sniffer 蠕虫病毒流量分析
Sniffer的数据包分析与防范
Sniffer的数据包分析与防范Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。
然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。
鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。
最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。
关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1.信息监听的意义;我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。
监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。
2、Sniffer的介绍;Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。
Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。
Sniffer可以是硬件也可以是软件。
主要用来接收在网络上传输的信息。
网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。
病毒木马的工作原理及其防范
病毒的定义和分类
计算机病毒的特点 1)可执行性 当用户运行正常程序时,病毒伺机窃取到系统的控制 权,得以抢先运行。 2)破坏性 无论何种病毒程序,一旦侵入系统都会对操作系统的 运行造成不同程度的影响。 3)传染性 把自身复制到其他程序中的特性。 是计算机病毒最重要的特征,是判断一段程序代码是 否为计算机病毒的依据。 病毒可以附着在其它程序上,通过磁盘、光盘、计算 机网络等载体进行传染,被传染的计算机又成为病毒的生存 的环境及新传染源。
缓冲区溢出与病毒攻击的原理
二、缓冲区溢出的根源在于编程错误 缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而 程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲 区溢出就会发生。 缓冲区溢出之所以泛滥,是由于开放源代码程序的本质决 定的。某些编程语言对于缓冲区溢出是具有免疫力的,例如 Perl能够自动调节字节排列的大小,Ada 95能够检查和阻止缓 冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标 准C语言具有许多复制和添加字符串的函数,这使得标准C语 言很难进行边界检查。C++语言略微好一些,但是仍然存在缓 冲区溢出情况。一般情况下,覆盖其他数据区的数据是没有意 义的,最多造成应用程序错误,但是,如果输入的数据是经过 “黑客”或者病毒精心设计的,覆盖缓冲区的数据恰恰是“黑 客”或者病毒的攻击程序代码,一旦多余字节被编译执行, “黑客”或者病毒就有可能为所欲为,获取系统的控制权。
毒。由于通过电子邮件系统传播,宏病毒在短短几天内狂袭
全球数以百万计的电脑。包括微软、Intel等公司在内的众多 大型企业网络系统瘫痪,全球经济损失达数十亿美元。2004 年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。
VBS病毒的起源与发展及其危害
蠕虫病毒原理
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
sniffer用法教程
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。
Sniffer Pro 4.6可以运行在各种Windows平台上,只要安装在网络中的任何一台机器上,都可以监控到整个网络。
以下以Sniffer 4.70汉化版本为例,介绍一下Snffer在网吧网络维护中的具体应用。
一、Sniffer软件的安装在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。
运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。
二、Sniffer软件的使用打开Sniffer软件后,会出现主界面,显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。
由于使用的是汉化版软件,因此部分词语汉化不是太准确。
1、获取网络中的机器列表Sniffer软件运行后,首先要搜索网络中的机器。
在“工具”菜单中找到“地址簿”选项并运行,在“地址簿”中的左侧工具菜单中,可以找到一个“放大镜”的图标,这是“自动搜索”的按钮。
运行“自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。
搜索完成后,会出现一个如图1的机器列表。
2、保存机器列表Sniffer搜索网络中所有的机器列表后,可以在“数据库”菜单中选择“保存地址簿”选项,将当前的机器列表保存,以备日后使用。
由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息,如果网络中的客户机更换了网卡,则必须重新搜索机器列表并重新保存地址簿。
