213.9k联通超出流量1m多少钱是多少钱
点击联系发帖人
时间:2016-02-29 11:43
扫一扫关注官方微信
后使用快捷导航没有帐号?
钻石会员, 积分 4139, 距离下一级还需 5861 积分
积分4139精华0阅读权限90注册时间在线时间22 小时最后登录分享主题记录好友日志相册帖子UID73317
Ta的其他好帖:
钻石会员, 积分 4139, 距离下一级还需 5861 积分
发出去的流量福袋,朋友领了后,竟然要求在流量银行里绑浦发卡才能提取,结果三个朋友领了后都不能提。
流量我支出了,但是朋友没有真正的领到,浦发不但截了流量还赚了眼球,这招真绝!
【扔】鸡蛋&
白金会员, 积分 2809, 距离下一级还需 191 积分
积分2809精华0阅读权限70注册时间在线时间26 小时最后登录分享主题记录好友日志相册帖子UID121972
白金会员, 积分 2809, 距离下一级还需 191 积分
细则写了,如果对方不是持卡人,办卡之后才可以用这部分流量。
参与活动不看细则?
钻石会员, 积分 5197, 距离下一级还需 4803 积分
积分5197精华0阅读权限90注册时间在线时间103 小时最后登录分享主题记录好友日志相册帖子UID87873
实名认证勋章
摄影师勋章
钻石会员, 积分 5197, 距离下一级还需 4803 积分
早想到了,所以只在浦发群里互发
蓝钻会员, 积分 12684, 距离下一级还需 7316 积分
积分12684精华0阅读权限92注册时间在线时间556 小时最后登录分享主题记录好友日志相册帖子UID60402
蓝钻会员, 积分 12684, 距离下一级还需 7316 积分
参加活动不看细则怪谁
金卡会员, 积分 616, 距离下一级还需 384 积分
积分616精华0阅读权限50注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID314146
金卡会员, 积分 616, 距离下一级还需 384 积分
没浦发卡你叫他抢什么?难道抢到让浦发给它充个5M10M的流量?
所有这些活动赠送的流量各银行或网站都必须跟移动联通买成流量包才能送到客户手机上。
这应该算基本常识了
钻石会员, 积分 7078, 距离下一级还需 2922 积分
积分7078精华0阅读权限90注册时间在线时间781 小时最后登录分享主题记录好友日志相册帖子UID57264
实名认证勋章
钻石会员, 积分 7078, 距离下一级还需 2922 积分
没有浦发卡,人家怎么给你创建用户呢?
专业填坑小能手
钻石会员, 积分 4164, 距离下一级还需 5836 积分
积分4164精华0阅读权限90注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID127882
实名认证勋章
钻石会员, 积分 4164, 距离下一级还需 5836 积分
钻石会员, 积分 6652, 距离下一级还需 3348 积分
积分6652精华0阅读权限90注册时间在线时间195 小时最后登录分享主题记录好友日志相册帖子UID46404
钻石会员, 积分 6652, 距离下一级还需 3348 积分
仔细研究细则后果断放弃
钻石会员, 积分 5346, 距离下一级还需 4654 积分
积分5346精华0阅读权限90注册时间在线时间50 小时最后登录分享主题记录好友日志相册帖子UID91570
钻石会员, 积分 5346, 距离下一级还需 4654 积分
没领成功的会退给你
钻石会员, 积分 8356, 距离下一级还需 1644 积分
积分8356精华0阅读权限90注册时间在线时间375 小时最后登录分享主题记录好友日志相册帖子UID3722
钻石会员, 积分 8356, 距离下一级还需 1644 积分
微风 发表于
没领成功的会退给你
人家是领成功了。只是没卡无法提取
积分1199精华0阅读权限90注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID1046203
浦发联名卡勋章
实名认证勋章
是你自己坑好不好
钻石会员, 积分 9920, 距离下一级还需 80 积分
积分9920精华5阅读权限90注册时间在线时间223 小时最后登录分享主题记录好友日志相册帖子UID58886
钻石会员, 积分 9920, 距离下一级还需 80 积分
下次记得看细则。。。。
钻石会员, 积分 8118, 距离下一级还需 1882 积分
积分8118精华0阅读权限90注册时间在线时间376 小时最后登录分享主题记录好友日志相册帖子UID24873
钻石会员, 积分 8118, 距离下一级还需 1882 积分
hong包群随便3个人再组个小群不就搞定了
钻石会员, 积分 3903, 距离下一级还需 6097 积分
积分3903精华0阅读权限90注册时间在线时间143 小时最后登录分享主题记录好友日志相册帖子UID74190
钻石会员, 积分 3903, 距离下一级还需 6097 积分
还有没一个坑。。。福袋领取的有效期很短,到12月底。。。不是跟随原来流量的有效期。。。
金卡会员, 积分 917, 距离下一级还需 83 积分
积分917精华0阅读权限50注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID327283
金卡会员, 积分 917, 距离下一级还需 83 积分
醉了,没卡搞啥啊
猴AE白6W/白麒麟6W/和6W/PLMM45K/光头强34.5K/大润发24K/建9K
钻石会员, 积分 3784, 距离下一级还需 6216 积分
积分3784精华0阅读权限90注册时间在线时间114 小时最后登录分享主题记录好友日志相册帖子UID76940
钻石会员, 积分 3784, 距离下一级还需 6216 积分
我操.亏了!
钻石会员, 积分 4139, 距离下一级还需 5861 积分
积分4139精华0阅读权限90注册时间在线时间22 小时最后登录分享主题记录好友日志相册帖子UID73317
钻石会员, 积分 4139, 距离下一级还需 5861 积分
道德帝真多!
如果是浦发出的流量,分给别人,强制要求绑卡可提,我没什么意见,可现在是我自己的流量分给朋友,竟然不能提,分给朋友流量为什么就一定要朋友有浦发卡,我每月都给朋友充流量的,这次好玩点不可以啊
白金会员, 积分 1157, 距离下一级还需 1843 积分
积分1157精华0阅读权限70注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID1009136
白金会员, 积分 1157, 距离下一级还需 1843 积分
还有一个大坑, 今天只限20000名,你有可能被反撸,什么都没有
白金会员, 积分 2291, 距离下一级还需 709 积分
积分2291精华0阅读权限70注册时间在线时间170 小时最后登录分享主题记录好友日志相册帖子UID81646
白金会员, 积分 2291, 距离下一级还需 709 积分
群里发了,都没人回
白金会员, 积分 1424, 距离下一级还需 1576 积分
积分1424精华0阅读权限70注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID309456
白金会员, 积分 1424, 距离下一级还需 1576 积分
福袋发出24小时无人领取会自动返回账户
通过认证的帅哥,特颁发此奖!
实名认证勋章
通过实名认证获得的勋章
摄影师勋章
热衷摄影原创,摄影作品优质高产,特颁发此奖!
浦发联名卡勋章
浦发飞客联名卡持卡人勋章
快速预订链接
扫一扫关注官方微信
扫一扫下载APP
Powered by
版权所有 沪ICP备号网络流量分析_吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:36,361贴子:
网络流量分析收藏
网络流量分析(一)&
原著:&Karen&Frederick&
以往关于入侵分析的文章都把注意力集中在可疑的数据包(TCP包或者保留的IP地址)上.但是弄清楚什么是正常的网络数
据流也是非常重要的.知道什么是正常数据流最好的办法就是先产生一些正常的数据流,然后拦截数据包进行分析.在本文
中,本人介绍一些截获数据包的工具并对截获数据进行一些分析,顺带说一下非正常的数据流.学习本文的前提在于你已经
有TCP/IP的基础.&
现在已经有了&很多截获数据包的工具,最有名的是UNIX下的TCPDUMP和WINDOWS下面的WINDUMP.我在自己家98的机器上用
过WINDUMP2.1,用CABLE&MODEM上网拦截数据包,不过需要指出的是:未经授权而拦截数据包时你可千万要小心啊.&
WINDUMP基础&
WINDUMP使用起来很简单,在它的站点上你可以找到使用文件.我经常用的命令是
WINDUMP&–N&–S,或者WINDUMP&–n&–S&–v&或者WINDUMP&–n-S-vv.-N是不显示计算机名而直接显示IP地址;-S是显示
TCP/IP的实际进程数,如果不选择这个选项,可能出现的就是近似值,比如:如果现在的进程数是,下一秒变成了多
了一个,就会显示出来是.-V和-VV是让机器显示更加全面的信息,显示诸如存活时间/IP的ID等信息.&
在开始剖析例子之前,我们先看一下WINDUMP记录的不同种类的数据包,这里有一个TCP的例子,&
13:45:19.184932&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(32)&ack&
&win&32120&(DF)&
13:45:19.184932&[timestamp]&&&&sshserver.xx.yy.zz.22&[source&address&and&port]&&&&&&
mypc.xx.yy.zz.3164:&[destination&address&and&port]&&&&P&[TCP&flags]&&&&:&
[sequence&numbers]&&&&(32)&[bytes&of&data]&&&&ack&&[acknowledgment&flag&and&number]&&&&win&
32120&[window&size]&&&&(DF)&[don't&fragment&flag&is&set]&
and&then&gives&the&number&of&data&bytes&in&the&packet:&
下一个是UDP的例子,里面也是该有的全有了:时戳/数据源地址和端口/目的地地址和端口,最后还招供了使用的协议(UDP)和
数据包里面的数据数&
15:19:14..148.96.68.23079&&&mypc.xx.yy.zz.6976:&&udp&401&
ICMP包格式也是类似的,只是注意一下最后,出现了存活时间和IP的ID,当然,你要使用-V选项&
18:33:45.649204&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56693)&
最后,WINDUMP也抓获ARP请求和回复.我们来看看:第一行是ARP请求;在这个例子里,MYPC把MAC地址为24.167.235.1的机器信
息发送MYPC.XX.YY.ZZ(MYPC的IP地址),第二行则显示了ARP回复,包含着24.167.235.1这个MAC地址.&
13:45:13.836036&arp&who-has&24.167.235.1&tell&mypc.xx.yy.zz&
13:45:13.841823&arp&reply&24.167.235.1&is-at&0:xx:xx:xx:xx:xx&
UDP和ICMP例子&
上面我们已经看过了WINDUMP的记录格式,接下来我们看看数据包:MYPC使用DHCP来获得IP地址,而DHCP租用是定时更新的,这
个过程是从MYPC的68端口到DHCP机器的67端口,然后由DHCP服务器回送到MYPC&
18:47:02.667860&mypc.xx.yy.zz.68&&&dnsserver.xx.yy.zz.67:&&xid:0x8d716e0f&C:mypc.xx.yy.zz&[|bootp]&
18:47:03.509471&dnsserver.xx.yy.zz.67&&&mypc.xx.yy.zz.68:&&xid:0x8d716e0f&C:mypc.xx.yy.zz&
Y:mypc.xx.yy.zz&[|bootp]&
WINDUMP的一个好处就在于它可以自动识别协议和记录的其他信息,在这个例子里,他就识别出这是一个BOOTP,所以它不仅记
录了标准的UDP记录,而且记录了BOOTP的特定信息:XID,C,Y.&
现在我们来看看一些ICMP数据:一个例子就是你在98机器上使用TRACERT命令时出现的数据流,WINDOWS使用ICMP来识别系统之
间的跳(UNIX则使用UDP).&
WINDOWS在执行路由追踪时先向目的主机发送3个ICMP包,将存活时间设为1,这意味着当数据包到达第一跳时,数值会降为0.此
时.第一跳的机器会将ICMP超时错的信息回送到主机,主机就再发出3个ICMP包,将跳数设为2,所以这会就可以在时延结束前到
达第二跳的机器,第二跳的机器就又将时延错回送到主机,主机重新再发ICMP包,如此这般,直到找到目标机或者中间有一关将
数据流截断为止.&
which&is&one&of&the&intermediate&network&devices&between&mypc&and&64.208.34.100.&
这里就有一个路由追踪的例子,ICMP的时延值已经被设为1,2,3而且都已经过期,由于尚未到达最终目的机,WINDOWS开始发送
时延设为4的ICMP包,这里是第一个数据包和回复&,请注意虽然第一个数据包的目的地址是64.208.34.100,回复却来自于
24.95.80.133,这是MYPC和64.208.34.100之间的一个网络设施的地址.&
18:33:45.649204&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56693)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
在收到时延错误信息的千分之一秒内,MYPC发出后续的ICMP包,在收到数据包的错误信息时,机器立即发送出第三个ICMP包:&
18:33:45.669968&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56949)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
18:33:45.691863&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&57205)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
请注意这些数据相当近似,只是每一个ICMP回应请求中IP的ID号不同,这点很重要,我们应该对IP的ID号雷同的现象引起高度
的重视.&
检测SSH进程&
