本節書摘來自異步社群《wireshark網絡分析實戰》一書中的第1章1.2節安置wireshark(程式或主機),作者【以色列】yoram orzach,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
1.2 安置wireshark(程式或主機)
wireshark網絡分析實戰
看到了網絡故障的表象,決定通過wireshark抓包來查明故障原委之前,應确定wireshark(程式或主機)的(安裝或部署)位置。為此,需弄到一張精确的網絡拓撲圖(至少也得弄清楚故障所波及的那部分網絡的拓撲結構),如圖1.1所示。
安置wireshark的原理非常簡單。首先,應圈定要抓取哪些(哪台)裝置發出的流量;其次,要把安裝了wireshark的主機(筆記本)連接配接到受監控裝置所連交換機;最後,開啟交換機的端口鏡像(或端口監控)功能,把受監控裝置發出的流量“重定向”給wireshark主機。
可利用wireshark監控lan端口、wan端口、伺服器/路由器端口或連接配接到網絡的任何其他裝置的流量。
如圖1.1所示,利用wireshark軟體(安裝在交換機左邊的pc上)外加交換機的端口鏡像(也叫做端口監控,需在交換機上激活該特性,流量鏡像的方向已在圖中标出)功能,便可以監控到進、出伺服器s2的所有流量。當然,也可以在伺服器s2上直接安裝wireshark,如此行事,便能直接在伺服器s2上監控進、出該伺服器的流量了。
某些廠商的交換機還支援以下流量監控特性。
監控整個vlan的流量:即監控整個vlan(伺服器vlan或語音vlan)的流量。可借助該特性,在指定的某一具體vlan内進行流量監控。
“多源歸一”的流量監控方式:以圖1.1為例,借助該特性,可讓wireshark主機同時監控到伺服器s1和s2的流量。
方向選擇:可選擇監控入站流量、出站流量或同時監控出、入站流量。
1.2.1 準備工作
使用wireshark抓包之前,請先通路wireshark官網,下載下傳并安裝最新版本的wireshark。
每個wireshark windows安裝包都會自帶winpcap驅動程式的最新穩定版本,winpcap驅動程式為實時抓包所必不可缺。用于抓包的winpcap驅動程式為unix libpcap庫的windows版本。
1.2.2 操作方法
現以圖1.2這一典型網絡為例,來簡單分析一下該網絡的架構、網絡中裝置的部署及運作方式、wireshark的安置方法,以及如何按需配置網絡裝置。
請讀者仔細研究一下圖1.2所示的簡單而又常見的網絡拓撲結構。
伺服器流量監控
像伺服器流量監控這樣的需求,在實戰中非常常見。要想監控到某台伺服器(收/發)的流量,既可以在交換機上針對連接配接伺服器的端口配置端口鏡像(如圖1.2中的編号①所示),将流量“重定向”至wireshark主機,也可以在伺服器上直接安裝wireshark。
路由器流量監控
要想監控進、出路由器的流量,監控其lan端口(如圖1.2中的編号②和⑥所示)或wan端口(如圖1.2中的編号⑤所示)都可以辦到。
路由器lan端口的流量監控起來比較簡單,隻要在交換機上配置端口鏡像,把與路由器lan口相連的端口的流量“重定向”至連接配接wireshark主機的端口。要想監控路由器wan口的流量,則要在路由器wan口和sp(服務提供商)網絡之間部署一台交換機,在這台交換機上配置端口鏡像,如圖1.3所示。
在sp網絡與路由器wan口之間部署一台交換機,是一項會導緻斷網的操作。不過,真要如此行事的話,網絡中斷的時間最多也就一兩分鐘。
監控路由器的流量時,有一點請務必留意:發往路由器的資料包并不一定都會得到轉發。有些資料包或許會在途中“走失”,而路由器既有可能會因緩存溢出而對部分資料包“忍痛割愛”,也有可能會把某些資料包從接收端口“原路送回”。
執行上述流量監控任務時,可能會用到以下兩種裝置。
tap:可在受監控鍊路上用一種叫做分路器(test access point,tap)的裝置來取代圖1.3中的交換機,這是一種簡單的“三通”(三端口)裝置,執行流量監控時,其所起作用跟交換機相同。與交換機相比,tap不但便宜而且使用友善。此外,tap還會把錯包原樣傳遞給wireshark,而lan交換機則會把錯包完全丢棄。交換機不但價格高昂,而且還需要花時間來配置,當然它所支援的監控功能也更多(比如,一般的lan交換機都支援簡單網絡管理協定[snmp])。排除網絡故障時,最好能用可網管交換機,哪怕是功能沒那麼豐富的可網管交換機也好。
hub:可在受監控的鍊路上用一台hub來取代圖1.3中的交換機。hub屬于半雙工裝置,藉此裝置,路由器和sp裝置之間穿行的每一個資料包都能被wireshark主機“看”的一清二楚。使用hub最大的壞處是,會顯著加劇流量的延遲,進而對流量采集産生影響。如今,監控1gbit/s端口的流量可謂是家常便飯,在這種情況下使用hub,将會使速率驟降至100mbit/s,這會對抓包産生嚴重影響。是以說,在抓包時一般都不用hub。
防火牆流量監控
防火牆流量監控的手段有兩種,一種是監控防火牆内口(如圖1.2中的編号③所示)的流量,另外一種是監控防火牆外口(如圖1.2中的編号④所示)的流量。若監控防火牆内口,則可以“觀看”到内網使用者發起的所有通路internet的流量,其源ip位址均為配置設定給内網使用者的内部ip位址;若監控防火牆外口,則能“觀看”到的所有(經過防火牆放行的)通路internet的流量,這些流量的源ip位址均為外部ip位址(拜nat所賜,配置設定給内網使用者的内部ip位址被轉換成了外部ip位址);而由内網使用者發起,但防火牆未予放行的流量,監控防火牆外口是觀察不到的1。若有人(通過internet)發動對防火牆(或内網)的攻擊,要想“觀察”到攻擊流量,觀測點也隻能是防火牆外口。