如果网络中没有新机器增加,就无需更新此地址簿。
三、Sniffer菜单及功能简介Sniffer进入时,需要设置当前机器的网卡信息。
sniffer 教程
sniffer 教程
Sniffer是一个网络流量分析工具,用于截获和分析网络数据包。
它可以用于网络管理、网络安全监测、漏洞分析等目的。
下面是一些关于使用Sniffer的基本教程:
1. 安装Sniffer软件:首先,您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。
安装过程通常与常规软件安装类似,您只需按照安装向导的指示进行操作。
2. 启动Sniffer:安装完成后,在您的计算机上找到Sniffer 的快捷方式或应用程序图标,双击打开Sniffer。
3. 设置网络接口:在Sniffer界面上,您需要选择要监测的网络接口。
通常,您可以选择您的计算机上的网络接口(如以太网、Wi-Fi等)。
选择要监测的网络接口后,单击“开始”或类似的按钮以开始捕获网络数据包。
4. 监测网络流量:一旦Sniffer开始捕获网络数据包,它将显示经过所选网络接口的流量。
您可以在Sniffer界面上查
看捕获的数据包,并从中提取关键信息,如源地址、目的地址、协议类型等。
5. 分析网络流量:Sniffer还提供了一些分析工具,如过滤器、统计数据、图形化界面等,以帮助您分析捕获的网络流量。
您可以使用这些工具来过滤特定类型的数据包,生成统计报告,可视化网络流量数据等。
需要注意的是,使用Sniffer工具需要具备一定的网络知识和技能,以有效地利用捕获的数据包进行分析。
此外,出于安全和合法性的考虑,在使用Sniffer时,请确保遵守相关法律和规定,并仅在授权范围内使用该工具。
sniffer异常流量案例解析(精)
特征: •TCP的SYN包 (同步) •无响应(需要 三次握手过程) •包时间间隔短, 为毫秒级,自 动发出 •目的地址随机
诊断分析
IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络 流量 该主机发出的网络流量是某种软件自动发出 很可能是感染了某种采用TCP协议传播的病毒,不断在网 络中寻找TCP连接的服务器,从而进行传播
分析异常流量 哪些设备发出异常流量 哪些设备接收异常流量 异常流量的内容 分析流量特点
课程内容
1 异常流量概述 蠕虫病毒流量分析
2
3 4 5
DOS攻击流量分析
路由环流量分析 ARP欺骗分析
蠕虫病毒流量分析 环境简介 这是一个对某网络系统中广域网部分的日常 流量分析,我们在其广域网链路上采用Sniffer 进行流量捕获,并把产生流量最多的协议 HTTP协议的网络流量过滤出来加以分析,分 析过程及结果如下。
找出产生网络流量最大的主机 Host Table图
案例环境
饼状图
IP地址为 210.51.8.89的 主机发出了 15146个数据 包 该主机发出的 数据包占所有 主机发出的数 据包总数的 79.39
案例环境
Matrix图
这台主机发包 的目标主机只 有一个,就是 IP地址为 209.198.152. 200的主机
异常流量产生原因 DOS/DDOS攻击 大规模爆发的蠕虫病毒 ARP欺骗 路由环路 大量的垃圾邮件 肆意泛滥的各类P2P视频/语音下载等应用 。。。。
病毒引发异常流量 Internet飞速发展给病毒传播提供非常好的 传播途径 病毒传播过程产生大量网络流量,严重时影 响网络正常运行 Nimda、冲击波、CodeRed等病毒造成网络 瘫痪
sniffer实验报告
sniffer实验报告实验报告:Sniffer实验引言:Sniffer是一种网络工具,用于捕获和分析网络数据包。
它可以帮助我们了解网络通信的细节,并帮助网络管理员识别和解决网络问题。
本实验旨在介绍Sniffer的原理和应用,以及通过实际操作来深入了解其功能和效果。
一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层,通过监听网络上的数据包来获取信息。
它可以在网络中的一个节点上运行,或者通过集线器、交换机等设备进行监测。
Sniffer通过网卡接口,将数据包拷贝到自己的缓冲区中,然后进行解析和分析。
二、Sniffer的应用领域1. 网络故障排查:Sniffer可以帮助管理员快速定位网络故障的原因,通过捕获数据包并分析其中的错误信息,找到导致网络中断或延迟的问题源。
2. 安全监测:Sniffer可以用于检测网络中的恶意行为,如入侵、数据泄露等。
通过分析数据包的内容和流量模式,管理员可以发现异常活动并采取相应措施。
3. 性能优化:Sniffer可以监测网络的吞吐量、延迟等性能指标,帮助管理员优化网络结构和配置,提高网络的传输效率和响应速度。
4. 协议分析:Sniffer可以解析各种网络协议,包括TCP/IP、HTTP、FTP等,帮助管理员了解网络通信的细节和流程,从而更好地管理和优化网络。
三、实验步骤与结果1. 硬件准备:连接电脑和网络设备,确保网络正常运行。
2. 软件安装:下载并安装Sniffer软件,如Wireshark等。
3. 打开Sniffer软件:选择合适的网卡接口,开始捕获数据包。
4. 分析数据包:通过过滤器设置,选择需要分析的数据包类型,如HTTP请求、FTP传输等。
5. 结果分析:根据捕获的数据包,分析网络通信的细节和问题,并记录相关信息。
6. 故障排查与优化:根据分析结果,定位网络故障的原因,并采取相应措施进行修复和优化。
