[計算機軟件及應(yīng)用]11高級網(wǎng)絡(luò)管理-Sniffer Pro工具.ppt

2020 2 15 企業(yè)網(wǎng)絡(luò)安全和管理 EnterpriseNetworkSecurityandManagement 使用SnifferPro軟件 回顧集線器和交換機的原理網(wǎng)絡(luò)嗅探工具的原理Sniffer工具的介紹和安裝使用Sniffer分析ftp telnet等網(wǎng)絡(luò)流量使用Sniffer防御蠕蟲病毒的案例分析交換環(huán)境下Sniffer的實現(xiàn) 集線器工作原理 當集線器收到一個以太網(wǎng)幀時 會把它轉(zhuǎn)發(fā)到除接收端口之外的所有其他端口 交換機的工作原理 根據(jù)mac地址表 在源 目的主機之間一對一的進行數(shù)據(jù)轉(zhuǎn)發(fā) 集線器和交換機的工作原理 網(wǎng)絡(luò)嗅探工具的原理 當采用共享HUB 用戶發(fā)送一個報文時 這些報文就會發(fā)送到LAN上所有可用的機器 在一般情況下 網(wǎng)絡(luò)上所有的機器都可以 聽 到通過的流量 但對不屬于自己的報文則不予響應(yīng) 如果局域網(wǎng)中某臺機器的網(wǎng)絡(luò)接口處于混雜模式 即網(wǎng)卡可以接收其收到的所有數(shù)據(jù)包 那么它就可以捕獲網(wǎng)絡(luò)上所有的報文和幀 如果一臺機器被配置成這樣的方式 它 包括其軟件 就是一個嗅探器 Sniffer工具的介紹和安裝 Sniffer嗅探器是一種常用的收集有用數(shù)據(jù)方法 這些數(shù)據(jù)可以是用戶的帳號和密碼 可以是一些商用機密數(shù)據(jù)等等 Sniffer可以作為能夠捕獲網(wǎng)絡(luò)報文的設(shè)備 ISS為Sniffer這樣定義 Sniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具 Sniffer的兩個類別 交換環(huán)境下的Sniffer交換環(huán)境下的Sniffer往往是通過對交換機進行ARP欺騙 變成一個中間人進行截獲數(shù)據(jù) 共享環(huán)境下的Sniffer共享環(huán)境下的Sniffer僅僅只需要把本機的網(wǎng)卡設(shè)置為混雜模式就可以監(jiān)聽網(wǎng)絡(luò)上所有的數(shù)據(jù)報 而不需要進行任何欺騙行為 SnifferPro介紹 NAI公司出品的Sniffer 作為NAI公司的主打產(chǎn)品 價格也是不菲的 SnifferPro是一系列網(wǎng)絡(luò)故障和性能管理解決方案 網(wǎng)絡(luò)專業(yè)人士可以使用它對多拓樸結(jié)構(gòu)和多協(xié)議網(wǎng)絡(luò)進行維護 故障解決 優(yōu)化調(diào)整和擴展 SnifferPro軟件可以在桌面機 便攜式計算機或者筆記本等硬件平臺上運行 SnifferPro的安裝 SnifferPro的面板介紹 1 Dashboard 儀表板 點擊 點擊按鈕 出現(xiàn)三個表 表顯示的是網(wǎng)絡(luò)的使用率 Utilization 表顯示的是網(wǎng)絡(luò)的每秒鐘通過的包 Packets 表顯示的是網(wǎng)絡(luò)的每秒錯誤率 Errors 通過這三個表可以直觀的觀察到網(wǎng)絡(luò)的使用情況 紅色部分顯示的是根據(jù)網(wǎng)絡(luò)要求設(shè)置的上限 Dashboard 儀表板 續(xù) 點擊上圖 按鈕則出現(xiàn)下圖 更為詳細的網(wǎng)絡(luò)相關(guān)數(shù)據(jù)的曲線圖 2 Hosttable 主機列表 點擊 顯示所有在線的本網(wǎng)主機地址及連到外網(wǎng)的外網(wǎng)服務(wù)器地址 3 Detail 協(xié)議列表 點擊 顯示的是整個網(wǎng)絡(luò)中的協(xié)議分布情況 可清楚地看出哪臺機器運行了那些協(xié)議 4 Bar 流量列表 點擊 圖中顯示的是整個網(wǎng)絡(luò)中的機器所用帶寬前10名的情況 顯示方式是柱狀圖 5 Pie 流量列表 點擊 圖中顯示的是整個網(wǎng)絡(luò)中的機器所用帶寬前10名的情況 顯示方式是餅狀圖 6 Matrix 矩陣 點擊 點擊箭頭所指的圖標 出現(xiàn)全網(wǎng)的連接示意圖 圖中綠線表示正在發(fā)生的網(wǎng)絡(luò)連接 藍線表示過去發(fā)生的連接 將鼠標放到線上可以看出連接情況 鼠標右鍵在彈出的菜單中可選擇放大 zoom 此圖 7 Alarm 警報 顯示警報信息 點擊 8 PacketGenerator 數(shù)據(jù)包發(fā)生器 使用數(shù)據(jù)包發(fā)生器 可以自己定義數(shù)據(jù)包進行發(fā)送 點擊 使用Snifferpro分析網(wǎng)絡(luò)流量 抓取單臺主機的所有流量抓取telnet流量抓取ftp流量 1 抓取單臺主機的所有流量 本例要抓192 168 113 208這臺機器的所有數(shù)據(jù)包 如圖中 選擇這臺機器 點擊 所指圖標 抓取單臺主機的所有流量 續(xù) 等到圖中箭頭所指的望遠鏡圖標變紅時 表示已捕捉到數(shù)據(jù) 點擊該圖標 抓取單臺主機的所有流量 續(xù) 選擇箭頭所指的Decode選項即可看到捕捉到的所有包 2 抓取telnet的流量 抓取telnet的流量續(xù) 顯示密碼 3 抓取ftp的流量 使用Sniffer防御蠕蟲病毒的案例分析 環(huán)境簡介這是一個對某網(wǎng)絡(luò)系統(tǒng)中廣域網(wǎng)部分的日常流量分析 我們在其廣域網(wǎng)鏈路上采用Sniffer進行流量捕獲 并把產(chǎn)生流量最多的協(xié)議HTTP協(xié)議的網(wǎng)絡(luò)流量過濾出來加以分析 分析過程及結(jié)果如下 1 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機 我們分析的第一步 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機 產(chǎn)生網(wǎng)絡(luò)流量越大 對網(wǎng)絡(luò)造成的影響越重 我們一般進行流量分析時 首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計算機 我們利用Sniffer的HostTable功能 將所有計算機按照發(fā)出數(shù)據(jù)包的包數(shù)多少進行排序 結(jié)果如下圖 通過HostTable 我們可以分析每臺計算機的流量情況 有些異常的網(wǎng)絡(luò)流量我們可以直接通過HostTable來發(fā)現(xiàn) 如排在發(fā)包數(shù)量前列的IP地址為22 163 0 9的主機 其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0 但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個 這對HTTP協(xié)議來說顯然是不正常的 HTTP協(xié)議是基于TCP的協(xié)議 是有連接的 不可能是光發(fā)不收的 一般來說光發(fā)包不收包是種類似于廣播的應(yīng)用 UDP這種非連接的協(xié)議有可能 同樣 我們可以發(fā)現(xiàn) 如下IP地址存在同樣的問題 下面是我們對部分主機的流量分析 首先我們對IP地址為22 163 0 9的主機產(chǎn)生的網(wǎng)絡(luò)流量進行過濾 然后查看其網(wǎng)絡(luò)流量的流向 下面是用Sniffer的Matrix看到的其發(fā)包目標 我們可以看到 其發(fā)包的目標地址非常多 非常分散 且對每個目標地址只發(fā)兩個數(shù)據(jù)包 通過Sniffer的解碼 Decode 功能 我們來了解這臺主機向外發(fā)出的數(shù)據(jù)包的內(nèi)容 如圖 從Sniffer的解碼中我們可以看出 該主機發(fā)出的所有的數(shù)據(jù)包都是HTTP的SYN包 SYN包是主機要發(fā)起TCP連接時發(fā)出的數(shù)據(jù)包 也就是IP地址為22 163 0 9的主機試圖同網(wǎng)絡(luò)中非常多的主機建立HTTP連接 但沒有得到任何回應(yīng) 這些目標主機IP地址非常廣泛 可以認為是隨機產(chǎn)生的 且根本不是HTTP服務(wù)器 而且發(fā)出這些包的時間間隔非常短 為毫秒級 應(yīng)該不是人為發(fā)出的 通過以上的分析 我們能夠非?？隙ǖ臄喽?IP地址為22 163 0 9的主機產(chǎn)生的網(wǎng)絡(luò)流量肯定是異常網(wǎng)絡(luò)流量 該主機發(fā)出的網(wǎng)絡(luò)流量是某種軟件自動發(fā)出的 很可能是感染了某種采用HTTP協(xié)議傳播的病毒 不斷在網(wǎng)絡(luò)中尋找HTTP服務(wù)器 從而進行傳播 我們在來分析一下IP地址為22 1 224 202的主機產(chǎn)生的網(wǎng)絡(luò)流量 就能清楚的看到感染病毒的計算機的網(wǎng)絡(luò)行為軌跡 從圖中我們可以清楚的看到 IP地址22 1 224 202的主機先向網(wǎng)絡(luò)中不斷發(fā)出HTTP請求 尋找HTTP服務(wù)器 在發(fā)現(xiàn)HTTP服務(wù)器并與之建立連接后 緊接著就試圖利用IIS的漏洞將病毒傳播到目標主機 正是由于大量感染病毒的計算機不斷