首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络管理

范伟导老师Sniffer课程资料(三)


http://www.gipsky.com/
<IMG src="http://www.net130.com/CMS/Files/Uploa ... s/hosttable.GIF">



好,我们继续看第二个monitor功能,Host table,我们叫他主机列表

这是非常好用的一个功能,有什么用呢?

第一看流量最大的TOP10主机,

第二看广播量有多少,当时我发现冲击波、振荡波的时候,就是看这个host table,发现有大量的全子网广播

第三可以快速过滤单一主机流量。

第四通过过滤功能可以看到单一业务主机的流量分布,当然也可以通过镜像接口去实现

我们一个一个来看。

首先TOP10主机,

我们可以点击各列的标题来排序,方便我们分析,比如收发包情况。大家可以试一下。

第二广播量有多少

我们点击broadcast或multicast的标题,查看广播量,有一点要注意,不要忘记看MAC层的广播和组播,因为MAC的广播不一定有IP头,比如ARP,同样IP的广播在MAC也可能是单播,比如子网广播。

MAC层的广播是目的MAC为48个1,MAC层的组播为目的MAC第一个字节最低位是1。(范老师有板书,我的本子上有,懒得画了)

IP的广播有三种:255.255.255.255叫本地广播,也叫直播,direct broadcast,不跨路由器。

172.16.33.255叫子网广播,广播给172.16.33.0这个子网,可以跨路由器。

172.16.255.255叫全子网广播,广播给172.16.0.0这个主网,可以跨路由器。

大家以前学网络的时候,老师会给一个概念,说路由器是三层设备,隔离广播,对吧,我也是这样给同学介绍的,但我在后面会告诉同学,并不是所有广播都隔离。

事实上只有255.255.255.255这类本地广播,路由器才不转发,对于子网广播和全子网广播,路由器是转发的,这是为什么呢?

我们来看4个255的广播,在MAC的封装中,对应的目的MAC是广播,而子网广播和全子网广播,对应的目的MAC是单播,所以路由器会转发。(范老师在演示)所以我们注意到,路由器隔离的广播是目的MAC为全1的广播,对于目的MAC是单播的上层广播,路由器是不能隔离的。

现在想想冲击波震荡波为什么影响那么大,因为它采用的是全子网广播,可以跨路由感染。所以对于这种流量我们要小心,希望下次再出现蠕虫病毒时,大家能快速发现,做个世界第一(同学们笑),同样我们要关注MAC层的广播。

第三,就是我们可以关注单一主机流量。

第一种办法,抓包。选中主机,点一下抓蝴蝶的工具,这样通过专家系统和解码你就可以分析他在干什么了。这个我们后面再讲

第二种办法,用single station。选中主机,点一下下面这个电脑的图标,你可以看到他在跟谁通信,如果你看到他跟几十台、上百台机器同时通讯,可能是什么?(同学们:BT),对,像BT,电驴等P2P应用会有这个特征。

第四,就是我们如果我们把单一业务服务器的接口镜像过来,我们就可以看到这台机器的流量状况,我们也可以采用过滤的方式。

Sniffer有一种叫Monitor 过滤器。大家选中一台机器,假设这是你要关心的业务主机,再点一下这个定义过滤器的图标,(范老师在演示),你看他自动产生一个叫NEW1的过滤器,就是这台机器跟任何机器通讯这样的一个过滤器。我们点一下确定。

我们在选择monitor菜单上的select filter,选apply monitor filter,再选new1,确定。

大家注意到,现在host table就只有和这台机器通讯的所有主机流量情况。要注意一点是,monitor filter应用的时候,对所有monitor功能生效,所以在分析单一业务的时候,特别好用。当然如果你们买的是InfiniStream的话,就更方便了,想分析那个业务就分析哪个业务。

怎么样?Host table好用吧?

(同学问:为什么广播也是一台主机?不是说广播地址不会作为主机地址吗?)(编者:这个问题好像比较低级)

这是流量分析技术的特点,再流量分析中,它纯粹从包结构中去取得主机信息,也就是目的MAC,源MAC,目的IP,源IP,他都作为主机处理,广播地址不会在原地址中出现,但在目的地址中出现,也是一台主机。这并不影响我们分析。

好。还有什么问题吗?大家用5分钟自己试一下。

<IMG src="http://www.net130.com/CMS/Files/Uploadimages/matrix1.GIF">



好,我们继续看第3个monitor功能,Matrix,我们叫他矩阵,其实就是主机会话情况,很多人用他来发现病毒,其实用他来评估网络状况,和异常流量,是一个很好用的工具。

大家看,一下子就满了,大多数网络中都是这样的,我们可以按一下崭停。

然后来分析

分析什么呢?

看那一台主机的连接数最多,要注意这个连接数不是传输层的连接数,是指谁跟最多的主机连接

按右建选zoom,放大。

找到对外连接最多的机器,选中,按右建,选show select nodes,大家自己试一下。

<IMG src="http://www.net130.com/CMS/Files/Uploadimages/matrix2.GIF">



我们注意到这台机器跟很多机器通讯,这正常吗?(同学们:不正常)

这要看实际情况,如果这时一台业务主机,太正常了,如果这时一台PC机,或许在作P2P。

究竟在作什么呢
<< 范伟导老师Sniffer课程资料(四) 范伟导老师Sniffer课程资料(二) >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号