用抓包工具輕輕鬆鬆排查網絡故障

之前在工做中，有時會碰到網絡風暴或病毒致使的網絡癱瘓，這個時候，咱們一般會將全部交換機的電源所有關掉，稍候從啓交換機。 可是當交換機重啓後，咱們發現問題並無解決，由於很快網絡又癱瘓了，這時咱們考慮到應該是網絡中的某一臺交換機或某一臺電腦有問題，咱們一般會經過分段斷網的方式來解決，這樣一般通過很長時間，咱們逐個打開交換機，而且同時開啓ping命令，ping電信的測試DNS，深圳的測試DNS是202.96.134.134，咱們就用命令ping 202.96.134.134 -t來查看和電信的測試DNS是否鏈接， -t 參數的意思是不斷鏈接，否則ping命令會在鏈接四次後中止。 咱們每開一個交換機，就查看和測試DNS的邊接是否正常，一直到鏈接中斷，咱們就判斷出是哪一個交換機出了問題，這個時候，咱們再把那個交換機上的網絡所有拔掉，而後一根一根接上去，同時觀察鏈接是否正常，一直到鏈接中斷，就能夠判斷出是哪根網線有問題，再經過網線找到有問題的主機。進行查看。經過查殺病毒，通常都能解決。 但咱們看出，這個工做量是很是大的，若是交換機夠多，並且出問題的電腦不止一臺的時候，咱們要花很長時間，才能徹底將網絡問題解決。 可是咱們有一種工具，叫抓包工具，也叫網絡嗅探，sniffer pro是國外一款業界頗有名的專業嗅探軟件，國內的有科來網絡分析軟件，也比較有名。這個時候，咱們能夠經過這樣的嗅探軟件，對網絡情況進行旁路監聽，也就是監聽網絡中全部的數據包，而後對這些數據包進行分析，咱們就能夠很快找到網絡故障的緣由及故障點。 嗅探原理： 網絡中的一臺電腦，與另外一臺電腦進行通信，它會把數據包發到網絡上，這包括： 源地址：意思是這個數據是從哪臺電腦發過來的， 目標地址：這個包要發給誰。 數據包：具體發送的數據。 [其實網絡數據包的參數不少，不止這些，但咱們瞭解這些，後面的就能夠看懂了。] 這個數據包會發送到網絡中的每一臺電腦,意思就是網絡中的任何一臺電腦都會收到這個數據包，當電腦接收到數據包後，會檢查目標地址，若是發現目標地址是自已，就接收這個數據包。不然，就將這個數據包丟棄。 那若是咱們在某一臺電腦上，將網卡設置成混雜模式，那這個電腦將會接收網絡上全部的數據包，而不丟棄。 這就是嗅探的原理。 具體分析： 通常網絡故障有2方面： 一是因爲網絡是傳送大量垃圾數據包，導至網絡阻塞，如：網絡中的某臺主機中毒後，發送大量廣播包，就是目標地址爲192.168.0.255 [咱們假設網絡網段爲192.168.0.0/24]。這時咱們能夠查看抓到的數據包，看哪臺電腦發送的數據包最多，通常很容易就能找到故障源頭。 二是因爲網絡中的某臺電腦中毒後發送ARP欺騙包，那什麼又是ARP欺騙包呢？ 咱們來看看ARP的概念： 網絡中有兩種地址，一種是咱們都知道的IP地址，形式如：192.168.0.1這個你們都知道，還有一種是物理地址，形式如：00-e0-4c-8c-25-69 就是MAC地址，這是網卡在出廠的時候就被廠家設定好的，全球惟一的地址。數據在網絡中傳輸時的源地址和目的地址，都不是使用的IP地址，而是MAC地址，咱們再來看看數據是如何在網絡中傳輸的。 當一臺電腦須要發送數據給另外一臺電腦，好比192.168.0.2 MAC地址是：00-19-e0-29-7f-47要發送數據給192.168.0.3，MAC地址是00-11-5b-7e-08-ae，這個時候，192.168.0.2就會在網絡上發送一個ARP廣播，這個ARP廣播包的數據結構就是 源地址：192.168.0.2 MAC地址：00-19-e0-29-7f-47 目標地址：192.168.0.3 數據包：「誰是192.168.0.3，請返回你的MAC地址」 當192.168.0.3收到後，就會迴應一個數據包 源地址： IP地址：192.168.0.3 MAC地址：00-11-5b-7e-08-ae 數據包：「個人MAC地址是00-11-5b-7e-08-ae」 當192.168.0.2接收到這個數據包後，就會在本地緩存記下192.168.0.3的MAC地址。 咱們能夠經過ARP -a 命令看到這個緩存： C:\>arp -a Interface: 192.168.0.2 --- 0x2 Internet Address Physical Address Type 192.168.0.3 00-11-5b-7e-08-ae dynamic 這其中的Internet Address就是IP地址，Physical Address就是物地址，Type 下面是dynamic，表示是動態更新。 默認狀況下ARP緩存的超時時限是兩分鐘，也就是2分鐘之後，又會發起一次ARP詢問，而ARP欺騙正是利用這個特色。 通常ARP欺騙都是進行網關欺騙，也就是你們上網都要經過的一個節點，如通常網絡中192.168.0.1是網關地址，假設他的MAC地址是00-90-7f-2e-47-bf， 咱們看192.168.0.2如何進行ARP欺騙 首先192.168.0.2會在網絡中不斷地發送數據包，格式以下： 源地址： IP：192.168.0.2 MAC：00-19-e0-29-7f-47 目標地址：192.168.0.255 [廣播，意思是全部網絡上的電腦都能接收到] 數據包：「我是192.168.0.1，個人MAC是00-19-e0-29-7f-47」 [其實真正的192.168.0.1的MAC地址應該是00-90-7f-2e-47-bf] 網絡中全部的電腦在接收到這個ARP欺騙數據包後，就會更新本地的ARP緩存， 將192.168.0.1對應的MAC地址由正確的00-90-7f-2e-47-bf改爲192.168.0.2電腦的MAC地址：00-19-e0-29-7f-47 這樣，之後全部發往網關的數據，都會發到192.168.0.2這臺電腦上。可是發送的電腦並不知道自已發錯了。 192.168.0.2這臺電腦就能夠對捕獲的數據包進行分析，得到自已想要的數據，如賬號和密碼。這通常是一些病毒最終想要的東西。 經過上面的瞭解，咱們知道，一個電腦若是進行ARP欺騙，必然要發送大量的ARP迴應，而不是ARP詢問，咱們只要查看咱們捕獲的數據包裏，誰發送了大量的ARP迴應，就能夠很快找到這臺電腦。 經過專業網絡嗅探工具，大大方便了平常的網絡管理工做。 這樣咱們不再用一個個交換機斷電，一根根網絡去拔下來，再接上去。 網絡管理，今後變得輕鬆！