SSH是一个更加典型的数据流.我在工作站上装了个SSH的客户并连接到一个开了俺帐户的机器上.&
我有用于连接到SSH服务器上的SSH的客户端软件.我的机器并不直到SSH服务器的IP地址,所以他需要DNS的服务,不幸的是,我
的机器上又使不了DNS,所以没办法的办法之一就是先使ARP取得默认网关的MAC地址.&
13:45:13.836036&arp&who-has&gateway.xx.yy.zz&tell&mypc.xx.yy.zz&
13:45:13.841823&arp&reply&gateway.xx.yy.zz&is-at&0:xx:xx:xx:xx:xx&
would&expect&with&a&DNS&query:&
现在可以连接到网关上了,MYPC可以发出如下所示的DNS请求,请注意MYPC使用了大于1023的端口,要求建立到DNS的53端口的
连接,这种请求使用的是UDP协议&
13:45:13.841920&mypc.xx.yy.zz.3163&&&dnsserver.xx.yy.zz.53:&&1+&A?&sshserver.&(32)&
DNS请求的结果是”1+A&SSHSERVER”,我们可以认为这是一个IP地址的进程,因为A和+证明我们要求的是一个循环进程,1是
DNS请求数,用于匹配DNS的请求和回复,SSHSERVER则是我们要解析的名字&
以下是DNS服务器的回应:&
13:45:13.947208&dnsserver.xx.yy.zz.53&&&mypc.xx.yy.zz.3163:&&1&q:&sshserver.&3/4/6&sshserver.&CNAME&
ssh2server.,&ssh2server.&CNAME&ssh3server.,&ssh3server.&A&sshserver.xx.yy.zz&(283)&
回复情况由&1&q:&sshserver.&3/4/6&体现,1是DNS的进程序号,&&q:&sshserver.&是显示我们的请求,3/4/6是显示有3个回
复,4个标准记录和6个额外记录,和SSHSERVER连接的IP地址方在A后面&
现在我们知道了SSH服务器的IP地址,就可以连上去了,MYPC开始三次握手:&
13:45:13.956853&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&S&34271(0)&win&65535&&(DF)&
13:45:14.059243&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&S&:(0)&ack&&
win&32120&&(DF)&
13:45:14.059475&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&34272(0)&ack&&
win&65535&(DF)&
三次握手完成,记住:即使2台机器在SSH端口建立了连接,我也没有登录到SSH服务器上去,在3次握手完成前机器间并没有数
据交流.SSH客户和服务器是建立了SSH进程,通过下面的数据包进行交流:&
13:45:19.184932&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(32)&ack&
&win&32120&(DF)&
13:45:19.201814&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&34314(42)&ack&&
win&65503&(DF)&
13:45:19.300401&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:19.300616&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&)&ack&&
win&65503&(DF)&
13:45:19.303977&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(928)&ack&
&win&32120&(DF)&
13:45:19.422141&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:19.488282&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&34690(0)&ack&&
win&64575&(DF)&
sshserver's&port&22.&
我敲了密码,正式作为用户登录了进去,所有我使用SSH服务器所产生的数据流都很类似,在MYPC的3136端口和SERVER的22端
口之间,有PSH/ACK和ACK包.&
我从SSHSERVER注销的时候,服务器和客户机之间也有数据流产生,客户机收到来自服务器的最后数据:&
13:45:33.791528&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&35474(32)&ack&&
win&64359&(DF)&
13:45:33.902690&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
一旦收到这个数据,客户机就自动断开连接,服务器确认断开:&
13:45:33.902909&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&F&35474(0)&ack&&
win&64359&(DF)&
13:45:34.002179&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:34.003336&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&F&:(0)&ack&&
win&32120&(DF)&
13:45:34.003492&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&35475(0)&ack&&
win&64359&(DF)&
所以,我们可以归纳出SSH连接的5个步骤:&
(1)使用ARP确认MYPC的默认网关的MAC地址&
(2)发出DNS请求确认SSH服务器的IP地址&
(3)MYPC的高端口和SSHSERVER低端口间的三次TCP握手&
(4)MYPC和SSHSERVER之间的数据交流,包括建立SSH连接,用户认证和数据传输.&
(5)MYPC和服务器间的TCP连接断开&
在这个例子里,SSH客户机使用的是高端口(高于1023).在一般连接里,客户机使用的高端口而服务器使用的是低端口,但是
需要引起注意的是很多SSH的客户机也使用低端口,所以千万别让一个和本文例子不同的情况把你给弄糊涂了&
在和SSH类似的连接里,有更多的如TELNET等协议&
结论&
对例行的网络流量进行分析是好好了解TCP/IP和我们环境的好办法,每次我拦截数据包时,我总能学到点新东西,如果你对
本文有了兴趣,&我强烈建议你生产/拦截并分析你自己的数据包,&我只是稍微进行&了一些介绍,后面将继续介绍更多的数
据流分析,尤其是FTP和HTTP.&
以下为作者简介:&
Karen&Frederick&is&a&senior&security&engineer&for&NFR&Security.&Karen&has&a&B.S.&in&Computer&Science&and&
is&completing&her&Master's&thesis&in&intrusion&detection&through&the&University&of&Idaho's&Engineering&
Outreach&program.&She&holds&several&certifications,&including&Microsoft&Certified&Systems&Engineer&+&Internet,&
Check&Point&Certified&Security&Administrator,&and&SANS&GIAC&Certified&Intrusion&Analyst.&Karen&is&one&of&
the&authors&and&editors&of&&Intrusion&Signatures&and&Analysis&,&a&new&book&on&intrusion&detection&that&was&
published&in&January&2001.&
--------------------------------------------------------------------------------&
网络流量分析(二)&
--------------------------------------------------------------------------------&
(译者注:&作者在这里又把前面一篇文章开头的话说了半天,俺就全给他省了)在以前的文章里已经探讨了TCP/UDP/SSH的情况,
下面我们来看FTP,你应该有TC排队基础,熟知WINDUMP和TCPDUMP的报告格式,这些我们在前文里面已经介绍过了&
标准的FTP进程&
FTP建立进程的方式非常有趣.在检测FTP流量前,我从MYPC.XX.YY.ZZ到远程的FTP服务器建立一个连接,假设这个服务器是
(207.46.133.140)&
FTP进程和我们上文见到的SSH进程的建立方式有些类似,首先取得默认网关的MAC地址,只是这里这个过程在MYPC的ARP&CACHE
里完成,不必劳烦动用ARP请求,这个结果会在DNS里面见到,请求获得目的FTP服务器的IP地址后,又取得一个DNS回复,注意这
些UDP包,客户机使用高端口而服务器使用低端口53用于DNS解析.&
13:50:46.490130&mypc.xx.yy.zz.3170&&&dnsserver.xx.yy.zz.53:&1+&A?&.&(35)&
13:50:46.500269&dnsserver.xx.yy.zz.53&&&mypc.xx.yy.zz.3170:&1&q:&.&1/4/4&
.&A&207.46.133.140&(215)&
现在MYPC有了服务器的IP地址:&207.46.133.140,立即于服务器的21端口建立TCP的三次握手&
13:50:46.564494&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&S&66930(0)&
win&65535&(DF)&
13:50:46..46.133.140.21&&&mypc.xx.yy.zz.3171:&S&:(0)&
ack&&win&17520&(DF)&
13:50:46.672155&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66931(0)&
ack&&win&65535&(DF)&
握手完成后,客户机开始和FTP服务器交换信息,服务器要求用户提供用户名,我敲了anonymous而且输入EMAIL作为密码,
这一系列交流是通过PUSH/ACK和ACK包完成的.下面就是一个例子,在例子里面,MYPC使用的是3171端口,服务器是21端口&
13:50:46..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(55)&
ack&&win&17520&(DF)&
13:50:46.896881&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66931(0)&
ack&&win&65480&(DF)&
13:50:48.282313&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&66947(16)&
ack&&win&65480&(DF)&
13:50:48..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(72)&
ack&&win&17504&(DF)&
13:50:48.495939&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66947(0)&
ack&&win&65408&(DF)&
和SSH相比,FTP有些差别:它在整个连接过程中采用进程控制.用户向服务器的请求和服务器对客户的回应都通过这个控制
通道进行.类似目录列表/上传和下载这样的数据传输则不通过这个通道进行,在这个例子里,客户机的3171端口个服务器的
21端口就是控制通道,当用户下载文件或者要求列出目录列表时,相应的数据传输实际上是通过另外一个连接进行的.&
当用户使用LS命令来要求列出目录时,相应的步骤开始了.服务器为了初始化一个到客户机的连接,它就必须知道和客户机的
哪个端口建立连接.在这个记录文件里,在第一行里:&客户机告诉服务器用于连接的IP地址和端口号;第二行则是服务器的回
复,告诉客户机IP地址和端口号被接受;第三行是客户机要求列出目录列表,第四行则是服务器告知客户机自己正在初始化连接&
13:50:53.501031&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&66994(28)&
ack&&win&65291&(DF)&
13:50:53..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(30)&
ack&&win&17457&(DF)&
13:50:53.632708&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&67000(6)&
ack&&win&65261&(DF)&
13:50:53..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(55)&
ack&&win&17451&(DF)&
为了传输数据(,在这里是客户机从服务器取得的目录列表,),服务器初始化了一个从自己的20端口到客户机指定端口(这里
是3172)的连接,我们看到三次握手建立,服务器开始向客户机发送PUSH/ACK数据包,这里面就有文件列表,因为他正好小到
可以放进一个包里.&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&S&:(0)&
win&16384&(DF)&
13:50:53.738200&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&S&74104(0)&
ack&&win&65535&(DF)&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&.&:(0)&
