返回
范伟导老师sniffer课程资料

范伟导老师sniffer课程资料

ID:11281172

大小:321.50 KB

页数:9页

时间:2018-07-11

范伟导老师sniffer课程资料_第1页
范伟导老师sniffer课程资料_第2页
范伟导老师sniffer课程资料_第3页
范伟导老师sniffer课程资料_第4页
范伟导老师sniffer课程资料_第5页
资源描述:

《范伟导老师sniffer课程资料》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Sniffer课程资料大家有什么问题,可以发E-mail给范老师,fanweidao@hotmail.com第一个我要介绍的是localagent。Selectsettingsà什么叫localagent,大家打开file这时候,大家可能只看到一个local下面是你的网卡,这就叫做一个localagent。事实上,一个localagent就像一个探针。我们知道Sniffer的工作原理很简单,就是把网卡设成混杂模式(叫做promiscuous),所谓混杂模式,就是把所有数据包接受下来放入内存,大家知道一

2、般情况下,PC机只接受目的mac地址为自己网卡或广播、组播的数据包。sniffer就是这样把所有数据包都接收下来,在进行分析。大家看我这里有多个agent,怎样可以做多个agent呢,可以不同网卡做不同的agent,就像你们的分布式sniffer一样,有多个网卡,那就是多个agent,infinistream也一样。其实一个网卡,也可以做多个agent,大家试一下,new一个,给他加上说明,就叫101把,选中你们的网卡,下面选nopod,copysetting留空,那个pod是你外接snifferbo

3、ok时候用的。大家看看你们的agent多了一个,101括号local_2。对不对(同学们:对)好,不错。我们为什么建立多个agent呢。不同的agent可以定义不同的阀值,可以有不同的过滤器,可以有不同的触发器,不同的地址本。比如说,你们有一台笔记本装着sniffer,大家都用它,那不同的工程师可以自己定义一个agent,自己定义自己的过滤器,互不干涉,比如不同的网段有不同的阀值,也可以定义不同的agent。那agent的参数保存在哪里呢,大家打开c:programfilesaisniffer

4、ntprogram,大家看到locallocal_2,这就是两个不同的agent保存参数的地方。大家看到两个CSF文件,一个是sniffer.csf,另外一个是Snifferdisplay.csf。这是过滤器文件,当我们使用sniffer一段时间之后,大家会累积许多好的过滤器,一定记得保存下来,就是把这两个文件考出来就行了,如果你看到别人那里有好的过滤器,也可以拷过来。不过当你要倒回去的时候,4.8比较好办直接倒入就行了,4.75比较麻烦,我后面讲定义过滤器的时候再教大家。过滤器是sniffer最难

5、、最有意思、最重要的一部分,大家放心,我能让大家成为高手。(同学们笑)好,localagent讲完了,localagent是什么?事实上就是定义一个环境变量,不同的环境不同的参数。好,休息一下,待会儿讲monitor功能。中间休息的时候,我问了范老师一个问题:我看书上说,TCP是可靠的,UDP是不可靠的,那要不可靠UDP来干什么?(各位:我的问题是不是很傻?但我确实不知道呀)范老师:不错,这个问题非常好!(嘿嘿!)TCP叫传输控制协议,他的特点是:有连接,有流控,有顺序号/确认号,开销比较大,一般是2

6、0个字节的头。UDP叫用户数据报协议,开销小,8个字节的头,无可靠保证。我后面有详细介绍TCP和UDP,我们先看您的问题。首先,UDP,不可靠,是指,在传输层不提供可靠保证,并不意味着所有使用UDP的应用都不可靠。我们来比较几个应用(范老师用他的tracefile给我演示)DNS,53端口,进行查询时,用的是UDP,因为要求速度快,比如我要查networkgeneral的地址,你只要告诉我ip是多少就行了,如果要进行3次握手建立连接,再去取到IP,那就慢了,所以用的是UDP,一个字:快。没响应怎么办,

7、事实你看(他在演示)它会同时向多个DNS查询,所以没响应也没关系,你看这个响应名字错误,找不到。所以UDP还是有用的,特别是像DNS查询这种应用,丢了也就丢了,我再查。但DNS也有用TCP的时候,比如DNS服务器的同步,用的就是TCP的53端口TFTP,您所了解的TFTP,用的是UDP吧,他不可靠吗,事实上文件传输,必须保证可靠。不但要保证能知道丢包重传,还要有顺序号,应付错序到达的情况,也就是我们常说的后发先至。事实上TFTP是怎样工作的,你看(他在演示),每一个数据块都有Id号,一块512字节,一

8、次传输,一次确认,这就相当于TCP的顺序号和确认号。所以UDP是不可靠的,但很多使用UDP协议的应用是可靠的,只是在应用层去保证可靠性,很多人说用UDP效率高,事实上TFTP在传输大文件的时候,比FTP效率更地,我们后面有专门的实验。视频流量,(没有演示)对于视频流量,也是需要可靠保证的,但要求不是很高,所以不会像TFTP那样每一个数据报都确认,而是传多个数据包确认一次,要不效率就太低了,究竟多少个数据包确认一次,开发人员需要不断测试。我的解释清楚吗,(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。