1.2.3 幕後原理
要想弄清端口鏡像(端口監控)的運作原理,需先了解lan交換機的運作方式。lan交換機執行資料包轉發任務時的“舉動”如下所列。
1.lan交換機會“堅持不懈”地學習接入本機的所有裝置的mac位址。
2.收到發往某mac位址的資料幀時,lan交換機隻會将其從學得此mac位址的端口外發。
3.收到廣播幀時,交換機會從除接收端口以外的所有端口外發。
4.收到多點傳播幀時,若未啟用cisco組管理協定(cisco group management protocol,cgmp)或internet組管理協定(internet group management protocol,igmp)監聽特性,lan交換機會從除接收端口以外的所有端口外發;若啟用了以上兩種特性之一,lan交換機将會通過連接配接了相應多點傳播接收主機的端口,外發多點傳播幀。
5.收到目的mac位址未知的資料幀時(這種情況比較罕見),交換機會從除接收端口以外的所有端口外發。
綜上所述,在lan交換機上配置端口鏡像去監控某個端口時,可“采集”到進、出該端口的所有流量。若隻是将一台安裝了wireshark的筆記本接入lan交換機,未在交換機上開啟端口鏡像功能,則隻能抓到流入或流出該筆記本的所有單點傳播流量,以及同一vlan裡的多點傳播及廣播流量。
1.2.4 拾遺補缺
使用wireshark抓包時,還需提防幾種特殊情況。
其中的一個特殊情況是,抓取整個vlan的流量(vlan流量監控)。在基于vlan執行抓包任務時,有幾個重要事項需要銘記。第一個要注意的地方是,wireshark主機隻能采集到與其直連的交換機承載的同一vlan的流量。比方說,在一個交換式網絡(lan)内,有多台交換機都擁有隸屬于vlan 10的端口,要是隻讓wireshark主機直連某台接入層交換機,那必然采集不到vlan 10内其他接入層交換機上的主機通路直連核心層交換機的伺服器的流量。
請看圖1.4所示的網絡,使用者一般會分布在各個樓層,跟所在樓層的接入層交換機相連。各台接入層交換機會跟一台或兩台(為了備援)核心層交換機相連。wireshark主機要想抓全某個vlan的流量,必須與承載此vlan流量的交換機直接相連,才能采集到相應vlan的流量。是以,要想抓全vlan 10的流量,wireshark主機必須直連核心層交換機。
在圖1.4中,若wireshark主機直連sw2,且在sw2上激活了相關端口鏡像功能,開始監控vlan 30的流量,則其隻能抓取到進、出sw2 p2、p4、p5端口的流量,以及由sw2承載的同一vlan的流量。該wireshark主機絕不可能采集到sw3和sw1之間來回穿行的vlan 30的流量。
基于整個vlan來實施抓包任務時,可能會抓到重複的資料包,是另外一個需要注意的地方。之是以會出現這種情況,是因為啟用端口鏡像時,對于在不同交換機端口之間交換的同一vlan的流量,wireshark主機會在流量接收端口的流入(input)方向及流量發送端口的流出(output)方向分别抓取一遍。
如圖1.5所示,在交換機上已激活了端口鏡像功能,對vlan 30的流量實施監控。對于伺服器s4向s2發送的資料包,當其(從連接配接s4的交換機端口)流入vlan 30時,wireshark主機将抓取一次;當其從(從連接配接s2的交換機端口)流出vlan 30時,wireshark主機會再抓取一次。這麼一來,便采集到了重複的流量。
欲深入了解端口鏡像相關資訊,請參閱各網絡裝置廠商提供的操作手冊。有些廠商也把端口鏡像稱為“端口監控”或span(switched port analyzer)(cisco公司)。
某些廠商的交換機支援遠端流量監控(能讓直連本地交換機的wireshark主機采集到遠端交換機端口的流量)以及進階過濾功能(比如,在把流量重定向給wireshark主機的同時,過濾掉具有特定mac位址的主機發出的流量)。還有些高端交換機本身就具備抓取并分析資料包的功能。某些交換機還能支援虛拟端口(例如,聚合端口或以太網通道端口)的流量監控。有關詳情,請閱讀交換機的随機文檔。
1譯者注:原文是“on the internal port you will see all the internal addresses and all traffic initiated by the users working in the internal network, while on the external port you will see the external addresses that we go out with (translated by nat from the internal addresses); you will not see requests from the internal network that were blocked by the firewall”。原文較差,譯文酌改。
本文僅用于學習和交流目的,不代表異步社群觀點。非商業轉載請注明作譯者、出處,并保留本文的原始連結。