Использование Wireshark для анализа и мониторинга трафика !new_digested!

Опубликовано 2019-1-28 18:36:46Последний ответ Mar 01, 2019 16:51:34 64 1 0 0
Всем доброго дня!

При траблшутинге возникших проблем порой эффективным методом является прямой анализ заголовков и содержания пакетов различных протоколов. У большинства коммутаторов есть возможность зеркалировать сетевой траффик на ПК с запущенной программой сниффером или отображения/захвата пакетов в консоль/память коммутатора, но зачастую для удобства дальнейшего разбора и снижения нагрузки на коммутатор + ограничение на размер внутренней памяти коммутатора используют именно зеркалирование на ПК с программой-анализатором, в нашем примере это популярное ПО Wireshark, хотя можно использовать и любые другие. WIreshark удобен в настройке, содержит преднастройки фильтров по многим сетевым протоколам и широкие возможности по анализу.

В этом посте мы разберём основы работы с Wireshark, которые пригодятся вам, если это потребуется для траблшутинга с нашими инженерами.


1. Для начала работы запустить Wireshark, выберите сетевое подключение и включите кнопкой Start захват пакетов






2. Основной интерфейс во время работы






3. Если требуется больше визуализации для анализа, то можно запустить IO graphs






4. При помощи IO graphs удобно смотреть за активностью во времени, выставив временной промежуток на оси X






При работе через свитч подобной простоты не будет: там придётся настраивать зеркалирование портов согласно мануалу аппаратуры. Например, у нас есть очень подробный гайд(правда на английском) для свитчей S1720, S2700, S5700 и S6720 






1. Порт зеркалирования ипорт наблюдения:


 
Порт зеркалирования: это отслеживаемыйпорт. Все пакеты, которые проходят через порт зеркалирования, копируются напорт наблюдения.


 
Порт наблюдения: этопорт, к которому подключено устройство мониторинга получающее зеркалированныйтрафик.


 
Порт наблюдения предназначендля пересылки зеркалированного трафика. Не настраивайте другие службы на портенаблюдения, в противном случае зеркалированный трафик и другой служебный трафикбудут мешать друг другу.


 
Если функциязеркалирования настроена на нескольких портах, будет задействована большая пропускнаяспособность, что повлияет на работу других служб. Кроме того, если полосапропускания порта зеркалирования выше, чем полоса пропускания порта наблюдения,например, 1000 Мбит/с на порту зеркалирования и 100 Мбит/с на порту наблюдения,то порту наблюдения не удастся своевременно обработать все пакеты, из-занедостаточной пропускной способности, что приведёт к потере пакетов.


 
2. Направление зеркалированиятрафика


 
Направлениезеркалирования - это направление, в котором устройство копирует пакеты с портазеркалирования на порт наблюдения:


 
Входящий трафик: устройствокопирует пакеты на порт наблюдения, полученные портом зеркалирования.


 
Исходящий трафик:устройство копирует пакеты, которые отправляются с порта зеркалирования на портнаблюдения.


 
Двунаправленный трафик:устройство копирует пакеты, которые получены и отправлены портом зеркалированияна порт наблюдения.
  • x

KKV     Опубликовано 2019-3-1 16:51:34 Полезно(0) Полезно(0)
Хмм, спасибо за полезную информацию. Буду применять.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Быстрый ответ Вверх