[計算機軟件及應用]11高級網絡管理-Sniffer Pro工具.ppt

2020 2 15 企業(yè)網絡安全和管理 EnterpriseNetworkSecurityandManagement 使用SnifferPro軟件 回顧集線器和交換機的原理網絡嗅探工具的原理Sniffer工具的介紹和安裝使用Sniffer分析ftp telnet等網絡流量使用Sniffer防御蠕蟲病毒的案例分析交換環(huán)境下Sniffer的實現(xiàn) 集線器工作原理 當集線器收到一個以太網幀時 會把它轉發(fā)到除接收端口之外的所有其他端口 交換機的工作原理 根據mac地址表 在源 目的主機之間一對一的進行數(shù)據轉發(fā) 集線器和交換機的工作原理 網絡嗅探工具的原理 當采用共享HUB 用戶發(fā)送一個報文時 這些報文就會發(fā)送到LAN上所有可用的機器 在一般情況下 網絡上所有的機器都可以 聽 到通過的流量 但對不屬于自己的報文則不予響應 如果局域網中某臺機器的網絡接口處于混雜模式 即網卡可以接收其收到的所有數(shù)據包 那么它就可以捕獲網絡上所有的報文和幀 如果一臺機器被配置成這樣的方式 它 包括其軟件 就是一個嗅探器 Sniffer工具的介紹和安裝 Sniffer嗅探器是一種常用的收集有用數(shù)據方法 這些數(shù)據可以是用戶的帳號和密碼 可以是一些商用機密數(shù)據等等 Sniffer可以作為能夠捕獲網絡報文的設備 ISS為Sniffer這樣定義 Sniffer是利用計算機的網絡接口截獲目的地為其他計算機的數(shù)據報文的一種工具 Sniffer的兩個類別 交換環(huán)境下的Sniffer交換環(huán)境下的Sniffer往往是通過對交換機進行ARP欺騙 變成一個中間人進行截獲數(shù)據 共享環(huán)境下的Sniffer共享環(huán)境下的Sniffer僅僅只需要把本機的網卡設置為混雜模式就可以監(jiān)聽網絡上所有的數(shù)據報 而不需要進行任何欺騙行為 SnifferPro介紹 NAI公司出品的Sniffer 作為NAI公司的主打產品 價格也是不菲的 SnifferPro是一系列網絡故障和性能管理解決方案 網絡專業(yè)人士可以使用它對多拓樸結構和多協(xié)議網絡進行維護 故障解決 優(yōu)化調整和擴展 SnifferPro軟件可以在桌面機 便攜式計算機或者筆記本等硬件平臺上運行 SnifferPro的安裝 SnifferPro的面板介紹 1 Dashboard 儀表板 點擊 點擊按鈕 出現(xiàn)三個表 表顯示的是網絡的使用率 Utilization 表顯示的是網絡的每秒鐘通過的包 Packets 表顯示的是網絡的每秒錯誤率 Errors 通過這三個表可以直觀的觀察到網絡的使用情況 紅色部分顯示的是根據網絡要求設置的上限 Dashboard 儀表板 續(xù) 點擊上圖 按鈕則出現(xiàn)下圖 更為詳細的網絡相關數(shù)據的曲線圖 2 Hosttable 主機列表 點擊 顯示所有在線的本網主機地址及連到外網的外網服務器地址 3 Detail 協(xié)議列表 點擊 顯示的是整個網絡中的協(xié)議分布情況 可清楚地看出哪臺機器運行了那些協(xié)議 4 Bar 流量列表 點擊 圖中顯示的是整個網絡中的機器所用帶寬前10名的情況 顯示方式是柱狀圖 5 Pie 流量列表 點擊 圖中顯示的是整個網絡中的機器所用帶寬前10名的情況 顯示方式是餅狀圖 6 Matrix 矩陣 點擊 點擊箭頭所指的圖標 出現(xiàn)全網的連接示意圖 圖中綠線表示正在發(fā)生的網絡連接 藍線表示過去發(fā)生的連接 將鼠標放到線上可以看出連接情況 鼠標右鍵在彈出的菜單中可選擇放大 zoom 此圖 7 Alarm 警報 顯示警報信息 點擊 8 PacketGenerator 數(shù)據包發(fā)生器 使用數(shù)據包發(fā)生器 可以自己定義數(shù)據包進行發(fā)送 點擊 使用Snifferpro分析網絡流量 抓取單臺主機的所有流量抓取telnet流量抓取ftp流量 1 抓取單臺主機的所有流量 本例要抓192 168 113 208這臺機器的所有數(shù)據包 如圖中 選擇這臺機器 點擊 所指圖標 抓取單臺主機的所有流量 續(xù) 等到圖中箭頭所指的望遠鏡圖標變紅時 表示已捕捉到數(shù)據 點擊該圖標 抓取單臺主機的所有流量 續(xù) 選擇箭頭所指的Decode選項即可看到捕捉到的所有包 2 抓取telnet的流量 抓取telnet的流量續(xù) 顯示密碼 3 抓取ftp的流量 使用Sniffer防御蠕蟲病毒的案例分析 環(huán)境簡介這是一個對某網絡系統(tǒng)中廣域網部分的日常流量分析 我們在其廣域網鏈路上采用Sniffer進行流量捕獲 并把產生流量最多的協(xié)議HTTP協(xié)議的網絡流量過濾出來加以分析 分析過程及結果如下 1 找出產生網絡流量最大的主機 我們分析的第一步 找出產生網絡流量最大的主機 產生網絡流量越大 對網絡造成的影響越重 我們一般進行流量分析時 首先關注的是產生網絡流量最大的那些計算機 我們利用Sniffer的HostTable功能 將所有計算機按照發(fā)出數(shù)據包的包數(shù)多少進行排序 結果如下圖 通過HostTable 我們可以分析每臺計算機的流量情況 有些異常的網絡流量我們可以直接通過HostTable來發(fā)現(xiàn) 如排在發(fā)包數(shù)量前列的IP地址為22 163 0 9的主機 其從網絡收到的數(shù)據包數(shù)是0 但其向網絡發(fā)出的數(shù)據包是445個 這對HTTP協(xié)議來說顯然是不正常的 HTTP協(xié)議是基于TCP的協(xié)議 是有連接的 不可能是光發(fā)不收的 一般來說光發(fā)包不收包是種類似于廣播的應用 UDP這種非連接的協(xié)議有可能 同樣 我們可以發(fā)現(xiàn) 如下IP地址存在同樣的問題 下面是我們對部分主機的流量分析 首先我們對IP地址為22 163 0 9的主機產生的網絡流量進行過濾 然后查看其網絡流量的流向 下面是用Sniffer的Matrix看到的其發(fā)包目標 我們可以看到 其發(fā)包的目標地址非常多 非常分散 且對每個目標地址只發(fā)兩個數(shù)據包 通過Sniffer的解碼 Decode 功能 我們來了解這臺主機向外發(fā)出的數(shù)據包的內容 如圖 從Sniffer的解碼中我們可以看出 該主機發(fā)出的所有的數(shù)據包都是HTTP的SYN包 SYN包是主機要發(fā)起TCP連接時發(fā)出的數(shù)據包 也就是IP地址為22 163 0 9的主機試圖同網絡中非常多的主機建立HTTP連接 但沒有得到任何回應 這些目標主機IP地址非常廣泛 可以認為是隨機產生的 且根本不是HTTP服務器 而且發(fā)出這些包的時間間隔非常短 為毫秒級 應該不是人為發(fā)出的 通過以上的分析 我們能夠非?？隙ǖ臄喽?IP地址為22 163 0 9的主機產生的網絡流量肯定是異常網絡流量 該主機發(fā)出的網絡流量是某種軟件自動發(fā)出的 很可能是感染了某種采用HTTP協(xié)議傳播的病毒 不斷在網絡中尋找HTTP服務器 從而進行傳播 我們在來分析一下IP地址為22 1 224 202的主機產生的網絡流量 就能清楚的看到感染病毒的計算機的網絡行為軌跡 從圖中我們可以清楚的看到 IP地址22 1 224 202的主機先向網絡中不斷發(fā)出HTTP請求 尋找HTTP服務器 在發(fā)現(xiàn)HTTP服務器并與之建立連接后 緊接著就試圖利用IIS的漏洞將病毒傳播到目標主機 正是由于大量感染病毒的計算機不斷