实验结果显示,Sniffer软件成功捕获了网络中的数据包,并能够准确地分析其中的内容和流量模式。
实验二 使用sniffer pro进行网络分析 (1)
实验二、使用sniffer pro 进行网络分析一、实验目的1、学会用Sniffer Pro 网络分析器的主要功能;2、利用Sniffer Pro 网络分析器的强大功能和特征,解决网络故障和问题。
二、实验理论基础Sniffer 软件是NAI 公司推出的功能强大的协议分析软件。
Sniffer 支持的协议比较丰富,例如PPPOE 协议等在Netxray 并不支持,在Sniffer 上能够进行快速解码分析。
Sniffer Pro 4.6可以运行在各种Windows 平台上。
Sniffer 软件有如下主要功能: ● 捕获网络流量进行详细分析; ● 利用专家分析系统诊断问题; ● 实时监控网络活动; ● 收集网络利用率和错误等三、实验条件:LAN 、windows 系统、sniffer pro 软件 四、实验内容 4.1监听口的设置在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。
位置:File->select settings4.2 报文捕获解析捕获面板捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件4.2.1 捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
4.2.2 捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。
如下图所示。
专家分析专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
✧解码分析下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。
对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。
任务6 使用sniffer检测网络异常
返回 实践操作
上页 下页
上页 下页
返回 问题探究
1.Sniffer可以用来排除来自内部的威胁
Sniffer不是防病毒工具,这也只是它的一个用途, 而且只对蠕虫类型对网络影响大的病毒有效,对于文件 型的病毒,它很难发现。 前面提到的异常流量,这是一个很重要的概念,什 么是异常流量?我们怎么判断是否异常?这又涉及另外 一个概念,叫基准线分析。基准线是指我们网络正常情 况下的行为特征,包括利用率、应用响应时间、协议分 布,各用户贷款消耗等,不同工程师会有不同基准线, 因为他关心的内容不同,只有知道我们网络正常情况下 的行为特征,我们才能判断什么是异常流量)。所以, 作为一个网络工程师要做流量的势分析,通过长期监控, 可以发现网络流量的发展趋势,为将来网络改造提供建 议和依据。
上页 下页
返回
知识拓展
知识拓展
3.除了加密外,使用交换机目前也是一个应用比较 多的方式。不同于工作在第一层的hub,交换机是工作在 二层,也就是说数据链路层的,以CISCO的交换机为例, 交换机在工作时维护着一张ARP的数据库,在这个库中 记录着交换机每个端口绑定的 MAC 地址,当有数据报 发送到交换机上时,交换机会将数据报的目的 MAC 地 址与自己维护的数据库内的端口对照,然后将数据报发 送到"相应的"端口上,注意,不同于HUB的报文广播方 式,交换机转发的报文是一一对应的。对二层设备而言, 仅有两种情况会发送广播报文,一是数据报的目的 MAC 地址不在交换机维护的数据库中,此时报文向所 有端口转发,二是报文本身就是广播报文。由此,我们 可以看到,这在很大程度上解决了网络监听的困扰。
网络嗅探:使用Sniffer监控网络流量-电脑资料
网络嗅探:使用Sniffer监控网络流量-电脑资料网吧内嗅探使用随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用,。
应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。
目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。
毕竟,靠网络管理员的经验和一些简单传统的排查方法:无论从时间上面还是准确性上面都存在很大的误差,同时也影响了工作效率和正常业务的运行。
Sniffer Pro 著名网络协议分析软件。
本文利用其强大的流量图文系统Host Table来实时监控网络流量。
在监控软件上,我们选择了较为常用的NAI公司的sniffer pro,事实上,很多网吧管理员都有过相关监控网络经验:在网络出现问题、或者探查网络情况时,使用P2P 终结者、网络执法官等网络监控软件。
这样的软件有一个很大优点:不要配置端口镜像就可以进行流量查询(其实sniffer pro也可以变通的工作在这样的环境下)。
这种看起来很快捷的方法,仍然存在很多弊端:由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝的问题,如掉线、网络变慢、ARP广播巨增等。
这对于要求正常的网络来说,是不可思议的。
在这里,我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻,电脑资料《网络嗅探:使用Sniffer监控网络流量》(https://www.)。
