高级网络管理-Sniffer_Pro.pptVIP

Sniffer Pro 介绍 NAI 公司出品的Sniffer, 作为NAI公司的主打产品, 价格也是不菲的. Sniffer Pro是一系列网络故障和性能管理解决方案, 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护、故障解决、优化调整和扩展. Sniffer Pro 软件可以在桌面机、便携式计算机或者笔记本等硬件平台上运行 使用Sniffer pro分析网络流量 抓取单台主机的所有流量 抓取telnet流量 抓取ftp流量 1.抓取单台主机的所有流量 抓取单台主机的所有流量(续) 等到图中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标 抓取单台主机的所有流量(续) 2.抓取telnet的流量 抓取telnet的流量续(显示密码) 3.抓取ftp的流量 使用Sniffer防御蠕虫病毒的案例分析 环境简介 这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上 采用 Sniffer 进行流量捕获，并把产生流量最多的协议 HTTP 协议的网络流量过滤 出来加以分析，分析过程及结果如下 1.找出产生网络流量最大的主机 我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网 络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的 那些计算机。 我们利用 Sniffer 的 Host Table 功能，将所有计算机按照发出数据包的包数多 少进行排序，结果如下图。 通过 Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们 可以直接通过 Host Table 来发现，如排在发包数量前列的 IP 地址为 的 主机，其从网络收到的数据包数是 0，但其向网络发出的数据包是 445 个，这对 HTTP 协议来说显然是不正常的，HTTP 协议是基于 TCP 的协议，是有连接的， 不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP 这种 非连接的协议有可能。 下面是我们对部分主机的流量分析。首先我们对 IP 地址为 的主机 产生的网络流量进行过滤，然后查看 其网络流量的流向，下面是用 Sniffer 的 Matrix 看到的其发包目标。 我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发 两个数据包。 通过 Sniffer 的解码（Decode）功能，我们来了解这台主机向外发出的数据包 的内容，如图。 从 Sniffer 的解码中我们可以看出，该主机发出的所有的数据包都是 HTTP 的SYN 包，SYN 包是主机要发起 TCP 连接时发出的数据包，也就是 IP 地址为 的主机试图同网络中非常多的主机建立 HTTP 连接，但没有得到任何 回应，这些目标主机 IP 地址非常广泛（可以认为是随机产生的），且根本不是 HTTP 服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出 的。 通过以上的分析，我们能够非常肯定的断定，IP 地址为 的主机产 生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出 的，很可能是感染了某种采用 HTTP 协议传播的病毒，不断在网络中寻找 HTTP 服务器，从而进行传播。 我们在来分析一下 IP 地址为 02 的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。 从图 中我们可以清楚的看到，IP 地址02 的主机先向 网络中不断发出 HTTP 请求，寻找 HTTP 服务器，在发现 HTTP 服务器并与之建 立连接后，紧接着就试图利用 IIS 的漏洞将病毒传播到目标主机。 正是由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包， 使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给 用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机， 帮助网络管理人员快速确定并解决问题。 交换环境下的Sniffer实现 使用地址欺骗工具 利用交换机的端口监控功能 课堂提问时间 选择箭头所指的Decode选项即可看到捕捉到的所有包 0 109 2 13 109 02 4 129 0 0 147 2 0 189 19 0 221 52 30 243 50 0 300 55 收包数量 发包数量 IP 地址 同样，我们可以发现，如下 IP 地址存在同样的问题： NAT客户端必须设置网关，指向NAT服务器内网卡IP地址。 * * * * * 高级网络管理-Sniffer Pro Advance Network Management-Sniffer pro 《高