[计算机软件及应用]11高级网络管理-Sniffer Pro工具.ppt

2020 2 15 企业网络安全和管理 EnterpriseNetworkSecurityandManagement 使用SnifferPro软件 回顾集线器和交换机的原理网络嗅探工具的原理Sniffer工具的介绍和安装使用Sniffer分析ftp telnet等网络流量使用Sniffer防御蠕虫病毒的案例分析交换环境下Sniffer的实现 集线器工作原理 当集线器收到一个以太网帧时 会把它转发到除接收端口之外的所有其他端口 交换机的工作原理 根据mac地址表 在源 目的主机之间一对一的进行数据转发 集线器和交换机的工作原理 网络嗅探工具的原理 当采用共享HUB 用户发送一个报文时 这些报文就会发送到LAN上所有可用的机器 在一般情况下 网络上所有的机器都可以 听 到通过的流量 但对不属于自己的报文则不予响应 如果局域网中某台机器的网络接口处于混杂模式 即网卡可以接收其收到的所有数据包 那么它就可以捕获网络上所有的报文和帧 如果一台机器被配置成这样的方式 它 包括其软件 就是一个嗅探器 Sniffer工具的介绍和安装 Sniffer嗅探器是一种常用的收集有用数据方法 这些数据可以是用户的帐号和密码 可以是一些商用机密数据等等 Sniffer可以作为能够捕获网络报文的设备 ISS为Sniffer这样定义 Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具 Sniffer的两个类别 交换环境下的Sniffer交换环境下的Sniffer往往是通过对交换机进行ARP欺骗 变成一个中间人进行截获数据 共享环境下的Sniffer共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报 而不需要进行任何欺骗行为 SnifferPro介绍 NAI公司出品的Sniffer 作为NAI公司的主打产品 价格也是不菲的 SnifferPro是一系列网络故障和性能管理解决方案 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护 故障解决 优化调整和扩展 SnifferPro软件可以在桌面机 便携式计算机或者笔记本等硬件平台上运行 SnifferPro的安装 SnifferPro的面板介绍 1 Dashboard 仪表板 点击 点击按钮 出现三个表 表显示的是网络的使用率 Utilization 表显示的是网络的每秒钟通过的包 Packets 表显示的是网络的每秒错误率 Errors 通过这三个表可以直观的观察到网络的使用情况 红色部分显示的是根据网络要求设置的上限 Dashboard 仪表板 续 点击上图 按钮则出现下图 更为详细的网络相关数据的曲线图 2 Hosttable 主机列表 点击 显示所有在线的本网主机地址及连到外网的外网服务器地址 3 Detail 协议列表 点击 显示的是整个网络中的协议分布情况 可清楚地看出哪台机器运行了那些协议 4 Bar 流量列表 点击 图中显示的是整个网络中的机器所用带宽前10名的情况 显示方式是柱状图 5 Pie 流量列表 点击 图中显示的是整个网络中的机器所用带宽前10名的情况 显示方式是饼状图 6 Matrix 矩阵 点击 点击箭头所指的图标 出现全网的连接示意图 图中绿线表示正在发生的网络连接 蓝线表示过去发生的连接 将鼠标放到线上可以看出连接情况 鼠标右键在弹出的菜单中可选择放大 zoom 此图 7 Alarm 警报 显示警报信息 点击 8 PacketGenerator 数据包发生器 使用数据包发生器 可以自己定义数据包进行发送 点击 使用Snifferpro分析网络流量 抓取单台主机的所有流量抓取telnet流量抓取ftp流量 1 抓取单台主机的所有流量 本例要抓192 168 113 208这台机器的所有数据包 如图中 选择这台机器 点击 所指图标 抓取单台主机的所有流量 续 等到图中箭头所指的望远镜图标变红时 表示已捕捉到数据 点击该图标 抓取单台主机的所有流量 续 选择箭头所指的Decode选项即可看到捕捉到的所有包 2 抓取telnet的流量 抓取telnet的流量续 显示密码 3 抓取ftp的流量 使用Sniffer防御蠕虫病毒的案例分析 环境简介这是一个对某网络系统中广域网部分的日常流量分析 我们在其广域网链路上采用Sniffer进行流量捕获 并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析 分析过程及结果如下 1 找出产生网络流量最大的主机 我们分析的第一步 找出产生网络流量最大的主机 产生网络流量越大 对网络造成的影响越重 我们一般进行流量分析时 首先关注的是产生网络流量最大的那些计算机 我们利用Sniffer的HostTable功能 将所有计算机按照发出数据包的包数多少进行排序 结果如下图 通过HostTable 我们可以分析每台计算机的流量情况 有些异常的网络流量我们可以直接通过HostTable来发现 如排在发包数量前列的IP地址为22 163 0 9的主机 其从网络收到的数据包数是0 但其向网络发出的数据包是445个 这对HTTP协议来说显然是不正常的 HTTP协议是基于TCP的协议 是有连接的 不可能是光发不收的 一般来说光发包不收包是种类似于广播的应用 UDP这种非连接的协议有可能 同样 我们可以发现 如下IP地址存在同样的问题 下面是我们对部分主机的流量分析 首先我们对IP地址为22 163 0 9的主机产生的网络流量进行过滤 然后查看其网络流量的流向 下面是用Sniffer的Matrix看到的其发包目标 我们可以看到 其发包的目标地址非常多 非常分散 且对每个目标地址只发两个数据包 通过Sniffer的解码 Decode 功能 我们来了解这台主机向外发出的数据包的内容 如图 从Sniffer的解码中我们可以看出 该主机发出的所有的数据包都是HTTP的SYN包 SYN包是主机要发起TCP连接时发出的数据包 也就是IP地址为22 163 0 9的主机试图同网络中非常多的主机建立HTTP连接 但没有得到任何回应 这些目标主机IP地址非常广泛 可以认为是随机产生的 且根本不是HTTP服务器 而且发出这些包的时间间隔非常短 为毫秒级 应该不是人为发出的 通过以上的分析 我们能够非常肯定的断定 IP地址为22 163 0 9的主机产生的网络流量肯定是异常网络流量 该主机发出的网络流量是某种软件自动发出的 很可能是感染了某种采用HTTP协议传播的病毒 不断在网络中寻找HTTP服务器 从而进行传播 我们在来分析一下IP地址为22 1 224 202的主机产生的网络流量 就能清楚的看到感染病毒的计算机的网络行为轨迹 从图中我们可以清楚的看到 IP地址22 1 224 202的主机先向网络中不断发出HTTP请求 寻找HTTP服务器 在发现HTTP服务器并与之建立连接后 紧接着就试图利用IIS的漏洞将病毒传播到目标主机 正是由于大量感染病毒的计算机不断