硬件环境(网吧):100M网络环境下,92台终端数量,主交换采用D-Link(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。
光纤10M接入,华为2620做为接入网关。
借助Sniffer分析网络流量
借助Sniffer分析网络流量各位做维护的同事经常会听到用户对网速太慢的抱怨,但是网速慢的原因有很多,比如软件设置不当,网络设备故障,物理链路问题,感染病毒等,而单单从用户的故障描述里面很难有进一步的发现,所以也许大家一时也不知道从何下手。
Sniffer是一个非常好的流量分析工具,利用它我们可以实际了解到当前网络中正在发生的具体流量,并且通过Sniffer的专家系统以及进一步对数据包的解码分析,我们可以很快的定位网络故障,确认网络带宽的瓶颈,在故障发生前及时消除网络隐患,这样能给我们日常的维护工作带来很大的方便,也使得我们的维护工作处于主动地位,不会再只有接到用户故障投诉后才能处理故障,在时间和效率上都不能很好的让用户满意。
下面是借助Sniffer对我某地市分公司出口流量做的一个简单的流量分析,没有什么很深的技术含量,也并不需要太深的专业知识,希望能对大家日常的维护工作有一定启发。
分析目标:了解目前带宽实际利用率,检查有无网络隐患。
分析方法:在核心交换机上做端口镜像,利用sniffer抓包。
测试时间:2005.5.17 10:00~10:10测试地点:中心机房抓包开始时间:5.17 10:20抓包持续时间:16s数据包个数:88865平均带宽利用率:7%1,首先我们了解一下网络中协议的分布情况,通过sniffer的Protocol Distribution功能可以直观的看到当前网络流量中协议分布图:从上面可以很明显看出,HTTP应用流量最大占63%,其次就是NetBios流量占35%。
了解协议分布情况以后,我们再找到网络中流量最大的主机,因为流量越大也就意味着对网络的影响也就越大,利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器,如下图所示:可以看到219.72.238.88,219.72.237.201这两台主机在目前我们网络内部流量较大,分别占16.52%和15.97%。
防火墙Sniffer使用分析
IP首部信息
可见IP头部的内容中包含了协议的版本(目前一般都是IPV4)、包总长度为 77bytes,源地址的IP(192.168.1.101)、目标地址的IP(124.240.144.135)、包 头校验和(0B28(correct))等内容。
TCP首部信息
在TCP协议的头部信息中,包含了源端口号(52255)、目的端的端口 号(1248)、初始序列号(2056036996)、下一个希望得到的包的序 列号(2056036997)、校验和(Checksum=8C58(correct))等信息。
4. Sniffer的网络监视功能
网络监视功能能够时刻监视网络流量统计、网络上资源的利用率,并 能够监视网络流量的异常状况,其主要功能由Dashbord和ART实现,其他 功能可以参看在线帮助。 Dashbord可以监控网络的利用率、流量及错误报文等内容。通过图形 界面可以清楚看到此功能,如图所示。
捕获主机列表
主机列表,显示出所连主机详细信息,IP地址,入埠数据包个数、字节 数,出埠数据包的个数,出埠字节数,数据包总数,字节总数。
Proctocal Dist
Protocol Dist显示出与所连主机所有流量信息。
统计表
3. Sniffer的抓包分析
DLC首部信息
从图中可以看到数据包的头部是DLC层协议的内容:标明了第7 个帧Frame到达的时间、Frame 的大小、源数据链路层号(可以看出 自己的数据链路层号为001FD0371D21,目的主机的数据链路层号为 F8D111F8ABCC。
1.Sniffer的启动界面和抓包界面
启动界面
进入sniffer首先要定义过滤属性,单击Capture→Define filter,新建一个过滤,可以配置自己主机的IP,如下图所示
蠕虫病毒原理
从传播模式进行安全防御
对蠕虫在网络中产生的异常,有多种的的方法 可以对未知的蠕虫进行检测,比较通用的方法 是对流量异常的统计分析,主要包括对TCP连 接异常的分析和ICMP数据异常分析的方法。
从传播模式进行安全防御
在蠕虫的扫描阶段,蠕虫会随机的或者伪随机的生成 大量的IP地址进行扫描,探测漏洞主机。这些被扫描 主机中会存在许多空的或者不可达的IP地址,从而在 一段时间里,蠕虫主机会接收到大量的来自不同路由 器的ICMP不可达数据包。流量分析系统通过对这些 数据包进行检测和统计,在蠕虫的扫描阶段将其发现, 然后对蠕虫主机进行隔离,对蠕虫其进行分析,进而 采取防御措施。
发包数量前列的IP地址为22.163.0.9的主机,其从网络 收到的数据包数是0,但其向网络发出的数据包是445 个;
这对HTTP协议来说显然是不正常的,HTTP协议是基 于TCP的协议,是有连接的,不可能是光发不收的,一 般来说光发包不收包是种类似于广播的
同样,我们可以发现,如下IP地址存 在同样的问题
系统漏洞蠕虫
利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并
尝试溢出,然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃,
属于最不受欢迎的一类蠕虫
蠕虫的工作方式与扫描策略
蠕虫的工作方式一般是“扫描→攻击→复制”