ack&&win&17520&(DF)&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&P&:(164)&
ack&&win&17520&(DF)&
这时,出现了2个独立的连接:&
一个是客户机的3171和服务器的21端口的连接&
一个是客户机的3172和服务器的20端口的连接&
服务器一旦完成目录列表的传输,就采用发送FIN/ACK包数据的方式准备结束连接.需要注意的是服务器仅仅在自己的20端
口上结束了连接而不是21端口上的控制通道.当数据传输连接截断后,控制通道内仍然有数据传输.下面记录的第五行就显
示了控制通道内一个24字节的传输,从客户机的角度看来,是一个”226&TRANSFER&COMPLETE”的显示,表示传输成功.&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&F&:(0)&
ack&&win&17520&(DF)&
13:50:53.851068&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&.&74105(0)&
ack&&win&65371&(DF)&
13:50:53.895937&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&67000(0)&
ack&&win&65206&(DF)&
13:50:53.903415&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&F&74105(0)&
ack&&win&65371(DF)&
13:50:54..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(24)&
ack&&win&17451&(DF)&
13:50:54..46.133.140.20&&&mypc.xx.yy.zz.3172:&.&:(0)&
ack&&win&17520&(DF)&
13:50:54.196818&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&67000(0)&
ack&&win&65182&(DF)&
如果我从服务器下载数据,我们会看见相同的数据进程,服务器会从自己的20端口到客户机的新的高端口建立一个连接,
进行三次握手,数据是通过这个连接进行传输,传输一旦完成,连接即告断开.&
在FTP进程里,在同一时间内可能存在多个数据连接,每建立一个连接,一个新的客户机的端口就被打开使用,仅仅看到进程
的一部分的话,可能会被认为是一个端口扫描,尤其是当客户机端口有保护时.所以遇见这种情况时,你就应该仔细看看数
据传输的情况以判断到底是端口扫描还是仅仅只是FTP连接.&
被动的FTP进程&
FTP的另一特殊之处在于服务器要初始化和客户机的连接,而不是由客户机初始化所有与服务器的连接,由于他的这种特性,
可能会导致一些防火墙和包过滤器的过激反应.为了解决这个问题,用户可以采用被动FTP来取代标准FTP.&
被动FTP在开始时个一般的FTP一样:客户机先初始化一个从服务器21端口到自己高端口的连接,当需要开放一个数据传输
通道是,服务器向客户机发送一个可供选择的高端口号,客户机则初始化从自己的高端口和服务器的高端口的连接.所以在
使用被动FTP时,20端口从不被使用,所有数据传输均通过高端口进行.&
这里有一个被动FTP工作的例子,信息源是一台OPENBSD2.8,截获手段是TCPDUMP,OPENBSD的客户端的默认设置是使用被动FTP&
首先,被动的FTP和普通的FTP一样,客户机初始化一个从自己的高端口到服务器21端口的TCP连接(请注意我这里用的是OPENBSD
下的TCPDUMP而不是WINDOWS下面的WINDUMP,所以记录看来有很大的差别)&
15:57:28.005993&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&S&)&
win&16384&
15:57:28..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&S&:(0)&
ack&&win&17520&(DF)&
15:57:28.099193&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17376&
15:57:28..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(55)&
ack&&win&17520&(DF)&
15:57:28.193413&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&ack&&win&17376&
(N.B.:&Several&additional&PUSH/ACK&and&ACK&packets&have&been&omitted.)&
(作者原注:这里省略了好多PUSH/ACK和ACK数据包)&
the&client&simply&acknowledges&that&it&has&received&the&packet&with&the&port&information.&
接下来,我键入LS以取得文件列表,在第一个数据包里,我的FTP客户机告诉服务器要使用被动FTP,第二个包则是服务器的
回应,包括了分配以用于连接的服务器IP地址和端口号,在第三个包里,客户机确认已经收到了包含端口信息的数据包.&
15:57:36.243722&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&P&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(51)&
ack&&win&17467&(DF)&
15:57:36.342213&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17325&
现在客户机知道使用服务器的哪一个端口,从另一高端口建立了一个倒服务器的连接,在这里是端口24626,服务器使用端口
3668,三次握手建立,我们就看见服务器21端口和客户机28348端口间的控制通道里开始有数据传输&
15:57:36.342370&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&S&)&
win&16384&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&S&:(0)&
ack&&win&17520&(DF)&
15:57:36.440076&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&17376&
15:57:36.440167&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&P&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(54)&
ack&&win&17461&(DF)&
15:57:36.542638&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&ack&&win&17322&
数据传输连接已经建立,文件列表得以传输,如果你现在看看依照时戳的记录,似乎是在数据传输结束前(第三行)服务器就
终止了连接(第一行),如果你再看下去,你就会发现收到的数据包是杂乱无章的,0字节的数据包后于1167字节的数据包发出,
但是却先被收到,当你分析记录时按时戳顺序是很有用的,但是你最好注意序列号.&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&F&:(0)&
ack&&win&17520&(DF)&
15:57:36.547367&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&17376&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&P&:(1167)&
ack&&win&17520&(DF)&
15:57:36.549396&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&16209&
15:57:36.551374&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&F&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(24)&
ack&&win&17461&(DF)&
15:57:36.635211&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17376&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&.&
ack&&win&17520&(DF)&
小结&
我们已经深入分析了FTP,FTP用2种方式连接:数据控制:控制通道用于发送客户机到服务器的命令请求和服务器的回应.FTP
客户机初始化一个到服务器的控制连接.在标准FTP里,服务器初始化所有的到客户机的连接,在被动FTP里,客户机初始化所
有的到服务器的数据传输.
MRTG&Router&流量分析架设法&
流量分析的用途:&
MRTG&流量分析,&是一个可以从支援&SNMP&网路设备中取得流量资讯,&然後分析这些资讯,&绘成网页&格式图表的工具.&它可以让网管人员,&很快地藉由流量负载,&来判断网路或设备发生问题的可能原&因.&
架设前的注意事项:&
本讲义,&假设您打算把流量分析,&放在&/home/httpd/html/mrtg&这个目录下,&以下均以这个目录为&说明的示位置,&如果您打算按本讲义说明来架设贵校的流量分析,&请在&/home/httpd/html&下,开设&一个&mrtg&的子目录.&
本讲义中的&163.26.167.126&这个&router&的&IP&只是个示,&您应该将它换成贵校&router&的&IP.&
确定主机中已安装了&GD&Library&(下&rpm&-q&gd可查知)&
架设步骤:&
取得&MRTG&的软体:目前(2000/03)最新版本&2.8.12&
ftp://linux.tnc.edu.tw/pub/Sysop/MRTG/mrtg-2.8.12.tar.gz&
MRTG&作者的站台:&
&
解压,&并进入解压後的目录中:&
tar&xvzf&mrtg-2.8.12.tar.gz&
cd&mrtg-2.8.12&
执行设定程式:&
./configure&
执行编译及相关设定Perl路径的动作:&
make&
拷贝相关目录至&/home/httpd/html/mrtg&中&
a.&将&mrtg&的一些标图档拷贝至&/home/httpd/html/mrtg&目录中&
cp&images/*&/home/httpd/html/mrtg&
b.&将&run&目录拷贝至&/home/httpd/html/mrtg&中&
cp&-R&run&/home/httpd/html/mrtg&
产生&mrtg&的设定档:&
a.&进入&run&这个目录&
cd&/home/httpd/html/mrtg/run&
b.&开始产生设定档啦!&
./cfgmaker&public@163.26.167.126&&&mrtg.conf&
其中&@&之後的&IP&即是贵校&router&的&IP,&记得将&163.26.167.126&换成贵校的.&
&&mrtg.conf&是说将输出内容存成&mrtg.conf&这个档案.&
修改&mrtg.conf&设定档:&
在&mrtg.conf&的上方,&加入&WorkDir&这个关键字:&
vi&mrtg.conf&
加上&WorkDir:&/home/httpd/html/mrtg&
以下是部份内容样本:&
WorkDir:&/home/httpd/html/mrtg&
######################################################################&
#&Description:&SW/NBSI-NW,11.2&
#&Contact:&
#&System&Name:&
#&Location:&
#.....................................................................&
Target[163.26.167.126.1]:&1:public@163.26.167.126&
MaxBytes[163.26.167.126.1]:&&
Title[163.26.167.126.1]:&3Com_NETBuilderETH/1-1&
PageTop[163.26.167.126.1]:&
Traffic&Analysis&for&3Com_NETBuilderETH/&1-1&
System:&3Com&NetBuilderETH
in&jmjh.tnc.edu.tw&
Maintainer:
OLS3&
Interface:
3Com_NETBuilderETH/1-1&(1)&
IP:
163.26.167.126&
Max&Speed:
12.5&MBytes/s&(ethernetCsmacd)&
开始执行&mrtg&:&
./mrtg&mrtg.conf&
第一次执行时,&可能会有很多&Warning&的讯息,&可以不必理会它,&无妨!&
此时,&您会在&/home/httpd/html/mrtg&中,&发现&mrtg&已帮您产生了许多流量分析的显示图表.&其&中&163.26.167.126.1.html&是主要的显示档.&
163.26.167.126&是&router&的&IP,&1&是介面&port&号,&两者合起来形成一个&label.&
让&mrtg&每五钟执行一次:&
为了让&mrtg&可以持续而完整的取得受测介面的资料,&通常我们会将&mrtg&设定成每五分钟就执行&一次,&这就要仰仗&cron&daemon&了.&
a.&设定&root&的&crontab:&
crontab&-u&root&-e&
它会带您进入&vi&模式(您看!&把&vi&练好真的很重要吧?!)&
b.&填入以下内容:&
*/5&*&*&*&*&/home/httpd/html/mrtg/run/mrtg&/home/httpd/html/mrtg/run/mrtg.conf&
然後存档离开.&
在&/home/httpd/html/mrtg&中产生&index.html&档:&
cd&/home/httpd/html/mrtg&
ln&-s&163.26.167.126.1.html&index.html&
往後只要用览浏器观看&贵校网址/mrtg&就可以看到流量分析了.
