【网络安全】sniffer案例集锦

Sniffer网络分析案例及方法集NetworkGeneral目录

1. 蠕虫病毒流量分析 11.1. 环境简介 11.2. 找出产生网络流量最大的主机 11.3. 分析这些主机的网络流量 32. DOS攻击流量分析 72.1. 环境及现象简介 72.2. 找出产生网络流量最大的主机 82.3. 分析这台主机的网络流量 103. 路由环流量分析 113.1. 环境简介 113.2. 找出产生网络流量最大的主机 133.3. 分析这台主机的网络流量 134. 18

蠕虫病毒流量分析环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过HostTable，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过HostTable来发现，如排在发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。同样，我们可以发现，如下IP地址存在同样的问题：IP地址发包数量收包数量55300050243305222101918902147001294021091321090这样的主机还有很多。分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对IP地址为的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标。图8图9我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发两个数据包。通过Sniffer的解码（Decode）功能，我们来了解这台主机向外发出的数据包的内容，如图。图10从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包，SYN包是主机要发起TCP连接时发出的数据包，也就是IP地址为的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。通过以上的分析，我们能够非常肯定的断定，IP地址为的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP服务器，从而进行传播。我们在来分析一下IP地址为02的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。图11图12从图11和图12中我们可以清楚的看到，IP地址为02的主机先向网络中不断发出HTTP请求，寻找HTTP服务器，在发现HTTP服务器并与之建立连接后，紧接着就试图利用IIS的漏洞将病毒传播到目标主机。正式由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。DOS攻击流量分析环境及现象简介用户的网络是一个IDC网络环境，包括局域网和Internet接入，其中Internet接入为两条千兆以太网接入，内部局域网多是游戏网站寄放的游戏服务器主机。网络拓扑如下：该网络出现网络性能突然下降，但没有发现网络设备出现异常。找出产生网络流量最大的主机我们同样利用Sniffer的HostTable功能，将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序，结果如下图。图13我们从图13，Sniffer的hosttable中可以看到IP地址为9的主机发出了15146个数据包，远远超过其他的网络主机。图14从图14中我们可以看到，该主机发出的数据包占所有主机发出的数据包总数的79.39，网络中绝大多数的数据包竟然是这一台主机发出的，对于一个IDC来讲，这是非常异常的现象。分析这台主机的网络流量首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。图15我们通过图15可以看到，这台主机发包的目标主机只有一个，就是IP地址为00的主机。同过Sniffer的Decode功能，我们分析该主机发出的数据包内容。图16从Decode内容看，我们发现IP地址为9的主机向IP地址为00的主机发出的都是DNS数据包，但是是不完整的数据包，同时其发包的时间间隔极短，每秒钟发包数量在100,000个数据包以上，这是种典型的网络攻击行为，初步判断为黑客首先攻击寄存在IDC的网络主机，在取得其控制权后利用这台主机向目标主机发起拒绝服务（DOS）攻击，由于该主机性能很高，同时IDC的网络性能很高，造成这种攻击的危害性极大。路由环流量分析环境简介这是一个实际发生的网络利用率异常导致网络大量丢包的案例，用户的网络丢包现象很严重，给用户造成了很大的困扰。网络环境用户的网络是一个省级网络环境，包括局域网和广域网，并同全国的广域网络相连。网络拓扑如下：图网络异常现象该网络丢包现象严重，如果通过省局域网向地市网络或全国网络发包，每发出10个PING包将只能收到7个REPLY包，这样，基于网络的应用受到很大的影响。找出产生网络流量最大的主机我们同样利用Sniffer的HostTable功能，将该网络所有计算机产生的网络流量按照发出数据包的包数多少进行排序，结果如下图。图17从图17中我们看到，IP地址为5的主机发出数据包最多，远远超过了其他主机，相应产生的流量也最大。分析这台主机的网络流量首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。图18通过Sniffer的Matrix，我们发现IP地址为5的主机发出的数据包很分散，我们调查了一下，发现IP地址为5的主机为该网络的网络管理系统主机，而它发包的对象是该网络中地市级路由器的IP地址，也就是说网络的网管主机向地市路由器发出大量的网络包，导致网络流量异常并导致网络大量丢包，使网络处于不稳定状态。在发现这个问题后，我们将该网管主机的网络连接解除，发现网络马上恢复到了正常状态，不在有丢包现象发生，看起来这个网络的问题完全是由这台网管主机引起的一样，但这种现象非常难以理解，为什么网管主机会造成网络问题呢。我们利用Sniffer的Decode功能将捕获到的网络流量解码，来分析网管主机发出的数据包的内容，看看到底它发出了什么样的数据包。图19我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMPEcho数据包，也就是Ping包，我们对其向46发送的ICMPEcho包进行分析，发现了奇怪的现象。我们对我们捕获的由5向46发送的ICMPEcho包其中相邻的数据包进行解码分析，图19为其发出的第739个数据包，图20为其发出的第740个数据包，我们发现这两个包的IPIdentification是一样的，都是15633，每个IP包都会有一个特定的Identification来标志其唯一性，这说明我们捕获到的这两个数据包其实是同一个IP包。图20而捕获到的这个数据包的Timetolive也就是TTL值一个为251，另一个为250，TTL为IP包的生存时间，每经过一个路由处理，TTL值就会被减一，直至到0后被路由器丢掉。我们看到其他的数据包也是同样的情况，这个IPID为15663的数据包不断在网络中出现，直到TTL值减到0，这种现象清楚的表明，网络里存在着路由环，发向46的数据包是在路由器间不断的互相传递，最终被丢掉，这种现象也可以成为路由乒乓现象，出现路由环后，一个数据包将重复在网络中传送，而且瞬时流量会异常的大，造成网络异常，这正和该网络的网络异常现象相吻合。为什么会出现路由环呢，我们对其网络进行了详细的了解，发现其在路由器中设置了大量的静态路由，其路由设置如图21所示。图21从图21中我们可以看出，如果二级网路由器同地市网络路由器之间的DDN网络连接一旦中断，二级网路由器中所设的指向地市网络路由器的静态路由就会由于端口状态问题而无