欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

wireshark过滤器使用注意事项

作者:易隐者 发布于:2013-4-26 15:23 Friday 分类:网络分析

       以前一直认为各个网络分析产品的过滤器工作机制应该都是一样的,今天在协助分析定位一个故障的时候,我使用wireshark进行分析,用HTTP作为过滤条件,想仅查看HTTP交互的报文,其过滤后显示的内容如下图所示:

点击查看原图

       单看上图的显示内容,我们很容易的认为,这就是纯粹的HTTP交互,但是未看见三次握手连接建立的过程,一开始我心里是有点疑惑,但是并未往心里去,后来在合作伙伴的提醒下,我再尝试使用TCP作为过滤条件,方才看到大量的SYN报文,如下图所示:

点击查看原图

         实在想不通,难道HTTP的三次握手过程不属于HTTP报文????不知道wireshark在这一块是如何设计和考虑的,总之个人认为这个设计不合常理。我们以后在使用wireshark过滤器的时候稍微注意一下,避免出现误解。

阅读全文>>

标签: TCP wireshark 过滤器 HTTP

评论(2) 引用(0) 浏览(9704)

常见网络分析工具特色功能简介及其在实际工作中的应用之Omnipeek

作者:易隐者 发布于:2012-7-20 21:46 Friday 分类:网络分析

1 Omnipeek简介

       Omnipeek为WildPackets公司开发出品的专业网络分析产品,在国内经过天旦网络分析专家论坛的大力技术推广和宣传,凭借产品本身不错的易用性和特色功能,加之网上随意下载的各个破解版本,使其成为一个广为人知的网络分析工具。

2 Omnipeek相关资源

        Omnipeek厂商主页:
        http://www.wildpackets.com/
        网络分析专家论坛上的Omnipeek专题:
        http://www.netexpert.cn/forum.php?mod=forumdisplay&fid=28
        Omnipeek demo版本下载链接:
        http://www.wildpackets.com/mypeek_registration/demo-ope

阅读全文>>

标签: 过滤器 omnipeek Adpex 插件 plug-in

评论(0) 引用(0) 浏览(42685)

故障现场捕包时过滤器的使用注意事项

作者:易隐者 发布于:2012-7-6 9:33 Friday 分类:网络分析

      在大流量的数据报文环境下分析某具体主机或应用交互的数据报文时,我们常常会用到过滤器功能过滤掉我们不关注的数据报文,但是,由于实际环境的多样性和复杂性以及过滤器表达的歧义性,有时过滤器会把跟应用或故障密切相关的一些数据报文过滤掉,从而让我们在故障分析的过程中陷入困境走入歧途。

       因此,我们在故障现场捕获故障时的交互数据报文时,最好不要使用过滤器。如此方可保证捕获到的数据报文是原原本本的故障现场报文。在《我的CSNA认证专家文档-某地税网上申报业务系统故障分析报告》案例中,如果我们使用IP地址过滤器,将无法看到地址冲突的设备响应前置机ARP请求的报文。这会导致我们认为是网闸系统无故RESET连接导致故障的出现而忽略了真正的故障原因。

阅读全文>>

标签: 过滤器

评论(0) 引用(0) 浏览(4110)

Juniper 交换机端口镜像设置

作者:易隐者 发布于:2012-5-12 17:25 Saturday 分类:参考资料

Juniper M 系列和 T 系列

     特点: 
                ●每交换机只能有一个监听端口
                ●只能镜像 IPv4 的流量
                ●只能镜像发送(transit only)的流量,不能镜像接收的流量

Juniper M 系列和 T 系列端口镜像配置方法

       usen@router# show forwarding-options port-    mirroring { input {family inet; rate ; run-    length ;} output interface {next-hop

   ;} no-filter-check;} }

选择将抽样的流量发送到哪个目的端口

user@router# show firewall filter mirror-sample from {...} then {sample; accept;}

定义抽样过滤器,选择感兴趣的流量

user@router# show interface unit 0 family inet filter {input mirror-sample;}

选择将抽样的过滤器应用到某个端口
端口镜像的风险
加重交换机负载,造成设备不稳定
在某些情况下会丢包,不能保证 100% 镜像流量。例如,由于多个源端口镜像到一个目的端口,目的端口无法处理造成丢包

Juniper  EX交换机

       端口镜像是将特定端口的报文复制一份到镜像目的端口,镜像目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。 Juniper  EX 交换机支持本地端口镜像以及远程端口镜像,同时支持多对一的端口镜像。其中可以支持多个VLAN 镜像到一个VLAN。端口镜像可以通过策略来匹配相应的流量。
配置命令:

点击查看原图

点击查看原图

          

阅读全文>>

标签: 端口镜像 交换机 过滤器 丢包 故障 Juniper Juniper交换机

评论(0) 引用(0) 浏览(14252)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1