当然其它介面的流量分析档(例如&163.26.167.126.2.html)&也有参考价值,&请自行在贵校网页中加&上连结位置吧.&
MRTG&还有许多细节您必须去研读的,&请参考:mrtg-conf.htm&
疑难问题:&
在架设过程中,&您可能会遇到以下情况:&
loading&for&gcc...&gcc
checking&whether&the&c&compiler&(gcc)&works...&yes
checking&whether&the&c&compiler&(gcc)&is&a&cross-compiler...&no
checking&whether&we&are&using&GNN&c...&yes
checking&whether&gcc&accepts&-g...yes
checking&how&to&run&the&preprocessor...gcc-E
checking&make&sets&${MAKE}...&yes
checking&per...&/usr/bin/perl
checking&gdImageGif&in&-Igd&...&no
checking&gdImagePng&in&-Igd&...&no
**The&GD&libraryis&required&for&rateup&to&compile....................&
下&make&之後,&出现:
make:***NO&targets.&stop.&
这表示您的&Server&中尚未安装&GD&Library.&GD&Library&在&RedHat&光碟片中便有,&请先&用&rpm&指令安装&GD,&之後再来架设&mrtg.&
网络流量监控器mrtg全攻略
简介
&Mrtg(Multi&Router&Traffic&Grapher,MRTG)是一个监控网络链路流量负载的工具软件,&它通过snmp&协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML&文档方式显示给用户,以非&常直观的形式显示流量负载(可以在网站&得到mrtg的输出结果示例)。
关于mrtg的最详细的信息可以从得&到。
mrtg具有以下特色:
可移植性:目前可以运行在大多数Unix系统和Windows&NT之上。&
源码开放:Mrtg是用perl编写的,源代码完全开放。&
高可移植性的SNMP支持:Mrtg采用了Simon&Leinen编写的具有高可移植性的SNMP实现模&块,从而不依赖于&操作系统的SNMP模块支持。&
支持SNMPv2c:MRTG可以读取SNMPv2c的64位的记数器,从而大大减少了记数器回转次数。
可靠的接口标识:被监控的设备的接口可以以IP地址、设备描述、SNMP对接口的编号及&Mac地址来标识。&
常量大小的日志文件:MRTG的日志不会变大,因为这里使用了独特的数据合并算法。&
自动配置功能:MRTG自身有配置工具套件,使得配置过程非常简单。&
性能:时间敏感的部分使用C代码编写,因此具有很好的性能。&
PNG格式图形:图形采用GD库直接产生PNG格式。&
可定制性:MRTG产生的web页面是完全可以定制的。&
mrtg的主页是,可以从这里下载软件。
Mrtg兼容性
mrtg软件可以运行在以下的操作系统上:
Linux&1.2.x,&2.0.x,&2.2.x,&2.4.x&(Intel&and&Alpha&and&Sparc&and&PowerPC)&
Linux&MIPS,&Linux&S/390&
SunOS&4.1.3&
Solaris&2.4,&2.5,&2.5.1,&2.6,&7,&8&
AIX&4.1.4,&4.2.0.0,&4.3.2&
HPUX&9,10,11&
WindowsNT&3.51,&4.0,&2k,&XP
IRIX&5.3,&6.2&
BSDI&BSD/OS&2.1,&4.x,&3.1&
NetBSD&1.5.x&
FreeBSD&2.1.x,&2.2.x,&3.1,&3.4,&4.x&
OpenBSD&2.x&
Digital&Unix&4.0&
SCO&Open&Server&5.0&
Reliant&UNIX&
NeXTStep&3.3&
OpenStep&4.2&
Mac&OS&X&10.1&
And&about&and&other&sensible&Unix
可以通过mrtg监控的设备(目前市场上绝大多数产品都支持SNMP协议,只要支持SNMP协议的设备就都可以&使用MRTG来监控):
3Com&NETBuilders,&LANplex&6012&and&2500&
3Comðerswitches&and&hubs&
3Com&Linkswitch&00&
3Com&Superstack&II&switch&&MX&
3Com&812&ADSL&Router&
Alantec&powerhub&7000&
Allied&Telesyn&-&8224XL&and&8324XL&24&port&managed&switches&
Annex&terminal&server&
Asante&Hub&
Ascend&(Lucent)&Max&600,&[24]00x,&Pipeline&50,&TNT,&APX-8000,&MAX-6000&
Alcatel&(Assured&Access)&x1600,&OmniSR9,&OmniCore&5022&
AT&T&Wave&Point,&Lan&
BayNetworks&(Wellfleet)&7.80&and&up,&BayStack&350T,&Instant&Internet,&see&Nortel&
BreezeCom&AP,SA&
Cabletron&ESX-820&Etherswitch,&Smartswitch&&and&router&
Centillion&Token&Ring&SpeedSwtich&100&(IBM&8251&Token&Ring&Switch)&
About&every&Cisco&Kit&there&is&...&
CentreCOM&8116&
Compatible&Systems&
DECBridge&620,&DEC&900EF,&900EE,&Gigaswitch&
ELSA&Lancom&L&11&(Wireless&Router)&
Enterasys&Matrix&E5,&VH-4802&and&VH-2402S&Switche&
Ericsson&Tirgis&Series&RAS&Servers&
Extreme&Networks&--&Blackdiamond&6808&&&Alpine&3808&Layer&3&Switches&
Fore&ASX200&ATM&
FlowPoint&2200&ATM/DSL&Router&
formula&8200&series&
Foundry&BigIron&8000&Gigabit,&FastIron&Switch,&ServerIron&Switch&
Cable&Modems&from&Lancity,&Terayon&and&DOCSIS&
HP&-&network&interfaces,&disks,&database&Informix&
HP&AdvanceStack/Procurve&Switch&2000&and&2524,&AdvanceStack&Switch&200&
HP&Procurve&Switches&,&model&4000m,&2424m&and&2400m&
IBM&8260&swtich&(with&155MB&ATM&blades&installed),&IBM&2210&ISDN&Routers.&
Intel&switches&(details)&--&510T,&Intel&Gigabit&Server&adapter&
IMV&Victron&NetPro&3000&UPS&
Kentrox&Pacesetter&Pro&
Lantronix&Bridge&
Lucent/Xedia&Access&PointT&450,&1000&
Livingston&(Lucent)&IRX&3.2.1R,&IRX&114,&PM2E(R)&PM3-2E&OR-U&
Motorola&6560&Regional&Node,&SB3100&CableModem,&320,&6430&and&6455&routers&
Morningstar&terminal&servers/routers&
MGE&(Merlin&Gerin)&UPSes&(details)&
Network&Appliance&
Netopia&R7100C&SDSL&
Netscreen&5&/&10&/&100&
Nortel&Networks,&Bay&Routers&BCN,&BLN,&ASN,&ARN,&AN,&Passport&1k&and&Passport&8k3&series&L3&switches,&BayStack&450&L2&switches.&
Nortel&Networks,&Accelar&L3&Switches&
Nokia&IP&330/440/650&
Nbaseðernet&switch&
Novell&3.11,&4.11&
Rmon&probes&
SGI-Server&(Irix&5.3)&
Any&server&server&running&HP-UX,&Ultrix,&Solaris,&SunOS,&OSF,&NetBSD,&FreeBSD,&BSDi,&Linux,&AIX,&OpenBSD,&Irix&or&even&Windows&operating&systems&(badly),&when&using&NET-SNMP&(former&UCD-SNMP).&
Apple&Mac&(An&snmp&service&is&included&on&the&OS&CD&&=&8.5&)&
Shiva&Accesport&
Solaris&Server&
Squid&Web&cache&
US-Robotics&Total&Control&Modemracks&
Wellfleet&(later&Bay&Networks):&see&Nortel&routers&
WaveWireless&SpeedLan&8x00&RF&Routers&
WinNT,&MS&Proxy&
Xylan&(today&Alcatel)&4024C&24port&10/100&OmniStack&Switch,&9k&devices,&including&ATM&links.&
Yamaha&rt100i&
Zyxel&Prestige&P310,&153X,&642.&
不支持mrtg的设备:
D-Link&switches&(details)
快试试吧,可以对自己使用挽尊卡咯~◆◆
晕``````这谁都知道&大哥``````
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或}
后使用快捷导航没有帐号?
钻石会员, 积分 4139, 距离下一级还需 5861 积分
积分4139精华0阅读权限90注册时间在线时间22 小时最后登录分享主题记录好友日志相册帖子UID73317
Ta的其他好帖:
钻石会员, 积分 4139, 距离下一级还需 5861 积分
发出去的流量福袋,朋友领了后,竟然要求在流量银行里绑浦发卡才能提取,结果三个朋友领了后都不能提。
流量我支出了,但是朋友没有真正的领到,浦发不但截了流量还赚了眼球,这招真绝!
【扔】鸡蛋&
白金会员, 积分 2809, 距离下一级还需 191 积分
积分2809精华0阅读权限70注册时间在线时间26 小时最后登录分享主题记录好友日志相册帖子UID121972
白金会员, 积分 2809, 距离下一级还需 191 积分
细则写了,如果对方不是持卡人,办卡之后才可以用这部分流量。
参与活动不看细则?
钻石会员, 积分 5197, 距离下一级还需 4803 积分
积分5197精华0阅读权限90注册时间在线时间103 小时最后登录分享主题记录好友日志相册帖子UID87873
实名认证勋章
摄影师勋章
钻石会员, 积分 5197, 距离下一级还需 4803 积分
早想到了,所以只在浦发群里互发
蓝钻会员, 积分 12684, 距离下一级还需 7316 积分
积分12684精华0阅读权限92注册时间在线时间556 小时最后登录分享主题记录好友日志相册帖子UID60402
蓝钻会员, 积分 12684, 距离下一级还需 7316 积分
参加活动不看细则怪谁
金卡会员, 积分 616, 距离下一级还需 384 积分
积分616精华0阅读权限50注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID314146
金卡会员, 积分 616, 距离下一级还需 384 积分
没浦发卡你叫他抢什么?难道抢到让浦发给它充个5M10M的流量?
所有这些活动赠送的流量各银行或网站都必须跟移动联通买成流量包才能送到客户手机上。
这应该算基本常识了
钻石会员, 积分 7078, 距离下一级还需 2922 积分
积分7078精华0阅读权限90注册时间在线时间781 小时最后登录分享主题记录好友日志相册帖子UID57264
实名认证勋章
钻石会员, 积分 7078, 距离下一级还需 2922 积分
没有浦发卡,人家怎么给你创建用户呢?
