抓包是運(yùn)維的必備技能，很多網(wǎng)絡(luò)故障需要靠抓包來解決,如常見的ARP欺騙和廣播風(fēng)暴。另外還有一些網(wǎng)線或光纖接觸不好的故障，不抓包也很難分析出來，例如兩個(gè)公司之間互聯(lián)，網(wǎng)線測(cè)試都沒問題，但始終不通。經(jīng)過抓包分析表明，發(fā)現(xiàn)其他單位的ping請(qǐng)求都伴隨著ARP查詢，而不走路由，這時(shí)懷疑有可能掩碼設(shè)置錯(cuò)誤的問題，經(jīng)仔細(xì)排查，確實(shí)是路由器上的掩碼出現(xiàn)失誤。抓包工具有不少但選擇一款適合你的工具非常重要。

本文主要為大家介紹OSSIM環(huán)境中，故障排除利器—基于Web的數(shù)據(jù)包分析工具，它是Wireshark的另一種表現(xiàn)形式，這和CloudSharkAppliance(cloudshark.org)的表現(xiàn)手法非常類似。如下圖所示。

從功能上看這種基于Web的抓包分析工具是Wireshark的精簡(jiǎn)版。它的優(yōu)勢(shì)在于遠(yuǎn)程客戶端，通過Web界面就可以實(shí)現(xiàn)在服務(wù)器端抓包，還能夠抓到不同傳感器（能收集不同網(wǎng)段的信息）所檢測(cè)的數(shù)據(jù)包異常。在閱讀本章時(shí)，需要讀者具備網(wǎng)絡(luò)嗅探與數(shù)據(jù)報(bào)分析的基礎(chǔ)知識(shí)，具有一定Wireshark抓包經(jīng)歷。

過去，分析網(wǎng)絡(luò)故障常在一個(gè)系統(tǒng)中用tcpdump抓包，將包保存起來，再導(dǎo)入Wireshark在進(jìn)行分析。不過現(xiàn)在使用OSSIM WebUI下的Traffic Capture不必這么麻煩，操作方法為Environment→Traffic Capture

選擇傳感器抓包

注意，在設(shè)置（settings）選項(xiàng)下方，源地址和目標(biāo)地址均為可選項(xiàng)。其使用方法較簡(jiǎn)單，輸入源地址和目標(biāo)地址，然后點(diǎn)擊捕捉按鈕即可。

但應(yīng)用該工具之前，操作人員對(duì)TCP、UDP、IP及ICMP協(xié)議及HTTP、DHCP、DNS、FTP等常見應(yīng)用層協(xié)議需熟悉，包括TCP以及UDP流量格式，下面分別介紹: