基于Web方式的数据包捕获实践

基于Web方式的数据包捕获实践

 

     抓包是运维的必备技能,很多网络故障需要靠抓包来解决,如常见的ARP欺骗和广播风暴。另外还有一些网线或光纤接触不好的故障,不抓包也很难分析出来,例如两个公司之间互联,网线测试都没问题,但始终不通。经过抓包分析表明,发现其他单位的ping请求都伴随着ARP查询,而不走路由,这时怀疑有可能掩码设置错误的问题,经仔细排查,确实是路由器上的掩码出现失误。抓包工具有不少但选择一款适合你的工具非常重要。

     本文主要为大家介绍OSSIM环境中,故障排除利器—基于Web的数据包分析工具,它是Wireshark的另一种表现形式,这和CloudSharkAppliance(cloudshark.org)的表现手法非常类似。如下图所示。

wKioL1bw3iKC2EQ4AARzxvg0nkM926.jpg

wKiom1bw3Y7A6wgSAAMJd7EegRk015.jpg

wKiom1bw3ZbC7JwXAAgvci6HY94277.jpg

从功能上看这种基于Web的抓包分析工具是Wireshark的精简版。它的优势在于远程客户端,通过Web界面就可以实现在服务器端抓包,还能够抓到不同传感器(能收集不同网段的信息)所检测的数据包异常。在阅读本章时,需要读者具备网络嗅探与数据报分析的基础知识,具有一定Wireshark抓包经历。

过去,分析网络故障常在一个系统中用tcpdump抓包,将包保存起来,再导入Wireshark在进行分析。不过现在使用OSSIM WebUI下的Traffic Capture不必这么麻烦,操作方法为Environment→Traffic Capture

wKiom1bw3bTAosFoAAGdfUv6y7w814.png选择传感器抓包

注意,在设置(settings)选项下方,源地址和目标地址均为可选项。其使用方法较简单,输入源地址和目标地址,然后点击捕捉按钮即可。

wKioL1bxQ6_g4OmiAAOROP6pBpc039.png

但应用该工具之前,操作人员对TCP、UDP、IP及ICMP协议及HTTP、DHCP、DNS、FTP等常见应用层协议需熟悉,包括TCP以及UDP流量格式,下面分别介绍:

 wKiom1bw4BDw96CaAADHVImQyoU959.jpg

 详细内容请参考《开源安全运维平台OSSIM最佳实践》一书.

 

本文出自 “李晨光原创技术博客” 博客,请务必保留此出处http://chenguang.blog.51cto.com/350944/1753844

本页内容版权归属为原作者,如有侵犯您的权益,请通知我们删除。
实现目的: 因为mesos中实际的工作节点是slave,框架marathon启动的任务(容器)都是在随机的slave上执行,所以在每台slave上启动Registrator,用来发现本机上的容器,它会把当前宿主机上的容器自动注册到consul.但是consul找一台salve启动就行,它会把自己选为leader,其他slave上启动Registrator的时候指定此leader就行 环境: 192.168.0.149 Mesos-master、Zookeeper 192.168.0.161 Mesos-m