专业填坑小能手
钻石会员, 积分 4164, 距离下一级还需 5836 积分
积分4164精华0阅读权限90注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID127882
实名认证勋章
钻石会员, 积分 4164, 距离下一级还需 5836 积分
钻石会员, 积分 6652, 距离下一级还需 3348 积分
积分6652精华0阅读权限90注册时间在线时间195 小时最后登录分享主题记录好友日志相册帖子UID46404
钻石会员, 积分 6652, 距离下一级还需 3348 积分
仔细研究细则后果断放弃
钻石会员, 积分 5346, 距离下一级还需 4654 积分
积分5346精华0阅读权限90注册时间在线时间50 小时最后登录分享主题记录好友日志相册帖子UID91570
钻石会员, 积分 5346, 距离下一级还需 4654 积分
没领成功的会退给你
钻石会员, 积分 8356, 距离下一级还需 1644 积分
积分8356精华0阅读权限90注册时间在线时间375 小时最后登录分享主题记录好友日志相册帖子UID3722
钻石会员, 积分 8356, 距离下一级还需 1644 积分
微风 发表于
没领成功的会退给你
人家是领成功了。只是没卡无法提取
积分1199精华0阅读权限90注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID1046203
浦发联名卡勋章
实名认证勋章
是你自己坑好不好
钻石会员, 积分 9920, 距离下一级还需 80 积分
积分9920精华5阅读权限90注册时间在线时间223 小时最后登录分享主题记录好友日志相册帖子UID58886
钻石会员, 积分 9920, 距离下一级还需 80 积分
下次记得看细则。。。。
钻石会员, 积分 8118, 距离下一级还需 1882 积分
积分8118精华0阅读权限90注册时间在线时间376 小时最后登录分享主题记录好友日志相册帖子UID24873
钻石会员, 积分 8118, 距离下一级还需 1882 积分
hong包群随便3个人再组个小群不就搞定了
钻石会员, 积分 3903, 距离下一级还需 6097 积分
积分3903精华0阅读权限90注册时间在线时间143 小时最后登录分享主题记录好友日志相册帖子UID74190
钻石会员, 积分 3903, 距离下一级还需 6097 积分
还有没一个坑。。。福袋领取的有效期很短,到12月底。。。不是跟随原来流量的有效期。。。
金卡会员, 积分 917, 距离下一级还需 83 积分
积分917精华0阅读权限50注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID327283
金卡会员, 积分 917, 距离下一级还需 83 积分
醉了,没卡搞啥啊
猴AE白6W/白麒麟6W/和6W/PLMM45K/光头强34.5K/大润发24K/建9K
钻石会员, 积分 3784, 距离下一级还需 6216 积分
积分3784精华0阅读权限90注册时间在线时间114 小时最后登录分享主题记录好友日志相册帖子UID76940
钻石会员, 积分 3784, 距离下一级还需 6216 积分
我操.亏了!
钻石会员, 积分 4139, 距离下一级还需 5861 积分
积分4139精华0阅读权限90注册时间在线时间22 小时最后登录分享主题记录好友日志相册帖子UID73317
钻石会员, 积分 4139, 距离下一级还需 5861 积分
道德帝真多!
如果是浦发出的流量,分给别人,强制要求绑卡可提,我没什么意见,可现在是我自己的流量分给朋友,竟然不能提,分给朋友流量为什么就一定要朋友有浦发卡,我每月都给朋友充流量的,这次好玩点不可以啊
白金会员, 积分 1157, 距离下一级还需 1843 积分
积分1157精华0阅读权限70注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID1009136
白金会员, 积分 1157, 距离下一级还需 1843 积分
还有一个大坑, 今天只限20000名,你有可能被反撸,什么都没有
白金会员, 积分 2291, 距离下一级还需 709 积分
积分2291精华0阅读权限70注册时间在线时间170 小时最后登录分享主题记录好友日志相册帖子UID81646
白金会员, 积分 2291, 距离下一级还需 709 积分
群里发了,都没人回
白金会员, 积分 1424, 距离下一级还需 1576 积分
积分1424精华0阅读权限70注册时间在线时间0 小时最后登录分享主题记录好友日志相册帖子UID309456
白金会员, 积分 1424, 距离下一级还需 1576 积分
福袋发出24小时无人领取会自动返回账户
通过认证的帅哥,特颁发此奖!
实名认证勋章
通过实名认证获得的勋章
摄影师勋章
热衷摄影原创,摄影作品优质高产,特颁发此奖!
浦发联名卡勋章
浦发飞客联名卡持卡人勋章
快速预订链接
扫一扫关注官方微信
扫一扫下载APP
Powered by
版权所有 沪ICP备号网络流量分析_吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:36,361贴子:
网络流量分析收藏
网络流量分析(一)&
原著:&Karen&Frederick&
以往关于入侵分析的文章都把注意力集中在可疑的数据包(TCP包或者保留的IP地址)上.但是弄清楚什么是正常的网络数
据流也是非常重要的.知道什么是正常数据流最好的办法就是先产生一些正常的数据流,然后拦截数据包进行分析.在本文
中,本人介绍一些截获数据包的工具并对截获数据进行一些分析,顺带说一下非正常的数据流.学习本文的前提在于你已经
有TCP/IP的基础.&
现在已经有了&很多截获数据包的工具,最有名的是UNIX下的TCPDUMP和WINDOWS下面的WINDUMP.我在自己家98的机器上用
过WINDUMP2.1,用CABLE&MODEM上网拦截数据包,不过需要指出的是:未经授权而拦截数据包时你可千万要小心啊.&
WINDUMP基础&
WINDUMP使用起来很简单,在它的站点上你可以找到使用文件.我经常用的命令是
WINDUMP&–N&–S,或者WINDUMP&–n&–S&–v&或者WINDUMP&–n-S-vv.-N是不显示计算机名而直接显示IP地址;-S是显示
TCP/IP的实际进程数,如果不选择这个选项,可能出现的就是近似值,比如:如果现在的进程数是,下一秒变成了多
了一个,就会显示出来是.-V和-VV是让机器显示更加全面的信息,显示诸如存活时间/IP的ID等信息.&
在开始剖析例子之前,我们先看一下WINDUMP记录的不同种类的数据包,这里有一个TCP的例子,&
13:45:19.184932&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(32)&ack&
&win&32120&(DF)&
13:45:19.184932&[timestamp]&&&&sshserver.xx.yy.zz.22&[source&address&and&port]&&&&&&
mypc.xx.yy.zz.3164:&[destination&address&and&port]&&&&P&[TCP&flags]&&&&:&
[sequence&numbers]&&&&(32)&[bytes&of&data]&&&&ack&&[acknowledgment&flag&and&number]&&&&win&
32120&[window&size]&&&&(DF)&[don't&fragment&flag&is&set]&
and&then&gives&the&number&of&data&bytes&in&the&packet:&
下一个是UDP的例子,里面也是该有的全有了:时戳/数据源地址和端口/目的地地址和端口,最后还招供了使用的协议(UDP)和
数据包里面的数据数&
15:19:14..148.96.68.23079&&&mypc.xx.yy.zz.6976:&&udp&401&
ICMP包格式也是类似的,只是注意一下最后,出现了存活时间和IP的ID,当然,你要使用-V选项&
18:33:45.649204&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56693)&
最后,WINDUMP也抓获ARP请求和回复.我们来看看:第一行是ARP请求;在这个例子里,MYPC把MAC地址为24.167.235.1的机器信
息发送MYPC.XX.YY.ZZ(MYPC的IP地址),第二行则显示了ARP回复,包含着24.167.235.1这个MAC地址.&
13:45:13.836036&arp&who-has&24.167.235.1&tell&mypc.xx.yy.zz&
13:45:13.841823&arp&reply&24.167.235.1&is-at&0:xx:xx:xx:xx:xx&
UDP和ICMP例子&
上面我们已经看过了WINDUMP的记录格式,接下来我们看看数据包:MYPC使用DHCP来获得IP地址,而DHCP租用是定时更新的,这
个过程是从MYPC的68端口到DHCP机器的67端口,然后由DHCP服务器回送到MYPC&
18:47:02.667860&mypc.xx.yy.zz.68&&&dnsserver.xx.yy.zz.67:&&xid:0x8d716e0f&C:mypc.xx.yy.zz&[|bootp]&
18:47:03.509471&dnsserver.xx.yy.zz.67&&&mypc.xx.yy.zz.68:&&xid:0x8d716e0f&C:mypc.xx.yy.zz&
Y:mypc.xx.yy.zz&[|bootp]&
WINDUMP的一个好处就在于它可以自动识别协议和记录的其他信息,在这个例子里,他就识别出这是一个BOOTP,所以它不仅记
录了标准的UDP记录,而且记录了BOOTP的特定信息:XID,C,Y.&
现在我们来看看一些ICMP数据:一个例子就是你在98机器上使用TRACERT命令时出现的数据流,WINDOWS使用ICMP来识别系统之
间的跳(UNIX则使用UDP).&
WINDOWS在执行路由追踪时先向目的主机发送3个ICMP包,将存活时间设为1,这意味着当数据包到达第一跳时,数值会降为0.此
时.第一跳的机器会将ICMP超时错的信息回送到主机,主机就再发出3个ICMP包,将跳数设为2,所以这会就可以在时延结束前到
达第二跳的机器,第二跳的机器就又将时延错回送到主机,主机重新再发ICMP包,如此这般,直到找到目标机或者中间有一关将
数据流截断为止.&
which&is&one&of&the&intermediate&network&devices&between&mypc&and&64.208.34.100.&
这里就有一个路由追踪的例子,ICMP的时延值已经被设为1,2,3而且都已经过期,由于尚未到达最终目的机,WINDOWS开始发送
时延设为4的ICMP包,这里是第一个数据包和回复&,请注意虽然第一个数据包的目的地址是64.208.34.100,回复却来自于
24.95.80.133,这是MYPC和64.208.34.100之间的一个网络设施的地址.&
18:33:45.649204&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56693)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
在收到时延错误信息的千分之一秒内,MYPC发出后续的ICMP包,在收到数据包的错误信息时,机器立即发送出第三个ICMP包:&
18:33:45.669968&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&56949)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
18:33:45.691863&mypc.xx.yy.zz&&&64.208.34.100:&icmp:&echo&request&(ttl&4,&id&57205)&
18:33:45..95.80.133&&&mypc.xx.yy.zz:&icmp:&time&exceeded&in-transit&(ttl&252,&id&0)&
请注意这些数据相当近似,只是每一个ICMP回应请求中IP的ID号不同,这点很重要,我们应该对IP的ID号雷同的现象引起高度
的重视.&
检测SSH进程&
SSH是一个更加典型的数据流.我在工作站上装了个SSH的客户并连接到一个开了俺帐户的机器上.&
我有用于连接到SSH服务器上的SSH的客户端软件.我的机器并不直到SSH服务器的IP地址,所以他需要DNS的服务,不幸的是,我
的机器上又使不了DNS,所以没办法的办法之一就是先使ARP取得默认网关的MAC地址.&
13:45:13.836036&arp&who-has&gateway.xx.yy.zz&tell&mypc.xx.yy.zz&
13:45:13.841823&arp&reply&gateway.xx.yy.zz&is-at&0:xx:xx:xx:xx:xx&
would&expect&with&a&DNS&query:&
现在可以连接到网关上了,MYPC可以发出如下所示的DNS请求,请注意MYPC使用了大于1023的端口,要求建立到DNS的53端口的
连接,这种请求使用的是UDP协议&
13:45:13.841920&mypc.xx.yy.zz.3163&&&dnsserver.xx.yy.zz.53:&&1+&A?&sshserver.&(32)&
DNS请求的结果是”1+A&SSHSERVER”,我们可以认为这是一个IP地址的进程,因为A和+证明我们要求的是一个循环进程,1是
DNS请求数,用于匹配DNS的请求和回复,SSHSERVER则是我们要解析的名字&
以下是DNS服务器的回应:&
13:45:13.947208&dnsserver.xx.yy.zz.53&&&mypc.xx.yy.zz.3163:&&1&q:&sshserver.&3/4/6&sshserver.&CNAME&
