基於Web方式的數據包捕獲實踐

基於Web方式的數據包捕獲實踐

實驗環境：下文基於 OSSIM 4.15.2 平臺得出實驗結論。

     抓包是運維的必備技能，不少網絡故障須要靠抓包來解決,如常見的ARP欺騙和廣播風暴。另外還有一些網線或光纖接觸很差的故障，不抓包也很難分析出來，例如兩個公司之間互聯，網線測試都沒問題，但始終不通。通過抓包分析代表，發現其餘單位的ping請求都伴隨着ARP查詢，而不走路由，這時懷疑有可能掩碼設置錯誤的問題，經仔細排查，確實是路由器上的掩碼出現失誤。抓包工具備很多但選擇一款適合你的工具很是重要。

     本文主要爲你們介紹OSSIM環境中，故障排除利器—基於Web的數據包分析工具，它是Wireshark的另外一種表現形式，這和CloudSharkAppliance(cloudshark.org)的表現手法很是相似。以下圖所示。

從功能上看這種基於Web的抓包分析工具是Wireshark的精簡版。它的優點在於遠程客戶端，經過Web界面就能夠實如今服務器端抓包，還可以抓到不一樣傳感器（能收集不一樣網段的信息）所檢測的數據包異常。在閱讀本章時，須要讀者具有網絡嗅探與數據報分析的基礎知識，具備必定Wireshark抓包經歷。

過去，分析網絡故障常在一個系統中用tcpdump抓包，將包保存起來，再導入Wireshark在進行分析。不過如今使用OSSIM WebUI下的Traffic Capture沒必要這麼麻煩，操做方法爲Environment→Traffic Capture

選擇傳感器抓包

注意，在設置（settings）選項下方，源地址和目標地址均爲可選項。其使用方法較簡單，輸入源地址和目標地址，而後點擊捕捉按鈕便可。

但應用該工具以前，操做人員對TCP、UDP、IP及ICMP協議及HTTP、DHCP、DNS、FTP等常見應用層協議需熟悉，包括TCP以及UDP流量格式，下面分別介紹:

 

 詳細內容請參考《開源安全運維平臺OSSIM最佳實踐》一書，噹噹網 自營店 6 折 銷售 http://product.dangdang.com/23903741.html