你真的懂“抓包”吗？

frame由收集接口装备在TCP/IP协议栈的第2层天生，payload巨细取决于传输的数据范例。frame被发送到收集上，以太网互换机按照其存储器中的MAC表搜查frame的目标地点。MAC表汇报互换机哪个物理端口(RJ45端口)与装备相干联，该装备的MAC地点与帧的目标地点相匹配。

互换机将frame转发到由MAC表确定的物理端口。假如电缆直接毗连到目标装备，传输就完成了。假如电缆毗连到另一台互换机，下一台互换机将一再查找和转发进程，直到frame达到预期目标地。

这统统都产生在LAN中的第2层互换机上。与部分间邮件一样，frame不能在当地/专用收集之外发送到因特网上，由于它没有正确的地点。要将数据发送到差异收集或互联网处事器上的装备，必需在packet中构建一个frame。

很像部分间信封必要放在邮政信封内发送到差异的办公室的例子，Ethernet frame用附加信息封装，以建设一个IPpacket。

固然收集装备的MAC地点是独一，永世的，但IP地点凡是会姑且分派给收集装备，并跟着装备毗连到差异的收集而改变。譬喻，平板电脑每次毗连到差异的无线收集时，其IP地点城市产生变革。packet在收集的第3层建设，应承差异局域网之间互换信息，凡是是通过路由器。路由器将小型收集互连在一路，应承行使IP地点而不是MAC地点举办更大局限的信息互换。

第3层packet应承路由器行使标识收集的IP地点和收集上装备的姑且地点来提供收集间的数据传输(互联网)。一旦进入收集，收集内(局域网)数据转发由二层互换机处理赏罚，它读取frame的MAC地点，并将其转发到目标装备，在哪里以太网节制器提取payload，完成差异收集上装备之间的信息传输进程。

区分packet capture和flow capture(抓包和抓流量)

Packet capture可以让我们在收集数据包通过收集时拿到镜像。而flow data凡是包括在收集上配置的毗连的择要。它们都长短常有效的妨碍解除技能，可以找出收集上产生的妨碍。那么这两种技能有什么区别呢?

Flow capture:在OSI模子的第3层运行的大大都路由器和互换机都具有flow导出选项。有很多flow尺度，包罗NetFlow，sFlow和IPFIX。 只需安装一个flow毗连器，它可以处理赏罚收集装备行使的任何flow尺度。基于flow的说明可以很好地找出收集中某些部门的通讯状况。它的利益是：

• 易于在第3层装备上配置操纵;
• 不必要布线;终端用户体系不必要软件客户端或署理。

弱点是：

• 某些互换机上没有flow选项;
• 想要办理题目时穷乏具体信息;
• 当应用措施依靠其他协议时，不得当在收集边沿举办监控

Packet capture: 抓包可以或许捕捉在收集中传输的收集数据包的镜像。大大都互换机应承在不影响收集机能的环境下配置镜像端口。凡是，深度数据包检测(DPI)应用措施毗连到镜像端口，并从数据包中提取某些信息，以便我们可以发明收集上产生了什么。利益是：

• 更好地说明应用措施和用户举动，很是得当监控重要应用措施，处事器或至关重要的Internet毗连;
• 会获得更多的信息，如应用措施，文件，网站和主机名;
• 终端用户体系上不必要软件客户端或署理。

弱点是：

• 必要在镜像端口和DPI应用措施之间毗连物理线路;
• 必要确保镜像端口在忙碌的收集上不会过载。

在不清晰区别之前，我们也许会将两者同日而语，此刻应该已经明晰区别了。那我们应该行使哪种技能?在一样平常环境下，两者都必要用到。假若有大量的WAN链接而且必要一种简朴的要领来得到最洪流平的可见性，抓流量也许更好。而抓包可觉得我们提供收集上某些节点的更多具体信息。两者的团结意味着我们可以更轻松地检测诸如带宽占用，以及查察正在行使的应用措施等环境。

结语

必要区分的点都许多，我在文中已经较量好的布置，一步步引出来，从control plane,data plane的区别开始接头，由于这是区分0×03 flow和session的基本，在0×03中提到了stream的观念，于是在0×04中接头stream和datagram的区别，在0×04最后提到了用于解码说明packet的tcpdump，引出了packet，于是天然在0×05中接头packet和frame。以上基本观念和去都明晰之后，最后接头了抓包(packet capture)和抓流量(flow capture)的区别及各自优弱点。

大部门做安详的小搭档应该都不是收集工程身世，以是本文或多或少照旧有些参考代价的。但愿列位师傅能从中获益。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!