ssh2server.,&ssh2server.&CNAME&ssh3server.,&ssh3server.&A&sshserver.xx.yy.zz&(283)&
回复情况由&1&q:&sshserver.&3/4/6&体现,1是DNS的进程序号,&&q:&sshserver.&是显示我们的请求,3/4/6是显示有3个回
复,4个标准记录和6个额外记录,和SSHSERVER连接的IP地址方在A后面&
现在我们知道了SSH服务器的IP地址,就可以连上去了,MYPC开始三次握手:&
13:45:13.956853&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&S&34271(0)&win&65535&&(DF)&
13:45:14.059243&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&S&:(0)&ack&&
win&32120&&(DF)&
13:45:14.059475&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&34272(0)&ack&&
win&65535&(DF)&
三次握手完成,记住:即使2台机器在SSH端口建立了连接,我也没有登录到SSH服务器上去,在3次握手完成前机器间并没有数
据交流.SSH客户和服务器是建立了SSH进程,通过下面的数据包进行交流:&
13:45:19.184932&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(32)&ack&
&win&32120&(DF)&
13:45:19.201814&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&34314(42)&ack&&
win&65503&(DF)&
13:45:19.300401&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:19.300616&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&)&ack&&
win&65503&(DF)&
13:45:19.303977&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&P&:(928)&ack&
&win&32120&(DF)&
13:45:19.422141&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:19.488282&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&34690(0)&ack&&
win&64575&(DF)&
sshserver's&port&22.&
我敲了密码,正式作为用户登录了进去,所有我使用SSH服务器所产生的数据流都很类似,在MYPC的3136端口和SERVER的22端
口之间,有PSH/ACK和ACK包.&
我从SSHSERVER注销的时候,服务器和客户机之间也有数据流产生,客户机收到来自服务器的最后数据:&
13:45:33.791528&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&P&35474(32)&ack&&
win&64359&(DF)&
13:45:33.902690&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
一旦收到这个数据,客户机就自动断开连接,服务器确认断开:&
13:45:33.902909&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&F&35474(0)&ack&&
win&64359&(DF)&
13:45:34.002179&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&.&:(0)&ack&&
win&32120&(DF)&
13:45:34.003336&sshserver.xx.yy.zz.22&&&mypc.xx.yy.zz.3164:&F&:(0)&ack&&
win&32120&(DF)&
13:45:34.003492&mypc.xx.yy.zz.3164&&&sshserver.xx.yy.zz.22:&.&35475(0)&ack&&
win&64359&(DF)&
所以,我们可以归纳出SSH连接的5个步骤:&
(1)使用ARP确认MYPC的默认网关的MAC地址&
(2)发出DNS请求确认SSH服务器的IP地址&
(3)MYPC的高端口和SSHSERVER低端口间的三次TCP握手&
(4)MYPC和SSHSERVER之间的数据交流,包括建立SSH连接,用户认证和数据传输.&
(5)MYPC和服务器间的TCP连接断开&
在这个例子里,SSH客户机使用的是高端口(高于1023).在一般连接里,客户机使用的高端口而服务器使用的是低端口,但是
需要引起注意的是很多SSH的客户机也使用低端口,所以千万别让一个和本文例子不同的情况把你给弄糊涂了&
在和SSH类似的连接里,有更多的如TELNET等协议&
结论&
对例行的网络流量进行分析是好好了解TCP/IP和我们环境的好办法,每次我拦截数据包时,我总能学到点新东西,如果你对
本文有了兴趣,&我强烈建议你生产/拦截并分析你自己的数据包,&我只是稍微进行&了一些介绍,后面将继续介绍更多的数
据流分析,尤其是FTP和HTTP.&
以下为作者简介:&
Karen&Frederick&is&a&senior&security&engineer&for&NFR&Security.&Karen&has&a&B.S.&in&Computer&Science&and&
is&completing&her&Master's&thesis&in&intrusion&detection&through&the&University&of&Idaho's&Engineering&
Outreach&program.&She&holds&several&certifications,&including&Microsoft&Certified&Systems&Engineer&+&Internet,&
Check&Point&Certified&Security&Administrator,&and&SANS&GIAC&Certified&Intrusion&Analyst.&Karen&is&one&of&
the&authors&and&editors&of&&Intrusion&Signatures&and&Analysis&,&a&new&book&on&intrusion&detection&that&was&
published&in&January&2001.&
--------------------------------------------------------------------------------&
网络流量分析(二)&
--------------------------------------------------------------------------------&
(译者注:&作者在这里又把前面一篇文章开头的话说了半天,俺就全给他省了)在以前的文章里已经探讨了TCP/UDP/SSH的情况,
下面我们来看FTP,你应该有TC排队基础,熟知WINDUMP和TCPDUMP的报告格式,这些我们在前文里面已经介绍过了&
标准的FTP进程&
FTP建立进程的方式非常有趣.在检测FTP流量前,我从MYPC.XX.YY.ZZ到远程的FTP服务器建立一个连接,假设这个服务器是
(207.46.133.140)&
FTP进程和我们上文见到的SSH进程的建立方式有些类似,首先取得默认网关的MAC地址,只是这里这个过程在MYPC的ARP&CACHE
里完成,不必劳烦动用ARP请求,这个结果会在DNS里面见到,请求获得目的FTP服务器的IP地址后,又取得一个DNS回复,注意这
些UDP包,客户机使用高端口而服务器使用低端口53用于DNS解析.&
13:50:46.490130&mypc.xx.yy.zz.3170&&&dnsserver.xx.yy.zz.53:&1+&A?&.&(35)&
13:50:46.500269&dnsserver.xx.yy.zz.53&&&mypc.xx.yy.zz.3170:&1&q:&.&1/4/4&
.&A&207.46.133.140&(215)&
现在MYPC有了服务器的IP地址:&207.46.133.140,立即于服务器的21端口建立TCP的三次握手&
13:50:46.564494&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&S&66930(0)&
win&65535&(DF)&
13:50:46..46.133.140.21&&&mypc.xx.yy.zz.3171:&S&:(0)&
ack&&win&17520&(DF)&
13:50:46.672155&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66931(0)&
ack&&win&65535&(DF)&
握手完成后,客户机开始和FTP服务器交换信息,服务器要求用户提供用户名,我敲了anonymous而且输入EMAIL作为密码,
这一系列交流是通过PUSH/ACK和ACK包完成的.下面就是一个例子,在例子里面,MYPC使用的是3171端口,服务器是21端口&
13:50:46..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(55)&
ack&&win&17520&(DF)&
13:50:46.896881&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66931(0)&
ack&&win&65480&(DF)&
13:50:48.282313&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&66947(16)&
ack&&win&65480&(DF)&
13:50:48..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(72)&
ack&&win&17504&(DF)&
13:50:48.495939&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&66947(0)&
ack&&win&65408&(DF)&
和SSH相比,FTP有些差别:它在整个连接过程中采用进程控制.用户向服务器的请求和服务器对客户的回应都通过这个控制
通道进行.类似目录列表/上传和下载这样的数据传输则不通过这个通道进行,在这个例子里,客户机的3171端口个服务器的
21端口就是控制通道,当用户下载文件或者要求列出目录列表时,相应的数据传输实际上是通过另外一个连接进行的.&
当用户使用LS命令来要求列出目录时,相应的步骤开始了.服务器为了初始化一个到客户机的连接,它就必须知道和客户机的
哪个端口建立连接.在这个记录文件里,在第一行里:&客户机告诉服务器用于连接的IP地址和端口号;第二行则是服务器的回
复,告诉客户机IP地址和端口号被接受;第三行是客户机要求列出目录列表,第四行则是服务器告知客户机自己正在初始化连接&
13:50:53.501031&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&66994(28)&
ack&&win&65291&(DF)&
13:50:53..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(30)&
ack&&win&17457&(DF)&
13:50:53.632708&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&P&67000(6)&
ack&&win&65261&(DF)&
13:50:53..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(55)&
ack&&win&17451&(DF)&
为了传输数据(,在这里是客户机从服务器取得的目录列表,),服务器初始化了一个从自己的20端口到客户机指定端口(这里
是3172)的连接,我们看到三次握手建立,服务器开始向客户机发送PUSH/ACK数据包,这里面就有文件列表,因为他正好小到
可以放进一个包里.&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&S&:(0)&
win&16384&(DF)&
13:50:53.738200&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&S&74104(0)&
ack&&win&65535&(DF)&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&.&:(0)&
ack&&win&17520&(DF)&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&P&:(164)&
ack&&win&17520&(DF)&
这时,出现了2个独立的连接:&
一个是客户机的3171和服务器的21端口的连接&
一个是客户机的3172和服务器的20端口的连接&
服务器一旦完成目录列表的传输,就采用发送FIN/ACK包数据的方式准备结束连接.需要注意的是服务器仅仅在自己的20端
口上结束了连接而不是21端口上的控制通道.当数据传输连接截断后,控制通道内仍然有数据传输.下面记录的第五行就显
示了控制通道内一个24字节的传输,从客户机的角度看来,是一个”226&TRANSFER&COMPLETE”的显示,表示传输成功.&
