返回
sniffer网络分析案例及方法集

sniffer网络分析案例及方法集

ID:10027365

大小:2.14 MB

页数:20页

时间:2018-05-21

sniffer网络分析案例及方法集_第1页
sniffer网络分析案例及方法集_第2页
sniffer网络分析案例及方法集_第3页
sniffer网络分析案例及方法集_第4页
sniffer网络分析案例及方法集_第5页
资源描述:

《sniffer网络分析案例及方法集》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Sniffer网络分析案例集Sniffer网络分析案例及方法集NetworkGeneral第18页Sniffer网络分析案例集目录1.蠕虫病毒流量分析11.1.环境简介11.2.找出产生网络流量最大的主机11.3.分析这些主机的网络流量32.DOS攻击流量分析72.1.环境及现象简介72.2.找出产生网络流量最大的主机82.3.分析这台主机的网络流量103.路由环流量分析113.1.环境简介113.2.找出产生网络流量最大的主机133.3.分析这台主机的网络流量134.18第18页Sniffer网络分析案例集1.蠕虫病毒流量分析1.1.环境简介这是一个对某网络系统中广域网部分的日常流量分析,

2、我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析,分析过程及结果如下。1.2.找出产生网络流量最大的主机我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的HostTable功能,将所有计算机按照发出数据包的包数多少进行排序,结果如下图。第18页Sniffer网络分析案例集图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分

3、析。通过HostTable,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过HostTable来发现,如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。同样,我们可以发现,如下IP地址存在同样的问题:IP地址发包数量收包数量第18页Sniffer网络分析案例集22.96.76.155300021.202.96.2502433021.2

4、11.36.252221022.57.1.119189022.11.134.72147021.199.151.90129422.1.224.2021091321.204.80.421090这样的主机还有很多。1.1.分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标。第18页Sniffer网络分析案例集图8图9我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包。通过Sniffer的解码(Decode)功能,我们来了

5、解这台主机向外发出的数据包的内容,如图。第18页Sniffer网络分析案例集图10从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。通过以上的分析,我们能够非常肯定的断定,IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软

6、件自动发出的,很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP服务器,从而进行传播。第18页Sniffer网络分析案例集我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量,就能清楚的看到感染病毒的计算机的网络行为轨迹。图11第18页Sniffer网络分析案例集图12从图11和图12中我们可以清楚的看到,IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求,寻找HTTP服务器,在发现HTTP服务器并与之建立连接后,紧接着就试图利用IIS的漏洞将病毒传播到目标主机。正式由于大量感染病毒的计算机不断向网络中发送数据包,而且是小数据包,使网

7、络的效率非常低,大大影响网络的性能,并导致业务应用的无法正常运行,给用户带来很大损失。采用协议分析的方法,能非常直观且快速的发现这些计算机,帮助网络管理人员快速确定并解决问题。1.DOS攻击流量分析1.1.环境及现象简介第18页Sniffer网络分析案例集用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。