利用封包探嗅器透视你的网络
2007-08-15 13:08:57 来源:WEB开发网封包探嗅器看起来只是简陋的网络专业工具,但是如果正确使用的话,封包探嗅器(也是著名的协议分析器)也可以有效解决很多网络问题。Chris Sanders是一位资深的网络管理专家,他每天都使用协议分析器——Wireshark来做网络管理工作,他管理着接近5000个用户(还有20台服务器和超过1800个工作站)。
为了从Sanders那里学习更多的经验,帮助你解决工作中的问题,SearchNetworking.com使用Email采访了Sanders,Sanders解释了封包探嗅器是如何探嗅和分析网络流量的。
为什么一个网络管理员考虑使用封包探嗅器?它在网络上主要可以探嗅到那些东西?
Sanders:我认为网络管理员在很多时间里只是为了管理的目的来收集一系列的工具软件,封包探嗅器就是这样的一个工具箱。在计算机网络上,我们经常不得不依赖一些接口找出网络中到底出现了什么问题,封包探嗅器是一个工具集,它允许你获得所有这些各种各样接口和那些来实际的显示网络通讯底层发生了什么的容易误解的错误信息。封包探嗅器也可以向你展示后台发生的各种各样的事情,包括网络设备之间未知的通讯、特定层协议提供的真实详细的错误代码,甚至设计不好的程序的不安全因素。Paul Harvey(一位电台播音员)会说,封包探嗅器是一个让你发现“故事其它部分”的依据。它也是几乎每个网络管理员的工具箱。
你什么时候选择封包探嗅器,你要查找什么东西?
Sanders: 主要有几个考虑,最大的考虑是探嗅器支持的协议,探嗅器运行的平台,软件提供的支持以及成本,然而最重要的是使用软件的舒适程度。一些封包探嗅器是完全命令行的,很多人感觉使用起来不舒服,其他人去只使用他们。一旦你抛开所有的技术因素,那么就只是一个使用起来舒服的问题了。我发现一旦使用封包分析,他们通常会花很多的时间做这个事情,我像装饰我的办公室一样喜欢思考它。如果你在一个地方呆很长的时间,你就希望那是一个你感觉舒适的地方,选择一个封包探嗅器程序也是一样。
什么是和Wireshark兼容的产品?有没有类似的开源和/或免费的工具,这些如何和Wireshark相互兼容?
Sanders:对Wireshark来说,一些其它的选择包括兼容工具,例如Etherpeek、Colasoft Capsa和Sniff'Em,也有免费产品,例如Ettercap和Tcpdump。Wireshark和这些的最大区别是它使用非常广泛,所以它提供了对于大量网络协议的支持和它有一个强大的用户支持。其他产品特别的唯一地方是它们能够生成更适合非技术用户的报告。
封包探嗅器和OSI模型怎么关联的?
Sanders: 为了真正理解当你在封包层分析事情时什么在执行,你必须深刻理解OSI模型是什么和数据如何在该模型内部移动。不理解OSI模型的基本概念就尝试探嗅封包就像不懂如何驾驶手动档车就去尝试开赛车一样。
封包探嗅是网络慢的一个原因吗?
Sanders:封包探嗅唯一可以导致网络变慢的时间是被不正确的放置在网络中。封包探嗅过程最重要的部分是把探嗅放在网络中合适的位置,这不仅可以确保你获得正确的数据,而且要绝对确保封包的检测不能影响网络的性能,我在我的书中花了整整一章来分析放置的位置。
探嗅无线和有线网络流量有那些不同?
Sanders: 无线探嗅和有线网络探嗅完全不同。你必须使用不同的分析位置策略,对特定的无线设备进行额外的考虑,例如信号强度,而且需要处理各种额外的无线管理封包。在进入无线探嗅领域以前最好立即基本的封包探嗅,我的书包含一整章专门用来介绍封包探嗅的细节。
如何防止别人使用封包探嗅器攻击网络?
Sanders: 不幸的是,黑客总是能够先行一步。如果黑客不是足够倒霉的话,没有不能攻破的网络,最后他都可能进入。网络管理员最希望做的事情就是采取措施防止这类事情的发生。这些开始和结束在安全方面:物理安全性。一个陌生人进入一个公司,在空房子中使用笔记本接入公司网络,然后开始探嗅网络机密是很令人惊异的,这里的关键是关注公司的前门,这和网络中关注防火墙是完全类似的。
更多精彩
赞助商链接