ZT - UNIX 网络协议的深度分析(2)

最新推荐文章于 2024-11-14 08:56:30 发布

cqe4597

最新推荐文章于 2024-11-14 08:56:30 发布

阅读量122

点赞数

文章标签：网络

基本的网络分析本文之前提到的许多网络嗅探工具都提供了不同级别的协议解码，它们是通过检查端口和内容来确定所使用的协议实现的。[@more@]基本的网络分析本文之前提到的许多网络嗅探工具都提供了不同级别的协议解码，它们是通过检查端口和内容来确定所使用的协议实现的。例如，snoop 和 tcpdump 都提供了关于 UDP 和 TCP 上不同协议的不同级别的详细信息。例如，在 snoop 中，您可以获得从顶级协议到所传输的单个数据块的关于 NFS 操作的详细信息。例如，您可以通过指定监控 RPC 使用 NFS 协议来实现对 NFS 流量的监控：$ snoop -v rpc nfs。它能输出非常详细的数据包信息，并且它们应该进行更紧密的观察。清单 1 提供了 Ethernet 报头数据。清单 1. Ethernet 报头数据 ETHER: ----- Ether Header ----- ETHER: ETHER: Packet 64 arrived at 16:14:41.79434 ETHER: Packet size = 238 bytes ETHER: Destination = 0:1a:ee:1:1:c0, ETHER: Source = 0:21:28:3c:c0:61, ETHER: Ethertype = 0800 (IP) ETHER: 这里的输出表明 Ethernet 数据包包含了 IP 数据、全部数据包大小和时间，以及数据包的目标和来源地址。清单 2 显示的是 IP 报头。其中除了协议和来源/目标地址信息，其余许多 IP 数据是没有用的。清单 2. IP 报头 IP: ----- IP Header ----- IP: IP: Version = 4 IP: Header length = 20 bytes IP: Type of service = 0x00 IP: xxx. .... = 0 (precedence) IP: ...0 .... = normal delay IP: .... 0... = normal throughput IP: .... .0.. = normal reliability IP: .... ..0. = not ECN capable transport IP: .... ...0 = no ECN congestion experienced IP: Total length = 224 bytes IP: Identification = 27460 IP: Flags = 0x4 IP: .1.. .... = do not fragment IP: ..0. .... = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 64 seconds/hops IP: Protocol = 6 (TCP) IP: Header checksum = 4d11 IP: Source address = 192.168.0.112, tiger.mcslp.pri IP: Destination address = 192.168.0.2, bear.mcslp.pri IP: No options IP: 在清单 3 中，您可以看到 TCP 报头。同样，这些信息中通常只有来源和目标端口号才是有用的，因为这些信息将可用于确定预期的协议，或者提供给您可用于更进一步观察这个端口所传输流量的信息。清单 3. TCP 报头 TCP: ----- TCP Header ----- TCP: TCP: Source port = 2049 TCP: Destination port = 889 (Sun RPC) TCP: Sequence number = 2834727685 TCP: Acknowledgement number = 2654368001 TCP: Data offset = 32 bytes TCP: Flags = 0x18 TCP: 0... .... = No ECN congestion window reduced TCP: .0.. .... = No ECN echo TCP: ..0. .... = No urgent pointer TCP: ...1 .... = Acknowledgement TCP: .... 1... = Push TCP: .... .0.. = No reset TCP: .... ..0. = No Syn TCP: .... ...0 = No Fin TCP: Window = 32806 TCP: Checksum = 0x4852 TCP: Urgent pointer = 0 TCP: Options: (12 bytes) TCP: - No operation TCP: - No operation TCP: - TS Val = 34449495, TS Echo = 253458642 TCP: 清单 4 的倒数第二部分显示的是 RPC 报头数据。清单 4. RPC 报头数据 RPC: ----- SUN RPC Header ----- RPC: RPC: Record Mark: last fragment, length = 168 RPC: Transaction id = 3041181596 RPC: Type = 1 (Reply) RPC: This is a reply to frame 63 RPC: Status = 0 (Accepted) RPC: Verifier : Flavor = 0 (None), len = 0 bytes RPC: Accept status = 0 (Success) RPC: 最后，清单 5 提供了 NFS 数据包内容，包括权限（文件模式）、文件大小、拥有者和其他信息。在这里，这个 NFS 操作请求是进行文件系统统计（这等同于 ls 操作结果），因此这就是详细信息。清单 5. NFS 数据包内容 NFS: ----- Sun NFS ----- NFS: NFS: Proc = 18 (Get filesystem statistics) NFS: Status = 0 (OK) NFS: Post-operation attributes: NFS: File type = 2 (Directory) NFS: Mode = 0777 NFS: Setuid = 0, Setgid = 0, Sticky = 0 NFS: Owner's permissions = rwx NFS: Group's permissions = rwx NFS: Other's permissions = rwx NFS: Link count = 24, User ID = 502, Group ID = 10 NFS: File size = 29, Used = 2560 NFS: Special: Major = 4294967295, Minor = 4294967295 NFS: File system id = 781684113418, File id = 4304616 NFS: Last access time = 28-Feb-10 15:49:51.042953989 GMT NFS: Modification time = 25-Feb-10 09:39:07.965422590 GMT NFS: Attribute change time = 25-Feb-10 09:39:07.965422590 GMT NFS: NFS: Total space = 759567510016 bytes NFS: Available space = 659048374272 bytes NFS: Available space - this user = 659048374272 bytes NFS: Total file slots = 1288161604 NFS: Available file slots = 1287203856 NFS: Available file slots - this user = 1287203856 NFS: Invariant time = 0 sec NFS: 在这里，我们可以看到所查询的文件事实上是一个目录（见文件类型行）。虽然我们没有得到文件的实际路径，但是我们可以通过使用 Find 命令来查询 inode 号对应的文件/路径来查找上面提到的目录（见清单 6）。清单 6. 查询 inode 号对应的文件 $ find /scratch -xdev -inum 4304616 /scratch/installed/mysql-6.0.11 如果您准备分辨流量，那么使用这些工具的最佳方法是首先运行它们，收集尽可能多的数据，然后手动检查数据内容，找出您的网络本来不应该出现的数据项。一旦您识别出了可疑流量，您就可以开始在命令行上添加参数以便关注于流量细节。例如，您可以使用清单 7 所示的命令之一，规定只显示特定主机的流量。清单 7. 规定只显示一个特定主机的流量 $ snoop host 192.168.0.2 $ tcpdump host 192.168.0.2 要进一步限制，您可以限制协议信息的端口：$ snoop host 192.168.0.2 and port 25。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/16896827/viewspace-1036462/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/16896827/viewspace-1036462/