13:50:53..46.133.140.20&&&mypc.xx.yy.zz.3172:&F&:(0)&
ack&&win&17520&(DF)&
13:50:53.851068&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&.&74105(0)&
ack&&win&65371&(DF)&
13:50:53.895937&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&67000(0)&
ack&&win&65206&(DF)&
13:50:53.903415&mypc.xx.yy.zz.3172&&&207.46.133.140.20:&F&74105(0)&
ack&&win&65371(DF)&
13:50:54..46.133.140.21&&&mypc.xx.yy.zz.3171:&P&:(24)&
ack&&win&17451&(DF)&
13:50:54..46.133.140.20&&&mypc.xx.yy.zz.3172:&.&:(0)&
ack&&win&17520&(DF)&
13:50:54.196818&mypc.xx.yy.zz.3171&&&207.46.133.140.21:&.&67000(0)&
ack&&win&65182&(DF)&
如果我从服务器下载数据,我们会看见相同的数据进程,服务器会从自己的20端口到客户机的新的高端口建立一个连接,
进行三次握手,数据是通过这个连接进行传输,传输一旦完成,连接即告断开.&
在FTP进程里,在同一时间内可能存在多个数据连接,每建立一个连接,一个新的客户机的端口就被打开使用,仅仅看到进程
的一部分的话,可能会被认为是一个端口扫描,尤其是当客户机端口有保护时.所以遇见这种情况时,你就应该仔细看看数
据传输的情况以判断到底是端口扫描还是仅仅只是FTP连接.&
被动的FTP进程&
FTP的另一特殊之处在于服务器要初始化和客户机的连接,而不是由客户机初始化所有与服务器的连接,由于他的这种特性,
可能会导致一些防火墙和包过滤器的过激反应.为了解决这个问题,用户可以采用被动FTP来取代标准FTP.&
被动FTP在开始时个一般的FTP一样:客户机先初始化一个从服务器21端口到自己高端口的连接,当需要开放一个数据传输
通道是,服务器向客户机发送一个可供选择的高端口号,客户机则初始化从自己的高端口和服务器的高端口的连接.所以在
使用被动FTP时,20端口从不被使用,所有数据传输均通过高端口进行.&
这里有一个被动FTP工作的例子,信息源是一台OPENBSD2.8,截获手段是TCPDUMP,OPENBSD的客户端的默认设置是使用被动FTP&
首先,被动的FTP和普通的FTP一样,客户机初始化一个从自己的高端口到服务器21端口的TCP连接(请注意我这里用的是OPENBSD
下的TCPDUMP而不是WINDOWS下面的WINDUMP,所以记录看来有很大的差别)&
15:57:28.005993&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&S&)&
win&16384&
15:57:28..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&S&:(0)&
ack&&win&17520&(DF)&
15:57:28.099193&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17376&
15:57:28..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(55)&
ack&&win&17520&(DF)&
15:57:28.193413&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&ack&&win&17376&
(N.B.:&Several&additional&PUSH/ACK&and&ACK&packets&have&been&omitted.)&
(作者原注:这里省略了好多PUSH/ACK和ACK数据包)&
the&client&simply&acknowledges&that&it&has&received&the&packet&with&the&port&information.&
接下来,我键入LS以取得文件列表,在第一个数据包里,我的FTP客户机告诉服务器要使用被动FTP,第二个包则是服务器的
回应,包括了分配以用于连接的服务器IP地址和端口号,在第三个包里,客户机确认已经收到了包含端口信息的数据包.&
15:57:36.243722&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&P&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(51)&
ack&&win&17467&(DF)&
15:57:36.342213&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17325&
现在客户机知道使用服务器的哪一个端口,从另一高端口建立了一个倒服务器的连接,在这里是端口24626,服务器使用端口
3668,三次握手建立,我们就看见服务器21端口和客户机28348端口间的控制通道里开始有数据传输&
15:57:36.342370&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&S&)&
win&16384&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&S&:(0)&
ack&&win&17520&(DF)&
15:57:36.440076&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&17376&
15:57:36.440167&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&P&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(54)&
ack&&win&17461&(DF)&
15:57:36.542638&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&ack&&win&17322&
数据传输连接已经建立,文件列表得以传输,如果你现在看看依照时戳的记录,似乎是在数据传输结束前(第三行)服务器就
终止了连接(第一行),如果你再看下去,你就会发现收到的数据包是杂乱无章的,0字节的数据包后于1167字节的数据包发出,
但是却先被收到,当你分析记录时按时戳顺序是很有用的,但是你最好注意序列号.&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&F&:(0)&
ack&&win&17520&(DF)&
15:57:36.547367&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&17376&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&P&:(1167)&
ack&&win&17520&(DF)&
15:57:36.549396&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&.&
ack&&win&16209&
15:57:36.551374&bsdpc.xx.yy.zz.24626&&&207.46.133.140.3668:&F&)&
ack&&win&17376&
15:57:36..46.133.140.21&&&bsdpc.xx.yy.zz.28348:&P&:(24)&
ack&&win&17461&(DF)&
15:57:36.635211&bsdpc.xx.yy.zz.28348&&&207.46.133.140.21:&.&
ack&&win&17376&
15:57:36..46.133.140.3668&&&bsdpc.xx.yy.zz.24626:&.&
ack&&win&17520&(DF)&
小结&
我们已经深入分析了FTP,FTP用2种方式连接:数据控制:控制通道用于发送客户机到服务器的命令请求和服务器的回应.FTP
客户机初始化一个到服务器的控制连接.在标准FTP里,服务器初始化所有的到客户机的连接,在被动FTP里,客户机初始化所
有的到服务器的数据传输.
MRTG&Router&流量分析架设法&
流量分析的用途:&
MRTG&流量分析,&是一个可以从支援&SNMP&网路设备中取得流量资讯,&然後分析这些资讯,&绘成网页&格式图表的工具.&它可以让网管人员,&很快地藉由流量负载,&来判断网路或设备发生问题的可能原&因.&
架设前的注意事项:&
本讲义,&假设您打算把流量分析,&放在&/home/httpd/html/mrtg&这个目录下,&以下均以这个目录为&说明的示位置,&如果您打算按本讲义说明来架设贵校的流量分析,&请在&/home/httpd/html&下,开设&一个&mrtg&的子目录.&
本讲义中的&163.26.167.126&这个&router&的&IP&只是个示,&您应该将它换成贵校&router&的&IP.&
确定主机中已安装了&GD&Library&(下&rpm&-q&gd可查知)&
架设步骤:&
取得&MRTG&的软体:目前(2000/03)最新版本&2.8.12&
ftp://linux.tnc.edu.tw/pub/Sysop/MRTG/mrtg-2.8.12.tar.gz&
MRTG&作者的站台:&
&
解压,&并进入解压後的目录中:&
tar&xvzf&mrtg-2.8.12.tar.gz&
cd&mrtg-2.8.12&
执行设定程式:&
./configure&
执行编译及相关设定Perl路径的动作:&
make&
拷贝相关目录至&/home/httpd/html/mrtg&中&
a.&将&mrtg&的一些标图档拷贝至&/home/httpd/html/mrtg&目录中&
cp&images/*&/home/httpd/html/mrtg&
b.&将&run&目录拷贝至&/home/httpd/html/mrtg&中&
cp&-R&run&/home/httpd/html/mrtg&
产生&mrtg&的设定档:&
a.&进入&run&这个目录&
cd&/home/httpd/html/mrtg/run&
b.&开始产生设定档啦!&
./cfgmaker&public@163.26.167.126&&&mrtg.conf&
其中&@&之後的&IP&即是贵校&router&的&IP,&记得将&163.26.167.126&换成贵校的.&
&&mrtg.conf&是说将输出内容存成&mrtg.conf&这个档案.&
修改&mrtg.conf&设定档:&
在&mrtg.conf&的上方,&加入&WorkDir&这个关键字:&
vi&mrtg.conf&
加上&WorkDir:&/home/httpd/html/mrtg&
以下是部份内容样本:&
WorkDir:&/home/httpd/html/mrtg&
######################################################################&
#&Description:&SW/NBSI-NW,11.2&
#&Contact:&
#&System&Name:&
#&Location:&
#.....................................................................&
Target[163.26.167.126.1]:&1:public@163.26.167.126&
MaxBytes[163.26.167.126.1]:&&
Title[163.26.167.126.1]:&3Com_NETBuilderETH/1-1&
PageTop[163.26.167.126.1]:&
Traffic&Analysis&for&3Com_NETBuilderETH/&1-1&
System:&3Com&NetBuilderETH
in&jmjh.tnc.edu.tw&
Maintainer:
OLS3&
Interface:
3Com_NETBuilderETH/1-1&(1)&
IP:
163.26.167.126&
Max&Speed:
12.5&MBytes/s&(ethernetCsmacd)&
开始执行&mrtg&:&
./mrtg&mrtg.conf&
第一次执行时,&可能会有很多&Warning&的讯息,&可以不必理会它,&无妨!&
此时,&您会在&/home/httpd/html/mrtg&中,&发现&mrtg&已帮您产生了许多流量分析的显示图表.&其&中&163.26.167.126.1.html&是主要的显示档.&
163.26.167.126&是&router&的&IP,&1&是介面&port&号,&两者合起来形成一个&label.&
让&mrtg&每五钟执行一次:&
为了让&mrtg&可以持续而完整的取得受测介面的资料,&通常我们会将&mrtg&设定成每五分钟就执行&一次,&这就要仰仗&cron&daemon&了.&
a.&设定&root&的&crontab:&
crontab&-u&root&-e&
它会带您进入&vi&模式(您看!&把&vi&练好真的很重要吧?!)&
b.&填入以下内容:&
*/5&*&*&*&*&/home/httpd/html/mrtg/run/mrtg&/home/httpd/html/mrtg/run/mrtg.conf&
然後存档离开.&
在&/home/httpd/html/mrtg&中产生&index.html&档:&
cd&/home/httpd/html/mrtg&
ln&-s&163.26.167.126.1.html&index.html&
往後只要用览浏器观看&贵校网址/mrtg&就可以看到流量分析了.