centos6.5上面HTOP实战!!! - 2016-04-04 15:04:58

项目背景: 我们公司需要一个交互式的进程查看软件,比top命令更好用的软件,使我们的服务器进程监控更灵活方便!!!! 实验环境: vmware workstation 11 centos6.5的系统下 服务器:ip:192.168.0.27 SecureCRT (ssh远程连接软件) 软件介绍: Htop:进程实时监控,交互式的进程浏览器。 htop命令优点: 1) 快速查看关键性能统计数据,如CPU(多核布局)、内存/交换使用; 2) 可以横向或纵向滚动浏览进程列表,以查看所有的进程和完整的命令行; 3
这次我给大家来介绍一下,企业网络中的广域网出口,说起企业(单位)的组网建设,设备调试之类的工作,我想只要是有工作经验的网工,或者系统管理员都不会陌生,核心交换机,划分 VLAN , 起三层路由功能,防火墙(路由器)起 NAT 之类的。都是驾轻就熟了。那么在这篇文章当中暂时先不提设备是如何配置的,先谈一下这个企业网络当中的出口 我把企业网络中的广域网出口分成 2 种。 第一种:光纤互联网业务 . 即从电信或铁通这样的 ISP 运营商申请光纤接入,开通的是互联网,也就是俗称的“外网”业务。这种的广域网出口,只
一、功能说明 Marionette Collective(MCollective)是一个与Puppet关系密切的服务运行框架。 MC依赖Ruby1.9.3或1.8.7,通过Stomp协议通信,因此依赖rubygem 1.2.2+ 在puppet客户端上安装Mcollective服务端 在puppet服务端上安装Mcollective客户端 在puppet服务端或单独安装MQ中间件 参考官方文档: https://docs.puppetlabs.com/mcollective/deploy/standard
MySQL存储日志并使用Loganalyzer作为前端展示 为什么要使用日志 在生产环境中我们可能需要一个较为完整的日志系统来查看运行中主机服务的状态和所作出的操作,我们可以在较大型的网络架构中使用ELK来实现对日志的收集、检索、前端显示,但是中小型架构中使用 rsyslog 足以对所有服务器的日志进行收集和检索来达到实时分析数据流量的目的。 本文目标 使用 rsyslog 将两台主机的日志信息存储到 MySQL 数据库中,并且编译安装 Loganalyzer 对 MySQL 中的日志信息使用 httpd
作者:安华金和 思成 数据库攻击的目的最终是为要获取数据库中有价值的数据,而获取数据最有效的方法就是直接获取DBA权限。本文通过Oracle数据库中的一个经典漏洞,演示从普通用户提权到DBA权限的过程,DBSec Labs数据库安全实验室给出针对性的防护建议。 Oracle漏洞分析 CTXSYS.driload.validate_stmt是一个Oracle的经典漏洞。出现在Oracle9i中,从10g开始被修复。这个漏洞是直接注入形漏洞的代表。漏洞发生在CTXSYS创建的driload包中的存储过程val
网友问答之:AD、DNS转发器、WINS不能自动启动 1、企业网络中,将DNS与Active Directory集成在一起即可,一般建议配置2台Active Directory服务器。 络腮胡2014/11/222:10:53 王老师你好,请问对于一主一备的域控制器可以两台都虚拟化吗?还是一台虚拟一台物理?或者域控制器就不应该虚拟化?如果可以虚拟化,那么对于域控制器的备份可以使用VDPA吗?会不会造成USN回滚? 王春海2014/11/36:32:26 1、域控制器可以放虚拟机中,现在一般都是这样做 2、
回忆 像一直开着的机器 趁我不注意 慢慢地清晰反覆播映 -- 《三万英尺》迪克牛仔 当航班在三万英尺的高空爬升下坠,穿越乱流,沉入海底,无人知道它在云中究竟经历了什么波折苦难,甚至无人知道它最终沉睡于何处,随着时间的变迁,也许被人渐渐遗忘。要理清一切,重拾记忆,唯一的希望便是找到那台发着微弱电波,记忆着一切的黑匣子。 服务器网站的日志记录便是如此,它就是网站服务器的黑匣子,日常运维中我们遭遇故障往往非常依赖分析统计的日志来找到问题。像是悬疑电影中的主角,每几分钟就会忘记自己的身份自己的姓名,需要在本子上不

OSSIM中分布式消息队列应用 - 2016-03-21 14:03:48

OSSIM中分布式消息队列应用 1. 消息队列处理 企业日志数量正在以指数级形式高速增长,日志数据的具有海量、多样、异构等特点,基于传统的单一节点混合式安装的OSSIM平台(指OSSIM 4.4及以下系统),无法满足海量日志分析要求。在OSSIM 4.4以后的系统中增加了中间件RabbitMQ,可通过RabbitMQ将系统中各组件解除耦合,避免了系统中运行模块的影响(例如MySQL的写操作等),这样设计可实现分布式日志分析平台的要求。 在网络出现故障前或故障过程中,各种设备和服务器会发送大量日志到日志服务
小道消息:2016爱维Linux高薪实战运维提高班全新登场,课程大纲: http://www.iivey.com/666-2 一、选择Percona Server、MariaDB还是MYSQL 1、Mysql三种存储引擎 MySQL提供了两种存储引擎:MyISAM和 InnoDB,MySQL4和5使用默认的MyISAM存储引擎。从MYSQL5.5开始,MySQL已将默认存储引擎从MyISAM更改为InnoDB。 MyISAM没有提供事务支持,而InnoDB提供了事务支持。 XtraDB是InnoDB存储引