将ICMP不可达数据包进行收集、解析,并根据源和 目的地址进行分类,如果一个IP在一定时间(T)内 对超过一定数量(N)的其它主机的同一端口(P) 进行了扫描,则产生一个发现蠕虫的报警(同时还会 产生其它的一些报警)。
用Sniffer进行蠕虫检测
sniffer功能和使用详解
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
使用Sniffer Pro监控网络流量
软件环境:操作系统Windows2003 Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI协议分析软件-Sniffer Portable 4.75(本文选用网络上较容易下载到的版本做为测试)环境要求:1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。
(监控所有流经此网卡的数据)2、Snffier pro 475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本网络拓扑:图监控目的:通过Sniffer Pro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。
对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。
Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。
同时,我们将数据包捕获后,通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题步骤一:配置交换机端口镜像(Mirroring Configurations)以DES-3226S二层交换机为例,我们来通过WEB方式配置端口镜像(也可用CLI命令行模式配置)。
如果您的设备不支持WEB方式配置,请参考相关用户手册。
1.DES-3226S默认登陆IP为:10.90.90.90 因此,需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。
如图(1)所示:图12.使用鼠标点击上方红色字体:“Login”,如果您是第一次配置,输入默认用户名称、密码:admin 自动登陆管理主界面。
3.如图(2)所示,主界面上方以图形方式模拟交换机界面,其中绿色灯亮起表示此端口正在使用。
Sniffer_Infinistream分析案例
Sniffer Infinistream分析案例1. 概述用户业务的运行对网络的依赖性越来越强,网络特别是骨干网络的稳定健康运行直接关系到日常业务的正常运行。
对骨干网络的流量分析;对潜在隐患提前预警;对各种发生的故障进行及时定位、分析、处理;在此基础上合理利用网络资源;根据应用现状和发展趋势进行网络规划;保障网络安全、高效、稳定的运行就变得日趋重要。
用户现有的网络管理系统在长期的网络流量分析方面存在不足。
主要表现在如下方面:∙长期的网络和应用问题分析能力不足现有的网络管理系统无法长期的纪录网络和应用的运行状态,无法长期的保存网络流量信息,在出现网络或应用问题时,不能为网络技术人员提供有效的信息依据,问题往往是依靠网络技术人员通过推断来分析,这样网络问题的分析效率很低,同时很难得到确实的分析结论。
∙缺乏对网络和应用间歇性问题的分析能力网络或应用可能出现间歇性故障,这种故障的出现一般很难判断,在出现后很难分析其产生原因,而再次出现的时间无法确定,因此难以解决,好像网络中存在一个不定时的炸弹,使用户网络和应用时刻处于危险之中。
∙对网络安全问题的分析能力不足在发生网络安全问题时,缺乏有效的监控分析手段,导致网络的安全性降低,例如蠕虫病毒的爆发,应该能够对蠕虫病毒的传播情况进行有效的分析。
2. Sniffer Infinistream产品介绍Sniffer Infinistream 是Sniffer企业网络管理系统的重要组成部分,Sniffer Infinistream集成Sniffer业界领先的网络流量监控和解码分析能力以及专家系统,同时具备大容量的存储能力,为您提供了业界领先的的网络故障隔离和性能管理解决方案,Infinistream具备如下技术特点:∙千兆位网络流量数据捕获和存储Infinistream能够实现千兆网络流量的线速捕获,Infinistream采用了stream-to-disk技术,实现高达1800Mbps的捕获存储性能,能够有效地捕获、检索和存储网络中的所有数据包,并提供全面、明确的分析数据。
sniffer 蠕虫病毒流量分析
蠕虫病毒流量分析1.1.环境简介这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP 协议的网络流量过滤出来加以分析,分析过程及结果如下。
1.2.找出产生网络流量最大的主机我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。
我们利用Sniffer的Host Table功能,将所有计算机按照发出数据包的包数多少进行排序,结果如下图。
图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。
通过Host Table,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过Host Table来发现,如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。
