網路分析(又稱網路嗅探、網路流量分析、協議分析、數據包分析、網路竊聽等)就是通過捕獲網路流量並進行深入檢查,了解網路中發生了什麼情況的過程。從定義來看,網路分析主要指在網路上,通過某台主機捕獲其他主機之間的數據包實現對網路流量的監視、分析或記錄。不過在本書中,還包含了數據包的發送技術。
網路分析器(network analyzer)通常用於通用協議數據包的解碼,並以人可讀的格式來顯示網路流量的內容。而嗅探器(sniffer)則是監視網路上所傳輸數據的一種工具。未經授權的嗅探器會對網路安全構成威脅,因為它們具有難被發現並且可插入在任何地方的特性,使其成為黑客最喜歡使用的一種工具。本書後面不會對網路分析器與嗅探器做嚴格區分,除非有特別說明。
歷史上,網路分析器曾經專註於通過昂貴的、並難以使用的硬體設備來實現。而新出現的先進技術使得基於軟體的網路分析器的開發成為可行方案,其為有效進行網路分析提供了一種更為便捷與廉價的工具,同時具備很強的網路分析能力。
一個網路分析器由硬體與軟體兩部分共同組成。它可以是一個帶有特定軟體的單獨硬體設備,也可以是直接安裝在台式電腦或筆記本電腦上的一個軟體。儘管每種產品之間具有差別,但基本都是由下列五個基本部分組成的。
❑硬體:多數網路分析器是基於軟體的,並工作於標準的操作系統與網卡之上。
不過有一些硬體網路分析器會提供額外的功能,諸如硬體故障分析(比如循環冗餘糾錯(CRC)錯誤、電壓問題、網線問題、抖動(jitter)、逾限(jabber)、協商錯誤等)。除了部分網路分析器僅支持乙太網或無線網適配器以外,其他的均可支持多重適配器,並允許用戶定製它們的配置。依據實際使用情況來看,網路分析器可能也需要一個集線器或一個網線探針(cable tap)連接已有的網線。
❑捕獲驅動器:這是網路分析器中負責從網線上捕獲原始網路數據包的組件。它會過濾出需要捕獲的網路數據,並把所捕獲的數據保存在一個緩衝區中。這是網路分析器的核心,沒有它就無法捕獲網路數據包。
❑緩衝區:該組件用於保存所捕獲的數據,直到該緩衝區被填滿為止。不過,如果採用循環緩衝區的方式,那麼最新的數據將會替換最老的數據。
❑實時分析:該組件可對實時數據包進行分析,也就是說數據包一離開網線就可啟用此組件。部分網路分析器還用該組件監測網路性能問題,比如網路入侵檢測系統利用它尋找非法的入侵活動。
❑解碼(器):該組件用於顯示網路數據包的內容。它以更便於人們理解的方式來描述數據包,是可讀的。解碼特定於每個協議,因此網路分析器當前支持的可解碼的協議數是變化的,網路分析器可能需要經常加入新的解碼協議。
另外,典型的網路分析器通常會採用如下格式來顯示所捕獲網路流量的信息。
❑概要:該窗格顯示所捕獲內容的概要信息,包含時間、源地址、目標地址、最高層協議的名稱、信息等內容。
❑詳情:該窗格提供捕獲數據包所包含的每層內容的細節信息(採用樹形結構)
❑數據:該窗格用十六進位與文本格式顯示捕獲數據包的原始數據。
圖1-1所示為Wireshark網路分析器的主窗口。
[圖片]圖 1-1 Wireshark網路分析器的主窗口
各種網路分析器之間的主要差別在於所支持的解碼的協議數量、用戶介面、圖形化與統計能力等的不同。其他的差別則包括推理能力(比如專家分析特性)與數據包解碼的質量等的不同。儘管不同的網路分析器可能會針對同一個協議進行解碼,
據包解碼的質量等的不同。儘管不同的網路分析器可能會針對同一個協議進行解碼,但實際工作質量可能並不相同。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/290548.html
微信掃一掃 
支付寶掃一掃 