概述 根據這個網絡分析能力修行模型,初學者可以清晰瞭解如何入手學習網絡分析技術,並按部就班、循序漸進的提升網絡分析技術的能力水平。 所謂“道可頓悟,術需漸修”,但願此文能夠成爲諸位網絡分析初學者“悟道”的法門。 網絡運行的本質 網絡運行的本質是什麼?是數據報文與協議。 數據報文是網絡運行世界裏,具有完整信息的、最小的組成單元,而協議則是數據報文在網絡內交互必須遵循的規則。因此掌握了這兩者,基本上就可以把握網絡運行的本質。 網絡分析技術將數據報文和協議完美的結合起來,因此網絡分析技術通常也被叫做協議分析、數據包分析或報文分析。那麼網絡分析到底是如何工作的呢? 網絡分析技術是通過捕獲網絡通訊過程中的數據包(數據包是網絡通訊過程中有意義的、最小的組成單元),並通過對捕獲到的數據包進行深入的統計和分析,從而洞穿網絡各個層面(包括性能、安全、業務以及故障等)運行情況的一種技術。 網絡分析能力修行模型 我將自己的成長經驗總結爲下圖所示的網絡分析能力修行模型: 在這個模型中,圍繞網絡分析能力的提升,主要包含以下四方面的內容: 基礎 古語云“千里之行始於足下”、“萬丈高樓平地起”。做任何事情都離不開基礎,網絡分析技術能力的提升同樣需要牢固紮實的技術基礎作爲支撐。 工具 方法 案例 根據這個網絡分析能力修行模型,我將網絡分析技術的學習和提升分爲四個階段,如下圖所示: 第一階段:打好基礎 第二階段:熟悉工具 第三階段:掌握方法 第四階段:踐行案例 這四個階段在大的學習和提升方向上是線序的,但這並不是絕對的,比如我們既可以藉助他人的案例加固基礎知識,又可以在實際案例中提升工具使用的熟練度,也可以利用網絡分析工具學習協議體系…… 網絡分析能力修行模型不同階段的學習資料 在我的個人博客螞蟻網——www.vants.org中,基本涵蓋了網絡分析能力修行模型中各個階段學習的內容,下面我將各個階段的資料做一個統一整理,方便初學者學習參考。 網絡分析基礎 防火牆的狀態檢測 http://www.vants.org/?post=24 網絡分析工具 常見網絡分析工具特色功能簡介及其在實際工作中的應用之緣起 http://www.vants.org/?post=43 網絡分析方法 疑難故障分析常規流程和思路http://www.vants.org/?post=27 網絡分析案例 視頻點播服務間歇性中斷故障分析案例http://www.vants.org/?post=73
數次應業內朋友之邀,爲其團隊培訓網絡分析技術,從第一次開始,我就着手架構這個能力修行模型的框架,但還不夠完善和成熟。隨着我對網絡分析技術理解的深入和本身水平的提升以及培訓次數的增加,我不斷的將其完善,並最終形成現在的雛形。
通過網絡分析技術,我們可以輕鬆透視網絡運行的本質,如果我們的網絡分析技術能力非常強,我們的技術水平會遠遠超出那些只精通於具體設備的工程師們,成爲名副其實的網絡層面的專家,那麼我們如何修行才能提升自己的網絡分析技術呢?下面我將通過網絡分析能力修行模型展開詳細介紹。
古語云“巧婦難爲無米之炊”。工具可以幫助我們事半功倍,大大提高我們的工作效率,沒有稱手的工具,縱然你有一身本領,卻難免陷入紛繁複雜的二進制世界難以自拔。
古語云“砍柴不照紋,累死砍柴人”。有基礎有工具卻不得法,雖可解決一些常見問題,但往往是隨性而起,難以爲繼。即使大部分情況下你能成功解決問題,也只能說明你的運氣和感覺都還不錯,但是你無法將你的運氣和感覺傳遞給你的團隊、學生及他人。簡言之:無章法,不足道。
古語云“紙上得來終覺淺,絕知此事要躬行”。基礎牢靠、精通工具、掌握方法,這已經爲我們踐行網絡分析技術做好充分的準備,我們需要在實際工作環境中,把握任何機會,踐行自己的網絡分析技能,在利用網絡分析技術解決問題之後,不斷總結,並形成文檔;另外一條踐行的捷徑是討論學習他人的案例,將他人的經歷經驗借鑑過來爲己所用,在短時間內快速提升自己。總之,多踐行,多總結,多學習。
這個階段較爲漫長,並且會一直持續伴隨整個學習成長的過程。一般而言,這個階段主要是學習網絡基礎、各種網絡和安全設備的工作原理和機制、不同系統或設備的報文處理流程、TCP/IP協議體系、各常見應用等。在這個階段,大部分是通過自主學習來獲得提升的。
在紮實的技術基礎上,熟練掌握1-2種網絡分析的工具,不會花費太多的時間,但是如想成爲高手,必須充分理解各種常見工具的優勢特點,學會在不同的情況下,選擇性的綜合利用這些工具的優勢特性,提高我們解決問題的效率。
掌握網絡分析的常規思路,深入理解網絡分析方法的原理和使用場景,能夠在實際工作環境下,按照網絡分析方法和思路展開網絡分析工作。
綜合利用已學知識和掌握的方法,不斷通過實際案例踐行網絡分析技術,以及對他人案例的學習,讓自己的網絡分析技術得以快速提升和昇華。
應用層檢測/深度包檢測(DPI)http://www.vants.org/?post=23
TCP異常終止(reset報文)http://www.vants.org/?post=22
TCP重傳 http://www.vants.org/?post=36
ICMP重組超時 http://www.vants.org/?post=35
TCP SACK選項 http://www.vants.org/?post=74
傳輸層的響應時間(系統層響應時間/服務器響應時間)http://www.vants.org/?post=115
關於防火牆的arp代理功能對不同格式的arp報文的處理情況的實驗 http://www.vants.org/?post=121
ARP代理(Proxy ARP)http://www.vants.org/?post=119
免費ARP(gratuitousARP)http://www.vants.org/?post=118
ARP表的更新和老化http://www.vants.org/?post=120
第三方延時http://www.vants.org/?post=117
應用響應時間(ART)http://www.vants.org/?post=116
ICMP通訊管理性過濾禁止差錯報文(type 3,code 13)http://www.vants.org/?post=127
連接數相關知識http://www.vants.org/?post=126