同样,我们可以发现,如下IP地址存在同样的问题:1.3.分析这些主机的网络流量下面是我们对部分主机的流量分析。
首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标。
图8图9我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包。
通过Sniffer的解码(Decode)功能,我们来了解这台主机向外发出的数据包的内容,如图。
图10从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蠕虫病毒流量分析
1.1.环境简介这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP 协议的网络流量过滤出来加以分析,分析过程及结果如下。
1.2.找出产生网络流量最大的主机我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。
我们利用Sniffer的Host Table功能,将所有计算机按照发出数据包的包数多少进行排序,结果如下图。
图6
从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。
通过Host Table,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可
以直接通过Host Table来发现,如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。
同样,我们可以发现,如下IP地址存在同样的问题:
1.3.
分析这些主机的网络流量下面是我们对部分主机的流量分析。
首先
我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标。
图8
图9
我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包。
通过Sniffer的解码(Decode)功能,我们来了解这台主机向外发出的数据包的
内容,如图。
图10
从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发
出的。
通过以上的分析,我们能够非常肯定的断定,IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。
该主机发出的网络流量是某种软件自动发出的,很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP 服务器,从而进行传播。
我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量,就能清楚的看到感染病毒的计算机的网络行为轨迹。
图11
图12
从图11和图12中我们可以清楚的看到,IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求,寻找HTTP服务器,在发现HTTP服务器并与之建立连接后,紧接着就试图利用IIS的漏洞将病毒传播到目标主机。
正式由于大量感染病毒的计算机不断向网络中发送数据包,而且是小数据包,使网络的效率非常低,大大影响网络的性能,并导致业务应用的无法正常运行,给用户带来很大损失。
采用协议分析的方法,能非常直观且快速的发现这些计算机,帮助网络管理人员快速确定并解决问题。
2.
DOS攻击流量分析2.1.
环境及现象简介用户的网络是一个IDC网络环境,包括局域网和Internet 接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放
的游戏服务器主机。
网络拓扑如下:
该网络出现网络性能突然下降,但没有发现网络设备出现异常。
2.2.
找出产生网络流量最大的主机我们同样利用Sniffer的Host Table
功能,将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序,结果如下图。
图13
我们从图13,Sniffer的host table中可以看到IP地址为210.51.8.89的主机发出了15146个数据包,远远超过其他的网络主机。
图14
从图14中我们可以看到,该主机发出的数据包占所有主机发出的数据包总数的79.39,网络中绝大多数的数据包竟然是这一台主机发出的,对于一个IDC来讲,这是非常异常的现象。
2.3.
分析这台主机的网络流量首先我们分析该主机的网络流量流向,也
就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。
图15
我们通过图15可以看到,这台主机发包的目标主机只有一个,就是IP地址为209.198.152.200的主机。
同过Sniffer的Decode功能,我们分析该主机发出的数据包内容。
图16
从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包,但是是不完整的数据包,同时其发包的时间间隔极短,每秒钟发包数量在100,000个数据包以上,这是种典型的网络攻击行为,初步判断为黑客首先攻击寄存在IDC的网络主机,在取得其控制权后利用这台主机向目标主机发起拒绝服务(DOS)攻击,由于该主机性能很高,同时IDC的网络性能很高,造成这种攻击的危害性极大。
3.
