抓包是运维的必备技术，许多 *** 毛病需求靠抓包来处理,如常见的ARP诈骗和播送风暴。别的还有一些网线或光纤触摸欠好的毛病，不抓包也很难剖析出来，例如两个公司之间互联，网线测验都没问题，但一直不通。经过抓包剖析标明，发现其他单位的ping恳求都伴随着ARP查询，而不走路由，这时置疑有或许掩码设置过错的问题，经细心排查，确实是路由器上的掩码呈现失误。抓包东西有不少但挑选一款合适你的东西十分重要。
     本文主要为我们介绍OSSIM环境中，毛病扫除利器—根据Web的数据包剖析东西，它是Wireshark的另一种表现形式，这和CloudSharkAppliance(cloudshark.org)的表现手法十分相似。如下图所示。



从功能上看这种根据Web的抓包剖析东西是Wireshark的精简版。它的优势在于长途客户端，经过Web界面就可以实现在服务器端抓包，还可以抓到不同传感器（能搜集不同网段的信息）所检测的数据包反常。在阅览本章时，需求读者具有 *** 嗅探与数据报剖析的基础知识，具有必定Wireshark抓包阅历。
曩昔，剖析 *** 毛病常在一个体系顶用tcpdump抓包，将包保存起来，再导入Wireshark在进行剖析。不过现在运用OSSIM WebUI下的Traffic Capture不用这么费事，操作 *** 为Environment→Traffic Capture

挑选传感器抓包
留意，在设置（settings）选项下方，源地址和方针地址均为可选项。其运用 *** 较简略，输入源地址和方针地址，然后点击捕捉按钮即可。

但使用该东西之前，操作人员对TCP、UDP、IP及ICMP协议及HTTP、DHCP、DNS、FTP等常见使用层协议需了解，包含TCP以及UDP流量格局，下面别离介绍: