活用sniffer软件 体验做网管的快感.docx
- 文档编号:10220906
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:53
- 大小:801.62KB
活用sniffer软件 体验做网管的快感.docx
《活用sniffer软件 体验做网管的快感.docx》由会员分享,可在线阅读,更多相关《活用sniffer软件 体验做网管的快感.docx(53页珍藏版)》请在冰豆网上搜索。
活用sniffer软件体验做网管的快感
活用sniffer软件体验做网管的快感
sniffer软件博大精,我之所窥也不过沧海一粟。
因此这个教程仅仅是一个针对初学者的教程,但如果没有一定的网络基础,恐怕仍然会让你感到吃力。
有兴趣的朋友就跟我一起来玩~
现在很多时候我们都需要在交换环境下进行sniffer监控,因此这里就先从定义镜像端口做起。
为什么要先定义镜像端口才能sniffer?
这和交换机工作的原理有关。
交换机的工作原理与HUB有很大的不同,HUB组建的网络数据交换都是通过广播方式进行的,而交换机组建的网络是根据交换机内部的CAM表(暂且理解为MAC地址表)进行转发的。
也就是说前者可直接sniffer而后者不能直接sniffer。
这时就要用到端口镜像,端口镜像的定义就是:
“把被镜像端口的进出数据报文完全拷贝一份到镜像端口,方便我们进行流量观测或者故障定位”。
还是来做一个实验吧,这样理解起来快一些
假设某公司申请了一根10M的电信宽带,突然某一天下午,网速奇慢无比。
公司里的员工怨声不断,强烈要求网络恢复通畅,这时作为网络管理者的你,需要马上找出原因:
不同的设备做端口镜像的方法不同,CISCO的玩意儿虽好但对大部份网络爱好者来说太专业,做教程不一定合适。
因此这里我选一款D-LINK的DES-3226S二层交换机为例,以WEB界面说明如何进行镜像端口的配置(MirroringConfigurations)。
如图:
进入DES-3226S二层可网管交换机
选择logintomakeasetup,登陆后进入交换机主配置菜单并显示基本信息:
选择下面的Advancedsetup------MirroringConfigurations(镜像配置)
mirrorStatus选项Enabled,然后将Port1设置为镜像端口,其余端口监听模式点选为Both(即发送与接收的数据都同时监控),这样交换机就把2号端口至24号端口的数据随时随地都COPY了一份给Port1,然后我们在Port1上进行监听,Sniffer也就有了用武之地。
将网管电脑插入Port1(镜像端口),开启Sniffer软件,怎么样?
界面够酷吧?
左、右两幅地图很直观的显示了整个LAN内的数据流向。
不管是右边的“传输地图”还是左边的“主机列表”它们现在都是根据学习到的MAC地址进行流量标识的。
通过左边的“主机列表饼图”,你可以很清楚的看到00-50-18-21-A5-F4和00-E0-4C-DD-2E-2E这两台主机的数据流量目前为止最多。
请出“局域网MAC地址扫描器”(也可以简单的ARP-A或者利用下面讲的IP选项),进行LAN内的MAC地址扫描,进一步知道了00-E0-4C-DD-2E-2E属于192.168.123.117。
而00-50-18-21-A5-F4这个地址属于192.168.123.254(这个地址为网关出口)。
这样我们就可以知道是谁人把网速拖慢了!
仅仅是知道是谁拖慢了网速还不够,我们还要进一步知道此人到底是怎么把网速拖慢了的。
还是在“传输地图”里,看到下面MAC/IP/IPX三个选项了么?
现在点IP选项,看出现了什么?
不再是基于MAC地址的地图了,已经切换成IP地址的传输地图了。
其中最粗的那根线:
192.168.123.117=========221.10.135.114说明了这家伙一直在和外网的一台主机交换数据,很明显他是在下载文件。
再用“主机列表”中IP选项以饼图查看:
发现192.168.123.117与221.10.135.114的通信流量竟然高达整个网络流量的89.58%(44.20+45.38)!
现在故障原因已经很明了,我们只需要对192.168.123.117这台主机进行处理就可以恢复网络的通畅。
但在这之前,我们可以先利用sniffer监控一下整个网络中都在传些什么内容!
点击上面的菜单中:
捕获---定义过滤器----选择“地址”子菜单;地址类型(协议):
IP;在下面的“位置1”和“位置2”中分别填入“任意的”、“任意的”,意思是对整个LAN内的主机进行监控,当然你也可以仅仅监控两个地址的通信,比如前面所发现的192.168.123.117和221.10.135.114这两台主机,要注意双向通信或者单向通信的选择(键头符号)。
还可以在“高级”里选择具体对哪些IP协议进行监控,如果你对TCP/IP协议熟悉,利用这个功能可以快速得到自己想要的数据。
譬如我们抓到了192.168.123.139访问外网主机211.91.135.26在80端口的一些数据包,说明这台主机正在流浏网页。
甚至可以进一步看对方在浏览远程主机上哪个目录下面的网页,看到那个rm文件的地址了么?
这说明他目前正在线收看一部电影或者一首歌曲(根据前面music目录来推断)。
Sniffer的功能还远不止这些,不过今天就到止为止吧,end.
拒绝网络黑客如何防御Sniffer攻击
1、怎样发现 Sniffer
Sniffer最大的危险性就是它很难被发现,在单机情况下发现一个Sniffer还是比较容易的,可以通过查看计算机上当前正在运行的所有程序来实现,当然这不一定可靠。
在UNIX系统下可以使用下面的命令:
ps-aux。
这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。
在Windoos系统下,可以按下Ctrl+Alt+Del键,查看任务列表。
不过,编程技巧高的Sniffer即使正在运行,也不会出现在这里。
另一个方法就是在系统中搜索,查找可怀疑的文件。
但人侵者用的可能是他们自己写的程序,所以这给发现Sniffer造成相当大的困难。
还有许多工具能用来查看你的系统会不会处于混杂模式,从而发现是否有一个Sniffer正在运行。
但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的,因为Sniffer是一种被动攻击软件,它并不对任何主机发出数据包,而只是静静地运行着,等待着要捕获的数据包经过。
2、抵御 Sniffer
虽然发现一个Sniffer是非常困难的,但是我们仍然有办法抵御Sniffer的嗅探攻击。
既然Sniffer要捕获我们的机密信息,那我们干脆就让它捕获,但事先要对这些信息进行加密,黑客即使捕捉到了我们的机密信息,也无法解密,这样,Sniffer就失去了作用。
黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包,因为这些协议以明文在网上传输,我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。
SSH又叫Secure Shell,它是一个在应用程序中提供安全通信的协议,建立在客户/服务器模型上。
SSH服务器分配的端口是22,连接是通过使用一种来自RSA的算法建立的。
在授权完成后,接下来的通信数据用IDEA技术来加密。
这种加密方法通常是比较强的,适合于任何非秘密和非经典的通信。
SSH后来发展成为F-SSH,提供了高层次的、军方级别的对通信过程的加密。
它为通过TCP/IP的网络通信提供了通用的最强的加密。
如果某个站点使用F—SSH,用户名和口令就不再重要了。
目前,还没有人突破过这种加密方法。
即使是Sniffer,收集到的信息将不再有价值。
有兴趣的读者可以参看与SSH相关的书籍。
另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。
因为Sniffer只对以太网、令牌环网等网络起作用,所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。
还有一个原则用于防止Snther的被动攻击 一个网络段必须有足够的理由才能信任另一网络段。
网络段应该从考虑具体的数据之间的信任关系上来设计,而不是从硬件需要上设计。
一个网络段仅由能互相信任的计算机组成。
通常它们在同一个房间里,或在同一个办公室里,应该固定在建筑的某一部分。
注意每台机器是通过硬连接线接到集线器(Hub)的,集线器再接到交换机上。
由于网络分段了,数据包只能在这个网段上被捕获,其余的网段将不可能被监听。
所有的问题都归结到信任上面。
计算机为了和其他计算机进行通信,它就必须信任那台计算机。
系统管理员的工作就是决定一个方法,使得计算机之间的信任关系很小。
这样,就建立了一种框架,告诉你什么时候放置了一个Sniffer,它放在哪里,是谁放的等等。
如果局域网要和Internet相连,仅仅使用防火墙是不够的。
人侵者已经能从一个防火墙后面扫描,并探测正在运行的服务。
应该关心的是一旦人侵者进人系统,他能得到些什么。
你必须考虑一条这样的路径,即信任关系有多长。
举个例子,假设你的Web服务器对计算机A是信任的,那么有多少计算机是A信任的呢?
又有多少计算机是受这些计算机信任的呢?
一句话,就是确定最小信任关系的那台计算机。
在信任关系中,这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。
你的任务就是保证一旦出现Sniffer,它只对最小范围有效。
Sniffr往往是在攻击者侵人系统后使用的,用来收集有用的信息。
因此,防止系统被突破很关键。
系统安全管理员要定期的对所管理的网络进行安全测试,防止安全隐患。
同时要控制拥有相当权限的用户的数量,因为许多攻击往往来自网络内部。
3、防止 Sniffer的工具 Antisnff
Antisniff是由著名黑客组织(现在是安全公司了)L0pht开发的工具,用于检测本地网络是否有机器处于混杂模式(即监听模式)。
一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。
对于网络管理员来说,了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。
Antisniff 1.X版运行在以太网的WindOWS NT系统中,并提供了简单易用的用户图形界面。
该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。
这些测试方法与其操作系统本身无关。
Antisniff运行在本地以太网的一个网段上。
如果在非交换式的C类网络中运行,Antisniff能监听整个网络;如果网络交换机按照工作组来隔离,则每个工作组中都需要运行一个Antisniff。
原因是某些特殊的测试使用了无效的以太网地址,另外某些测试需要进行混杂模式下的统计(如响应时间、包丢失率等)。
Antisniff的用法非常简便,在工具的图形界面中选择需要进行检查的机器,并且指定检查频率。
对于除网络响应时间检查外的测试,每一台机器会返回一个确定的正值或负值。
返回的正值表示该机器正处于混杂模式,这就有可能已经被安装了Sniffer。
对于网络响应时间测试的返回值,建议根据第一次返回的数值计算标准值,然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。
一旦这些机器退出混杂模式返回到正常操作模式下,Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值(正值)。
应该周期性地运行Antisniff,具体周期值根据不同的站点、不同的网络负荷、测试的机器数量和网站策略等而有所不同。
Sniffer在网吧网络维护中的综合应用
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。
SnifferPro4.6可以运行在各种Windows平台上,只要安装在网络中的任何一台机器上,都可以监控到整个网络。
以下以Sniffer4.70汉化版本为例,介绍一下Snffer在网吧网络维护中的具体应用。
一、Sniffer软件的安装
在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。
运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。
二、Sniffer软件的使用
打开Sniffer软件后,会出现主界面,显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。
由于使用的是汉化版软件,因此部分词语汉化不是太准确。
1、获取网络中的机器列表
Sniffer软件运行后,首先要搜索网络中的机器。
在“工具”菜单中找到“地址簿”选项并运行,在“地址簿”中的左侧工具菜单中,可以找到一个“放大镜”的图标,这是“自动搜索”的按钮。
运行“自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。
搜索完成后,会出现一个如图1的机器列表。
2、保存机器列表
Sniffer搜索网络中所有的机器列表后,可以在“数据库”菜单中选择“保存地址簿”选项,将当前的机器列表保存,以备日后使用。
由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息,如果网络中的客户机更换了网卡,则必须重新搜索机器列表并重新保存地址簿。
如果网络中没有新机器增加,就无需更新此地址簿。
三、Sniffer菜单及功能简介
Sniffer进入时,需要设置当前机器的网卡信息。
进入Sniffer软件后,会出现如图2的界面,可以看到Sniffer软件的中文菜单,下面是一些常用的工具按钮。
在日常的网络维护中,使用这些工具按钮就可以解决问题了。
1、主机列表按钮:
保存机器列表后,点击此钮,Sniffer会显示网络中所有机器的信息,其中,Hw地址一栏是网络中的客户机信息。
网络中的客户机一般都有惟一的名字,因此在Hw地址栏中,可以看到客户机的名字。
对于安装Sniffer的机器,在Hw地址栏中用“本地”来标识;对于网络中的交换机、路由器等网络设备,Sniffer只能显示这些网络设备的MAC地址。
入埠数据包和出埠数据包,指的是该客户机发送和接收的数据包数量,后面还有客户机发送和接收的字节大小。
可以据此查看网络中的数据流量大小。
2、矩阵按钮:
矩阵功能通过圆形图例说明客户机的数据走向,可以看出与客户机有数据交换的机器。
使用此功能时,先选择客户机,然后点击此钮就可以了。
3、请求响应时间按钮:
请求响应时间功能,可以查看客户机访问网站的详细情况。
当客户机访问某站点时,可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。
4、警报日志按钮:
当Sniffer监控到网络的不正常情况时,会自动记录到警报日志中。
所以打开Sniffer软件后,首先要查看一下警报日志,看网络运行是否正常。
四、Sniffer在网络维护中的应用——解决网络传输质量问题
Sniffer在网吧网络中的应用,主要是利用其流量分析和查看功能,解决网吧中出现的网络传输质量问题。
1、广播风暴:
广播风暴是网吧网络最常见的一个网络故障。
网络广播风暴的产生,一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。
可以使用Sniffer中的主机列表功能,查看网络中哪些机器的流量最大,合矩阵就可以看出哪台机器数据流量异常。
从而,可以在最短的时间内,判断网络的具体故障点。
2、网络攻击:
随着网络的不断发展,黑客技术吸引了不少网络爱好者。
于是,一些初级黑客们,开始拿网吧来做实验,DDoS攻击成为一些黑客炫耀自己技术的一种手段,由于网吧本身的数据流量比较大,加上外部DDoS攻击,网吧的网络可能会出现短时间的中断现象。
对于类似的攻击,使用Sniffer软件,可以有效判断网络是受广播风暴影响,还是来自外部的攻击。
3、检测网络硬件故障:
在网络中工作的硬件设备,只要有所损坏,数据流量就会异常,使用Sniffer可以轻松判断出物理损坏的网络硬件设备。
用Sniffer进行蠕虫病毒流量分析
1.环境简介
这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析,分析过程及结果如下。
2.找出产生网络流量最大的主机
我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。
我们利用Sniffer的HostTable功能,将所有计算机按照发出数据包的包数多少进行排序,结果如下图。
从上图中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。
通过HostTable,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过HostTable来发现,如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。
同样,我们可以发现,如下IP地址存在同样的问题:
IP地址
发包数量
收包数量
22.96.76.155
300
0
21.202.96.250
243
30
21.211.36.252
221
0
22.57.1.119
189
0
22.11.134.72
147
0
21.199.151.90
129
4
22.1.224.202
109
13
21.204.80.42
109
0
这样的主机还有很多。
分析这些主机的网络流量
下面是我们对部分主机的流量分析。
首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标。
我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包。
通过Sniffer的解码(Decode)功能,我们来了解这台主机向外发出的数据包的内容,如图。
从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。
通过以上的分析,我们能够非常肯定的断定,IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。
该主机发出的网络流量是某种软件自动发出的,很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP服务器,从而进行传播。
我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量,就能清楚的看到感染病毒的计算机的网络行为轨迹。
从上面两张图中我们可以清楚的看到,IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求,寻找HTTP服务器,在发现HTTP服务器并与之建立连接后,紧接着就试图利用IIS的漏洞将病毒传播到目标主机。
正式由于大量感染病毒的计算机不断向网络中发送数据包,而且是小数据包,使网络的效率非常低,大大影响网络的性能,并导致业务应用的无法正常运行,给用户带来很大损失。
采用协议分析的方法,能非常直观且快速的发现这些计算机,帮助网络管理人员快速确定并解决问题。
利用Sniffer进行DOS攻击流量分析
1. 环境及现象简介
用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。
网络拓扑如下:
该网络出现网络性能突然下降,但没有发现网络设备出现异常。
2. 找出产生网络流量最大的主机
我们同样利用Sniffer的HostTable功能,将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序,结果如下图。
我们从上图,Sniffer的hosttable中可以看到IP地址为210.51.8.89的主机发出了15146个数据包,远远超过其他的网络主机。
从上图中我们可以看到,该主机发出的数据包占所有主机发出的数据包总数的79.39,网络中绝大多数的数据包竟然是这一台主机发出的,对于一个IDC来讲,这是非常异常的现象。
3. 分析这台主机的网络流量
首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。
我们通过上图可以看到,这台主机发包的目标主机只有一个,就是IP地址为209.198.152.200的主机。
同过Sniffer的Decode功能,我们分析该主机发出的数据包内容。
从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包,但是是不完整的数据包,同时其发包的时间间隔极短,每秒钟发包数量在100,000个数据包以上,这是种典型的网络攻击行为,初步判断为黑客首先攻击寄存在IDC的网络主机,在取得其控制权后利用这台主机向目标主机发起拒绝服务(DOS)攻击,由于该主机性能很高,同时IDC的网络性能很高,造成这种攻击的危害性极大。
交换环境下的Sniffer
通常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAISniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。
但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。
ARP协议是将IP解析为MAC地址的协议,局域网中的通信都是基于MAC的。
例如下面这样的情况:
在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网的,假定攻击者的系统为192.168.0.24,他希望听到192.168.0.29的通信,那么我们就可以利用ARP欺骗实现。
1、首先告诉192.168.0.29,网关192.168.0.1的MAC地址是192.168.0.24
2、告诉192.168.0.1,192.168.0.29的MAC地址是192.168.0.24。
这样192.168.0.29和192.168.0.1之间的数据包,就会发给192.168.0.24,也就是攻击者的机器,这样就可以听到会话了。
但是这么做的有一个问题,192.168.0.29发现自己不能上网了,因为原来发给192.168
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 活用sniffer软件 体验做网管的快感 活用 sniffer 软件 体验 网管 快感