路由环流量分析3.1.
环境简介这是一个实际发生的网络利用率异常导致网络大量丢包的案例,用
户的网络丢包现象很严重,给用户造成了很大的困扰。
3.1.1.
网络环境用户的网络是一个省级网络环境,包括局域网和广域网,并同全国
的广域网络相连。
网络拓扑如下:
图
3.1.2.
网络异常现象该网络丢包现象严重,如果通过省局域网向地市网络或全国
网络发包,每发出10个PING包将只能收到7个REPLY包,这样,基于网络的应用受到很大的影响。
3.2.
找出产生网络流量最大的主机我们同样利用Sniffer的Host Table
功能,将该网络所有计算机产生的网络流量按照发出数据包的包数多少进行排序,结果如下图。
图17
从图17中我们看到,IP地址为10.22.0.25的主机发出数据包最多,远远超过了其他主机,相应产生的流量也最大。
3.3.
分析这台主机的网络流量首先我们分析该主机的网络流量流向,也
就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。
图18
通过Sniffer的Matrix,我们发现IP地址为10.22.0.25的主机发出的数据包很分散,我们调查了一下,发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机,而它发包的对象是该网络中地市级路由器的IP地址,也就是说网络的网管主机向地市路由器发出大量的网络包,导致网络流量异常并导致网络大量丢包,使网络处于不稳定状态。
在发现这个问题后,我们将该网管主机的网络连接解除,发现网络马上恢复到了正常状态,不在有丢包现象发生,看起来这个网络的问题完全是由这台网管主机引起的一样,但这种现象非常难以理解,为什么网管主机会造成网络问题呢。
我们利用Sniffer的Decode功能将捕获到的网络流量解码,来分析网管主机发出的数据包的内容,看看到底它发出了什么样的数据包。
图19
我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP Echo数据包,也就是Ping包,我们对其向10.22.127.246发送的ICMP Echo包进行分析,发现了奇怪的现象。
我们对我们捕获的由10.22.0.25向10.22.127.246发送的ICMP Echo包其中相邻的数据包进行解码分析,图19为其发出的第739个数据包,图20为其发出的第740个数据包,我们发现这两个包的IP Identification是一样的,都是15633,每个IP包都会有一个特定的Identification来标志其唯一性,这说明我们捕获到的这两个数据包其实是同一个IP包。
图20
而捕获到的这个数据包的Time to live也就是TTL值一个为251,另一个为250,TTL为IP包的生存时间,每经过一个路由处理,TTL值就会被减一,直至到0后被路由器丢掉。
我们看到其他的数据包也是同样的情况,这个IP ID为15663的数据包不断在网络中出现,直到TTL值减到0,这种现象清楚的表明,网络里存在着路由环,发向10.22.127.246的数据包是在路由器间不断的互相传递,最终被丢掉,这种现象也可以成为路由乒乓现象,出现路由环后,一个数据包将重复在网络中传送,而且瞬时流量会异常的大,造成网络异常,这正和该网络的网络异常现象相吻合。
为什么会出现路由环呢,我们对其网络进行了详细的了解,发现其在路由器中设
置了大量的静态路由,其路由设置如图21所示。
图21
从图21中我们可以看出,如果二级网路由器同地市网络路由器之间的DDN网络连接一旦中断,二级网路由器中所设的指向地市网络路由器的静态路由就会由于端口状态问题而无效,而其到各地市网段的路由指向就会采用缺省路由指向而指回省局域网交换机,这样路由的乒乓现象就形成了。
事实上当时的地市网络并未调通,但网络的路由都已经设置完成了,同时各地市路由器的IP地址已经添加到了网管系统中,网管系统在固定的时间间隔内向这些路由器发出ICMP包,验证这些路由器是否能够访问到,而这些ICMP包却在省局域网交换机和二级网路由器间被放大形成乒乓现象,造成网络丢包现象严重。
在配置静态路由时要非常小心,最好不要在网络配置中采用静态路由。