sniffer监控数据进阶处理方法.pptVIP

Sniffer 监控数据的进阶处理 个人简介 维护本区教育城域网，负责网络核心层及汇聚层网络设备维护，针对接入层进行病毒扫描，安全扫描，漏洞弥补等工作,工作过程中经常使用sniffer与wireshark扫描网络数据，解决实际拥堵与病毒问题。 内容简介 通过sniffer能够查询到什么？ 找到感染病毒真凶后如何定位? 网络各个设备通信数据包信息的类型 明文的获取， 16进制代码信息的获取 密文的获取与解密，混合文的处理 总结 通过sniffer能够查询到什么？ 1，网络各个设备地址信息（MAC，IP，主机名称）——存活主机 2，网络各个设备通信状况（广播，组播，单播）——判断病毒，广播风暴，流量异常 3，网络各个设备通信的数据包信息——数据具体内容 找到染毒MAC后如何定位真凶： （1）从DHCP租约地址池找 （2）Sniffer可以找出主机名，然后根据备案找 （3）交换机上封MAC等机主找网管 （4）哪个灯闪烁最厉害拔掉等机主找来 网络各个设备通信的数据包信息的类型： （1）明文——FTP,telnet，路由交换指令 （2）16进制代码——MSN聊天，SQL Server数据库登录 （3）密文——MD5,特殊加密 （4）混合文——转换16进制代码后加密文 明文的获取1： 明文的获取2： 16进制代码的获取1： 16进制代码的获取2： 16进制代码的获取3： 密文的获取与解密1： 密文的获取与解密2： 密文的获取与解密3： 混合文的处理： 混合文的处理是最为麻烦的，我们需要进行综合操作，一方面需要将监测到的数据通过解密还原为明文，另一方面需要将还原的明文对应代码进行转换。 混合文的处理需要靠经验和耐心。 总结： 对网络工程师来说，对我们最有帮助的，不是该用哪一个流量分析工具或者哪个流量分析软件功能最强大，而是怎么做流量分析。Sniffer类工具再好也只是一条“鱼”，而流量分析的方法才是真正的“渔”之技巧。 希望通过本次交流会可以让各位以及更多的朋友更加重视sniffer类工具在企业内网管理中的地位，让我们进一步了解他们的功能，让我们在实际工作中不是为了监控数据而监控，而是要针对监控到的数据进行分析，让数据得到“升值”。 由于时间关系本人只能够介绍些皮毛的东西，希望可以达到抛砖引玉的效果，激发大家的探讨热情。 谢谢各位！ * * 监控到charset=UTF-8，说明该信息为UTF-8编码，乱码是因为数据为中文造成。 用Winhex建立一个16进制文件，粘贴并且另存为TXT文件即可还原出中文本色。 对于以特殊形式进行加密的情况目前本人还没有太好的解决办法，例如QQ通讯的数据信息，大部分都是乱码，对于此类密文的解密只能够功亏一篑。