流量分析基础篇

下面给你整理一份 “流量分析基础篇” 的完整讲解，从概念、工具到基本方法，让你快速入门网络流量分析。

1. 流量分析是什么？

流量分析（Network Traffic Analysis） 是对计算机网络中的数据包进行捕获、监控、解析和分析的过程。通过流量分析，可以：

• 监控网络状态，发现异常流量。
• 检测网络攻击或安全威胁（如 DDoS、入侵）。
• 优化网络性能。
• 分析应用程序或协议的行为。

本质上就是对“网络中的数据流”进行观察和理解。

2. 网络流量基本概念

1. 数据包（Packet）
   • 网络传输的最小单位。
   • 包含：头部（Header） + 数据（Payload）。
   • 头部信息包括源 IP、目标 IP、端口、协议类型等。
2. 协议（Protocol）
   • 数据包遵循的通信规则，如：
     • TCP：可靠传输。
     • UDP：无连接传输。
     • HTTP/HTTPS：应用层协议。
     • DNS：域名解析。
3. 端口（Port）
   • 用于区分同一 IP 上不同服务或应用的通信。
   • 常用端口：
     • HTTP：80
     • HTTPS：443
     • FTP：21
     • SSH：22
4. 流（Flow）
   • 指从源 IP/端口到目标 IP/端口的一条通信链路。
   • 通常用 5 元组（源 IP、源端口、目标 IP、目标端口、协议）表示。

3. 流量分析的基本步骤

3.1 捕获流量

• 使用抓包工具或命令捕获网络数据包。
• 工具：
  • Wireshark：图形化界面，功能强大。
  • tcpdump：命令行工具，可在服务器上使用。

tcpdump 示例：

tcpdump -i eth0 -nn

• -i eth0：指定接口。
• -nn：不解析主机名和端口名，显示原始数字。

3.2 过滤流量

• 捕获的数据包可能非常多，需要根据条件过滤：
  • 按 IP：host 192.168.1.100
  • 按协议：tcp、udp、icmp
  • 按端口：port 80

tcpdump 示例：

tcpdump -i eth0 tcp port 80

3.3 分析数据包

• 查看数据包的源、目的、协议和长度。
• 分析异常行为，如：
  • 突然大量请求（可能是 DDoS 攻击）。
  • 可疑 IP 频繁访问敏感端口。
  • 不正常的流量协议。

Wireshark 可以：

• 展示协议层次结构（Ethernet/IP/TCP/HTTP）。
• 使用 过滤表达式 查找特定流量：ip.src == 192.168.1.100 && tcp.port == 80

3.4 流量统计

• 统计流量的大小、流量分布、会话数。
• 常用方法：
  • Wireshark：Statistics → Conversations / Protocol Hierarchy。
  • 命令行：tcpdump -i eth0 -nn -c 1000
    • -c 1000：捕获 1000 个数据包后停止。
• ntop/ngrep：可以实时查看流量统计和特定模式。

3.5 异常检测

• 异常特征：
  • 某 IP 短时间发送大量请求。
  • 不常用端口出现大量流量。
  • 协议不匹配，如 TCP 三次握手异常。
• 常用指标：
  • 流量峰值（Packets/sec 或 Bytes/sec）
  • 会话数（Connections/sec）
  • 错误包数量（Malformed Packet）

4. 常用流量分析工具

5. 小技巧

1. 只抓关键流量，避免抓包文件过大：tcpdump -i eth0 tcp port 80 -w http.pcap
2. 使用 Wireshark 过滤：
   • 按源/目的 IP：ip.addr == 192.168.1.100
   • 按协议：http, dns, tcp
3. 结合命令行分析：tcpdump -r http.pcap | grep "POST"

6. 总结

• 流量分析是网络安全、性能优化和故障排查的重要手段。
• 核心流程：捕获 → 过滤 → 解析 → 统计 → 异常检测。
• 关键工具：
  • Wireshark：GUI 分析。
  • tcpdump：命令行抓包。
• 注意事项：
  • 抓包可能涉及隐私或敏感信息，要在合法范围内进行。
  • 高速网络或长时间抓包需要注意存储空间和性能。