一:資料包過濾
a.過濾需要的IP位址 ip.addr==
b.在資料包過濾的基礎上過濾協定ip.addr==xxx.xxx.xxx.xxx and tcp
c.過濾端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
d.指定源位址 目的位址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
e.SEQ字段(序列号)過濾(定位丢包問題)
TCP資料包都是有序列号的,在定位問題的時候,我們可以根據這個字段來給TCP封包排序,發現哪個資料包丢失。
SEQ分為相對序列号和絕對序列号,預設是相對序列号顯示就是0 1不便于檢視,修改成絕對序列号方法請參考第三式。
二:修改資料包時間顯示方式
有些同學抓出來的資料包,時間顯示的方式不對,不便于檢視出現問題的時間點,可以通過View—time display format來進行修改。
修改前:
修改後:
三:确認資料封包順序
有一些特殊情況,客戶的業務源目的IP 源目的端口 源目的mac 都是一樣的,有部分業務出現業務不通,我們在交換機上做流統計就不行了,如下圖網絡架構。箭頭是資料流的走向,交換機上作了相關政策PC是不能直接通路SER的。
那我們在排查這個問題的時候,我們要了解客戶的業務模型和所使用得協定,很巧合這個業務是WEB。我們進而知道TCP封包字段裡是有序列号的,我們可以把它當做唯一标示來進行分析,也可以通過序列号進行排序。
一般抓出來的都是相對序列号0 1不容易分析,這裡我們通過如下方式進行修改為絕對序列号。
Edit—–preference——protocols—-tcp—relative sequence numbers
修改參數如下:
我拿TCP協定舉例
把TCP的這個選項去除掉
最後的效果:
四:過濾出來的資料包儲存
我們抓取資料包的時候資料量很大,但對于我們有用的隻有幾個,我們按條件過濾之後,可以把過濾後的資料包單獨儲存出來,便于以後來檢視。
五:資料包計數統計
網絡裡有泛洪攻擊的時候,我們可以通過抓包進行資料包個數的統計,來發現哪些資料包較多來進行分析。
Statistics——conversations
六:資料包解碼
IPS發送攻擊日至和防病毒日志資訊端口号都是30514,SecCenter上隻顯示攻擊日志,不顯示防病毒日志。檢視IPS本地有病毒日志,我們可以通過在SecCenter抓包分析确定資料包是否發送過來。
發過來的資料量比較大,而且無法直接看出是IPS日志還是AV日志,我們先把資料包解碼。
(由于沒有IPS的日志抓包資訊,暫用其他代替)
解碼前:
解碼操作:
解碼後:
七:TCP資料封包跟蹤
檢視TCP的互動過程,把資料包整個互動過程提取出來,便于快速整理分析。
八:通過Wireshark來檢視裝置的廠家
檢視無線幹擾源的時候,我們可以看出幹擾源的mac位址,我們可以通過Wireshark來查找是哪個廠商的裝置,便于我們快速尋找幹擾源。
例如:mac位址是A4-4E-31-30-0B-E0
我們通過Wireshark安裝目錄下的manuf檔案來查找
本文為從大資料到人工智能部落客「jellyfin」的原創文章,遵循CC 4.0 BY-SA版權協定,轉載請附上原文出處連結及本聲明。
原文連結:https://lrting.top/backend/6553/