TCP/IP 應用程序的通信連接模式http://www.vants.org/?post=182
TCP保活(TCP keepalive)http://www.vants.org/?post=162
多次RST以及不同場景下的RST報文的差異http://www.vants.org/?post=141
端系統對RST報文的過濾http://www.vants.org/?post=140
經受時延的確認(Delay ACK)http://www.vants.org/?post=114
TCP MSS與PMTUD http://www.vants.org/?post=109
IP分片(IP Fragment) http://www.vants.org/?post=106
TCP 的PUSH標誌位http://www.vants.org/?post=102
TCP交互式應用http://www.vants.org/?post=101
基於UDP的應用如何保證應用數據的可靠性http://www.vants.org/?post=99
關於“client push”應用響應時間測量方法的討論http://www.vants.org/?post=30
iPhone與Multicast DNS http://www.vants.org/?post=130
非標準TCP三次握手建立連接過程一例http://www.vants.org/?post=91
ACK flood***的影響http://www.vants.org/?post=136
基於UDP組播實施分片***的可能性http://www.vants.org/?post=98
關於防火牆訪問控制的疑問http://www.vants.org/?post=26
TCP/IP 數據包處理路徑 http://www.vants.org/?post=188
常見網絡分析工具特色功能簡介及其在實際工作中的應用之Network Monitor http://www.vants.org/?post=41
常見網絡分析工具特色功能簡介及其在實際工作中的應用之Omnipeek http://www.vants.org/?post=66
Wireshark對ping報文的解碼顯示(BE與LE)http://www.vants.org/?post=133
利用科來與IDS Informer構建網絡***學習平臺http://www.vants.org/?post=31
疑難網絡故障的分析方法和原理之對比分析法http://www.vants.org/?post=49
疑難網絡故障的分析方法和原理之關聯分析法http://www.vants.org/?post=51
如何跟蹤分析數據經過中間設備後的變化以及這些變化給客戶端與服務器帶來的影響http://www.vants.org/?post=93
一切皆有可能http://www.vants.org/?post=122
異常流量分析方法——發現-定位-管控http://www.vants.org/?post=185
如何保證中間設備兩端捕獲的數據包的時間同步性?http://www.vants.org/?post=50
訪問搜狐163時主頁變爲2008年某日主頁面故障分析案例http://www.vants.org/?post=89
某學院專網網站打開慢故障分析案例http://www.vants.org/?post=92
FTP登陸故障分析http://www.vants.org/?post=103
某單位經過CA認證的業務應用訪問緩慢故障分析案例http://www.vants.org/?post=104
網頁打開慢但HTTP下載快故障分析案例http://www.vants.org/?post=128
某業務系統由於連接數限制導致間歇性訪問慢故障分析案例http://www.vants.org/?post=125
數據包中出現超長幀的分析http://www.vants.org/?post=184
關於vista系統機器無法通過防火牆上網的故障分析解決案例http://www.vants.org/?post=124
關於服務器端發送FIN報文之前的數秒等待時間行爲的分析http://www.vants.org/?post=95
大包傳輸丟包故障http://www.vants.org/?post=34
兩臺soho級小路由之間的“正義”之戰http://www.vants.org/?post=163
某加密機經天融信防火牆後應用異常故障案例http://www.vants.org/?post=107
負載均衡故障診斷:一個MSS值引發的疑案http://www.vants.org/?post=110
關於網內抓包出現0.33.216.220IP地址問題的分析http://www.vants.org/?post=88
F5負載均衡環境下某應用故障分析案例http://www.vants.org/?post=65
某地稅網上申報業務系統故障分析報告http://www.vants.org/?post=58
高新區房產局房產管理業務故障分析解決報告http://www.vants.org/?post=32
某部隊部分網段訪問總部網站故障分析案例http://www.vants.org/?post=25
IPS在線升級故障分析案例http://www.vants.org/?post=16
使用Omnipeek分析SSH端口***案例http://www.vants.org/?post=134
針對隨機組播地址的ping***案例http://www.vants.org/?post=132
基於UDP 7000端口的DOS***案例http://www.vants.org/?post=131
基於UDP 80端口的DOS***案例http://www.vants.org/?post=113
可能的數據庫密碼猜解行爲http://www.vants.org/?post=84
PHP漏洞掃描—morfeus fucking scanner http://www.vants.org/?post=67
web站點cookie安全問題一例http://www.vants.org/?post=64