網路封包側錄分析入門 輕鬆找出佔線及可疑流量

本文將介紹目前各種流量側錄的方式,以及如何使用對應的軟體來側錄及分析流量。最後,則介紹如何使用便利的網管軟體ntop,來輕鬆地做出流量排名並找出可疑的流量。

流量的側錄,是網路管理中相當重要的一環,網管人不可不知。有鑑於每年都有會許多社會新鮮人或轉業人士投入網管、IT、MIS及資安的業界。因此這裡特別針對網路流量的側錄撰文做簡單的教學。

Switch內建側錄功能簡介

市面上各種品牌的Switch大多內建流量側錄功能,一般稱為Port Mirroring、Port Monitoring或Mirror Port。

在此以Cisco為範例進行說明,在Cisco的部分,在同一Switch上側錄流量的功能稱為The Switched Port Analyzer(SPAN),SPAN的設定方式會依其IOS版本而有不同的設定方式。在早期的版本,例如IOS 12.0之前的版本,其設定方式為在目的Port設定來源Port,例如圖1的設定方式。


▲圖1 在目的Port設定來源Port。

該設定代表Port FastEthernet0/1可側錄到Port FastEthernet0/2?4的流量。此時,可將Port FastEthernet0/1接上電腦再開啟分析或側錄軟體(如Wireshark或tcpdump)就可以查看Port FastEthernet0/2?4的流量。

在IOS 12.1之後的版本,Cisco採用了Session的概念,這裡直接使用實例說明。

在圖2中,建立了兩個Session。Session的數量會依設備的規格而有所不同,但最少都能支援兩個Session。可以針對不同的需求,建立不同的Session。


▲圖2 建立兩個Session。

在Session1中,設定側錄的來源Port是Fa1/0/6、Fa1/0/7及Fa1/0/8(-號代表的是連續使用)。接著設定其目的地,將側錄到的流量複製一份至Fa1/0/1及Fa1/0/3(,號代表的是非連續Port位)。

此外,在此亦可設定其側錄流量的方向,可設定為rx(接收)、tx(發送)或both(接收及發送),一般而言均使用both。

而Session 2則較為單純,在G1/1/1收取G1/0/1的流量。因此可將筆電接在G1/1/1的Port,並開啟Wireshark來查看G1/0/1的封包交換情形。

可以使用show monitor session指令來查看目前的設定及狀態。使用此指令時,需要指定其Session編號,在此查看Session 1,如圖3所示。


▲圖3 查看Session 1目前的設定與狀態。

由圖3中可以看出其為Local Session(Cisco可支援Remote Session,將側錄的流量送到遠端的設備,其名稱為RSPAN及ERSPAN,均屬於進階的應用,有機會再另行撰文說明)。Source Ports為Fa1/0/6-8,Destination Ports是Fa1/0/1及Fa1/0/3。監控的流量為雙向(包含傳送及接收)。

接著,使用Wireshark做一簡易操作說明。首先將電腦的網路孔與Switch的G1/1/1做連接。然後啟用Wireshark,之後在Interface List的地方選擇連接Switch的介面,此例為「區域連線」,接著按下〔Start〕按鈕,如圖4所示。


▲圖4 啟用Wireshark。

在此要提醒的是,在接線時需要確認設備的Link燈有亮,如果燈未亮,請確認Switch Port未被關閉,並且無定速等相關設定。Wireshark預設會展示所有擷取到的封包,如圖5所示。之後便可在Filter欄位中過濾想查看的封包,並進行相關的判讀。


▲圖5 列出所有擷取到的封包。

這裡僅示範簡易的操作,Wireshark的詳細使用說明,可參照「http://www.netadmin.com.tw/article_content.aspx?sn=0808050013」網頁中的說明。

在此例中,使用Cisco設備做示範,各網通業者的Switch大多能支援流量的側錄,但語法有所不同。建議自行測試,並將相關語法整理備用,以應付不時之需。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!