[计算机软件及应用]11高级网络管理-Sniffer Pro工具.pptVIP

IP 地址 发包数量 收包数量 55 300 0 50 243 30 52 221 0 19 189 0 2 147 0 0 129 4 02 109 13 2 109 0 同样，我们可以发现，如下 IP 地址存在同样的问题： 下面是我们对部分主机的流量分析。首先我们对 IP 地址为 的主机 产生的网络流量进行过滤，然后查看 其网络流量的流向，下面是用 Sniffer 的 Matrix 看到的其发包目标。 我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发 两个数据包。 通过 Sniffer 的解码（Decode）功能，我们来了解这台主机向外发出的数据包 的内容，如图。 从 Sniffer 的解码中我们可以看出，该主机发出的所有的数据包都是 HTTP 的SYN 包，SYN 包是主机要发起 TCP 连接时发出的数据包，也就是 IP 地址为 的主机试图同网络中非常多的主机建立 HTTP 连接，但没有得到任何 回应，这些目标主机 IP 地址非常广泛（可以认为是随机产生的），且根本不是 HTTP 服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出 的。 通过以上的分析，我们能够非常肯定的断定，IP 地址为 的主机产 生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出 的，很可能是感染了某种采用 HTTP 协议传播的病毒，不断在网络中寻找 HTTP 服务器，从而进行传播。 我们在来分析一下 IP 地址为 02 的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。 从图 中我们可以清楚的看到，IP 地址02 的主机先向 网络中不断发出 HTTP 请求，寻找 HTTP 服务器，在发现 HTTP 服务器并与之建 立连接后，紧接着就试图利用 IIS 的漏洞将病毒传播到目标主机。 正是由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包， 使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给 用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机， 帮助网络管理人员快速确定并解决问题。 交换环境下的Sniffer实现 使用地址欺骗工具 利用交换机的端口监控功能 课堂提问时间 NAT客户端必须设置网关，指向NAT服务器内网卡IP地址。 * * * * * * 企业网络安全和管理 Enterprise Network Security and Management 使用Sniffer Pro软件 回顾集线器和交换机的原理 网络嗅探工具的原理 Sniffer工具的介绍和安装 使用Sniffer分析ftp, telnet等网络流量 使用Sniffer防御蠕虫病毒的案例分析 交换环境下Sniffer的实现 集线器工作原理：当集线器收到一个以太网帧时，会把它转发到除接收端口之外的所有其他端口。 交换机的工作原理：根据mac地址表，在源、目的主机之间一对一的进行数据转发。 集线器和交换机的工作原理 网络嗅探工具的原理 当采用共享HUB，用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应。 如果局域网中某台机器的网络接口处于混杂模式（即网卡可以接收其收到的所有数据包），那么它就可以捕获网络上所有的报文和帧，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。 Sniffer工具的介绍和安装 Sniffer 嗅探器是一种常用的收集有用数据方法, 这些数据可以是用户的帐号和密码, 可以是一些商用机密数据等等. Sniffer可以作为能够捕获网络报文的设备, ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具. Sniffer的两个类别: 交换环境下的Sniffer 交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据. 共享环境下的Sniffer 共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报, 而不需要进行任何欺骗行为. Sniffer Pro 介绍 NAI 公司出品的Sniffer, 作为NAI公司的主打产品, 价格也是不菲的. Sniffer Pro是一系列网络故障和性能管理解决方案, 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护、故障解决、优化调整和扩展. Sniffer Pro 软件可以在桌面机、便携式计算机或者笔记本等硬件平台上运行 Sniffer Pr