当然其它介面的流量分析档(例如&163.26.167.126.2.html)&也有参考价值,&请自行在贵校网页中加&上连结位置吧.&
MRTG&还有许多细节您必须去研读的,&请参考:mrtg-conf.htm&
疑难问题:&
在架设过程中,&您可能会遇到以下情况:&
loading&for&gcc...&gcc
checking&whether&the&c&compiler&(gcc)&works...&yes
checking&whether&the&c&compiler&(gcc)&is&a&cross-compiler...&no
checking&whether&we&are&using&GNN&c...&yes
checking&whether&gcc&accepts&-g...yes
checking&how&to&run&the&preprocessor...gcc-E
checking&make&sets&${MAKE}...&yes
checking&per...&/usr/bin/perl
checking&gdImageGif&in&-Igd&...&no
checking&gdImagePng&in&-Igd&...&no
**The&GD&libraryis&required&for&rateup&to&compile....................&
下&make&之後,&出现:
make:***NO&targets.&stop.&
这表示您的&Server&中尚未安装&GD&Library.&GD&Library&在&RedHat&光碟片中便有,&请先&用&rpm&指令安装&GD,&之後再来架设&mrtg.&
网络流量监控器mrtg全攻略
简介
&Mrtg(Multi&Router&Traffic&Grapher,MRTG)是一个监控网络链路流量负载的工具软件,&它通过snmp&协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML&文档方式显示给用户,以非&常直观的形式显示流量负载(可以在网站&得到mrtg的输出结果示例)。
关于mrtg的最详细的信息可以从得&到。
mrtg具有以下特色:
可移植性:目前可以运行在大多数Unix系统和Windows&NT之上。&
源码开放:Mrtg是用perl编写的,源代码完全开放。&
高可移植性的SNMP支持:Mrtg采用了Simon&Leinen编写的具有高可移植性的SNMP实现模&块,从而不依赖于&操作系统的SNMP模块支持。&
支持SNMPv2c:MRTG可以读取SNMPv2c的64位的记数器,从而大大减少了记数器回转次数。
可靠的接口标识:被监控的设备的接口可以以IP地址、设备描述、SNMP对接口的编号及&Mac地址来标识。&
常量大小的日志文件:MRTG的日志不会变大,因为这里使用了独特的数据合并算法。&
自动配置功能:MRTG自身有配置工具套件,使得配置过程非常简单。&
性能:时间敏感的部分使用C代码编写,因此具有很好的性能。&
PNG格式图形:图形采用GD库直接产生PNG格式。&
可定制性:MRTG产生的web页面是完全可以定制的。&
mrtg的主页是,可以从这里下载软件。
Mrtg兼容性
mrtg软件可以运行在以下的操作系统上:
Linux&1.2.x,&2.0.x,&2.2.x,&2.4.x&(Intel&and&Alpha&and&Sparc&and&PowerPC)&
Linux&MIPS,&Linux&S/390&
SunOS&4.1.3&
Solaris&2.4,&2.5,&2.5.1,&2.6,&7,&8&
AIX&4.1.4,&4.2.0.0,&4.3.2&
HPUX&9,10,11&
WindowsNT&3.51,&4.0,&2k,&XP
IRIX&5.3,&6.2&
BSDI&BSD/OS&2.1,&4.x,&3.1&
NetBSD&1.5.x&
FreeBSD&2.1.x,&2.2.x,&3.1,&3.4,&4.x&
OpenBSD&2.x&
Digital&Unix&4.0&
SCO&Open&Server&5.0&
Reliant&UNIX&
NeXTStep&3.3&
OpenStep&4.2&
Mac&OS&X&10.1&
And&about&and&other&sensible&Unix
可以通过mrtg监控的设备(目前市场上绝大多数产品都支持SNMP协议,只要支持SNMP协议的设备就都可以&使用MRTG来监控):
3Com&NETBuilders,&LANplex&6012&and&2500&
3Comðerswitches&and&hubs&
3Com&Linkswitch&00&
3Com&Superstack&II&switch&&MX&
3Com&812&ADSL&Router&
Alantec&powerhub&7000&
Allied&Telesyn&-&8224XL&and&8324XL&24&port&managed&switches&
Annex&terminal&server&
Asante&Hub&
Ascend&(Lucent)&Max&600,&[24]00x,&Pipeline&50,&TNT,&APX-8000,&MAX-6000&
Alcatel&(Assured&Access)&x1600,&OmniSR9,&OmniCore&5022&
AT&T&Wave&Point,&Lan&
BayNetworks&(Wellfleet)&7.80&and&up,&BayStack&350T,&Instant&Internet,&see&Nortel&
BreezeCom&AP,SA&
Cabletron&ESX-820&Etherswitch,&Smartswitch&&and&router&
Centillion&Token&Ring&SpeedSwtich&100&(IBM&8251&Token&Ring&Switch)&
About&every&Cisco&Kit&there&is&...&
CentreCOM&8116&
Compatible&Systems&
DECBridge&620,&DEC&900EF,&900EE,&Gigaswitch&
ELSA&Lancom&L&11&(Wireless&Router)&
Enterasys&Matrix&E5,&VH-4802&and&VH-2402S&Switche&
Ericsson&Tirgis&Series&RAS&Servers&
Extreme&Networks&--&Blackdiamond&6808&&&Alpine&3808&Layer&3&Switches&
Fore&ASX200&ATM&
FlowPoint&2200&ATM/DSL&Router&
formula&8200&series&
Foundry&BigIron&8000&Gigabit,&FastIron&Switch,&ServerIron&Switch&
Cable&Modems&from&Lancity,&Terayon&and&DOCSIS&
HP&-&network&interfaces,&disks,&database&Informix&
HP&AdvanceStack/Procurve&Switch&2000&and&2524,&AdvanceStack&Switch&200&
HP&Procurve&Switches&,&model&4000m,&2424m&and&2400m&
IBM&8260&swtich&(with&155MB&ATM&blades&installed),&IBM&2210&ISDN&Routers.&
Intel&switches&(details)&--&510T,&Intel&Gigabit&Server&adapter&
IMV&Victron&NetPro&3000&UPS&
Kentrox&Pacesetter&Pro&
Lantronix&Bridge&
Lucent/Xedia&Access&PointT&450,&1000&
Livingston&(Lucent)&IRX&3.2.1R,&IRX&114,&PM2E(R)&PM3-2E&OR-U&
Motorola&6560&Regional&Node,&SB3100&CableModem,&320,&6430&and&6455&routers&
Morningstar&terminal&servers/routers&
MGE&(Merlin&Gerin)&UPSes&(details)&
Network&Appliance&
Netopia&R7100C&SDSL&
Netscreen&5&/&10&/&100&
Nortel&Networks,&Bay&Routers&BCN,&BLN,&ASN,&ARN,&AN,&Passport&1k&and&Passport&8k3&series&L3&switches,&BayStack&450&L2&switches.&
Nortel&Networks,&Accelar&L3&Switches&
Nokia&IP&330/440/650&
Nbaseðernet&switch&
Novell&3.11,&4.11&
Rmon&probes&
SGI-Server&(Irix&5.3)&
Any&server&server&running&HP-UX,&Ultrix,&Solaris,&SunOS,&OSF,&NetBSD,&FreeBSD,&BSDi,&Linux,&AIX,&OpenBSD,&Irix&or&even&Windows&operating&systems&(badly),&when&using&NET-SNMP&(former&UCD-SNMP).&
Apple&Mac&(An&snmp&service&is&included&on&the&OS&CD&&=&8.5&)&
Shiva&Accesport&
Solaris&Server&
Squid&Web&cache&
US-Robotics&Total&Control&Modemracks&
Wellfleet&(later&Bay&Networks):&see&Nortel&routers&
WaveWireless&SpeedLan&8x00&RF&Routers&
WinNT,&MS&Proxy&
Xylan&(today&Alcatel)&4024C&24port&10/100&OmniStack&Switch,&9k&devices,&including&ATM&links.&
Yamaha&rt100i&
Zyxel&Prestige&P310,&153X,&642.&
不支持mrtg的设备:
D-Link&switches&(details)
快试试吧,可以对自己使用挽尊卡咯~◆◆
晕``````这谁都知道&大哥``````
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或}
我要回帖
更多关于 联通超出流量1m多少钱 的文章
- ·96元套餐移动超出1m多少钱钱
- ·怎么把联通沃钱包怎么样卡的钱低价转让
- ·17g1m流量多少钱要多少钱
- ·213.9k联通超出流量1m多少钱是多少钱
- ·移动卡流量联通超出流量1m多少钱扣多少钱
- ·联通4g超出流量怎么算超出150兆算多少钱
- ·流量联通4g超出流量怎么算520mb,要够买多少钱流量包
- ·索尼流量电信超出流量1m多少钱限制怎么删除
- ·电信流量联通超出流量怎么计费是扣共享话费吗
- ·上海联通流量用超6一百兆流量结果扣了191元,咋办?在线等,不是说超出一个G按60元收费咋收了191元
- ·空间为什么要限制小流量计量泵,超出月小流量计量泵怎么办
- ·24+移动无限流量卡多少钱不用钱
- ·1g流量是多少兆=多少M流量?
- ·21.35GB联通超出流量1m多少钱多吗?
- ·不小心用超流量乱扣费,联通超出流量收费标准流量超出怎么记
- ·流量安心包要钱吗流量没用,为什么还超出流量120元钱
- ·月联通流量超出怎么补救以后自动自动关流量以后再怎么打开
- ·外夹式超声波流量计没超,为什么钱老扣
- ·联通流量超出怎么收费卡,手机连电脑后。发现超出几百兆流量欠费六百多块钱。怎么办?还可以补救吗?急急急!!!在线等。
更多推荐
- ·学籍在哪个学校怎么查号和学校哪里查?
- ·学生学籍号查询平台是哪里的?
- ·太阳花三年级向日葵小练笔200字作文300字
- ·邯郸开元小学收费标准英语怎么样?
- ·葫芦岛CBD中学市第六初级中学现任领导
- ·就是我爷爷的骨头里装了一点人工股骨头置换术后骨我问你看可以的吗
- ·怎样护理卧床病人人怎样办理离婚
- ·磐石蓝天美容院腋下脱毛哪种方法好永久脱毛多少钱
- ·戒奶会导致神经性头痛吃什么药腿疼和头痛吗
- ·孕酮nmol l与ng ml4.95nmol/l 上个月月例是10号是否正常
- ·新民手指切掉一块肉被切的视频
- ·10岁女孩孕妇肚脐线看男孩女孩下有褐色的条线
- ·药店360软件管家不能下载用了怎么办
- ·大蒜发泡疗法法能治多囊肾吗
- ·怀孕一个月测出阳性准确吗输液氨茶碱和左氧和阿米卡星,我是1月25号月经结束,2月28号测出怀孕,这个孩子可以要我
- ·都江堰都江堰市医疗中心网站可以做儿童疝气吗
- ·同安武汉市第三医院眼科科技术怎样
- ·王者荣耀安卓版手机能给iphone买东西吗
- ·微信一个群关闭微信抢红包的声音声音后想重起开声音怎样开
- ·213.9k联通超出流量1m多少钱是多少钱
- ·得力闹钟 定时8801闹钟按键不能调整了
- ·两部手机用相同的手机号和密码能否同时qq号能否直接登录微信信
- ·c2h6的标准氢气和氧气反应生成水反应
- ·四人电视说明书中英文对照照小视屏
- ·京东的移动iphone6s plus 京东可信吗?
- ·我的联想b470e数字密码打不开怎么办
- ·华硕z97 p主板哪些子型号主板支持PCI-E和NVMe的。
- ·苹果耳机哪个牌子的音质好结构和声源,音质 告诉我
- ·三菱官网plcA172senc是PLc的cpu单元吗
- ·qqqq007解除冻结保护模式了,玩一会儿还是会冻结
- ·球球大作战的android 录音权限坏了,所有权限都已经开了,以前都可以用
- ·问:apple pay绑定交通卡了为什么又没了,
- ·海尔滚筒海尔g70628bkx10s安装带A.B.T双喷淋系统吗???用过的说一下
- ·苹果6app store打不开伐木累为什么打不开
- ·怎样从9聊视频语音聊天室切换到视频聊天
