以外,其他的均可支持多重適配器,並允許用戶定製它們的配置。依據實際使用情況來看,網絡分析器可能也需要一個集線器或一個網線探針(cable tap)連接已有的網線。
❑捕獲驅動器:這是網絡分析器中負責從網線上捕獲原始網絡數據包的組件。它會過濾出需要捕獲的網絡數據,並把所捕獲的數據保存在一個緩衝區中。這是網絡分析器的核心,沒有它就無法捕獲網絡數據包。
❑緩衝區:該組件用於保存所捕獲的數據,直到該緩衝區被填滿為止。不過,如果採用循環緩衝區的方式,那麼最新的數據將會替換最老的數據。
❑實時分析:該組件可對實時數據包進行分析,也就是說數據包一離開網線就可啟用此組件。部分網絡分析器還用該組件監測網絡性能問題,比如網絡入侵檢測系統利用它尋找非法的入侵活動。
❑解碼(器):該組件用於顯示網絡數據包的內容。它以更便於人們理解的方式來描述數據包,是可讀的。解碼特定於每個協議,因此網絡分析器當前支持的可解碼的協議數是變化的,網絡分析器可能需要經常加入新的解碼協議。
另外,典型的網絡分析器通常會採用如下格式來顯示所捕獲網絡流量的信息。
❑概要:該窗格顯示所捕獲內容的概要信息,包含時間、源地址、目標地址、最高層協議的名稱、信息等內容。
❑詳情:該窗格提供捕獲數據包所包含的每層內容的細節信息(採用樹形結構)
❑數據:該窗格用十六進制與文本格式顯示捕獲數據包的原始數據。
圖1-1所示為Wireshark網絡分析器的主窗口。
[圖片]圖 1-1 Wireshark網絡分析器的主窗口
各種網絡分析器之間的主要差別在於所支持的解碼的協議數量、用戶接口、圖形化與統計能力等的不同。其他的差別則包括推理能力(比如專家分析特性)與數據包解碼的質量等的不同。儘管不同的網絡分析器可能會針對同一個協議進行解碼,
據包解碼的質量等的不同。儘管不同的網絡分析器可能會針對同一個協議進行解碼,但實際工作質量可能並不相同。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/290548.html
微信掃一掃 
支付寶掃一掃 