中国地质大学北京《计算机安全》期末考试拓展学习八59Word格式文档下载.docx
《中国地质大学北京《计算机安全》期末考试拓展学习八59Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《中国地质大学北京《计算机安全》期末考试拓展学习八59Word格式文档下载.docx(10页珍藏版)》请在冰豆网上搜索。
1、理解sniffer网络监听的原理。
2、利用snifferpro进行网络流量采集、病毒监测、安全防范及网络故障诊断,掌握SnifferPro在网络管理中的基本应用。
二、实验设备及环境
1台电脑,安装SnifferPro,并连入网络。
三、实验步骤
1、Sniffer软件的安装及部署
安装在代理服务器、要监控的应用服务器或接在交换机镜像口上的主机上。
这个软件安装过程中要注意的是,所以的信息都要填数字跟英文,因为不支持中文,否则提示格式不对。
2、Sniffer软件的使用
获取网络中的机器列表
保存机器列表(配置管理)
3、Sniffer菜单及功能
Sniffer进入时,需要设置当前机器的网卡信息。
进入Sniffer软件后,可以看到Sniffer软件的中文菜单,下面是一些常用的工具按钮。
在日常的网络维护中,使用这些工具按钮就可以解决问题。
主机列表按钮
矩阵按钮请求响应时间按钮警报日志按钮
如果需要更改网卡信息,可以按一下方法进入设置。
选择需要监听的网卡,如果没有,点击右边的new,添加存在的网卡
熟悉sniffer的使用。
矩阵按钮请求响应时间按钮警报日志按钮这几个功能的界面
也可以从菜单中进入
首先在客户机运行ping–t–l1024对装有sniffer机器不断的ping。
查看hosttable,点击工具栏主机列表按钮,如下:
该窗口下提供有多种视图查看主机的信息,在左边的工具栏中,有饼型图,详细信息图,列表图,以及矩形图等,另外,下面有刷新、停止和删除按钮,再下面有导出按钮和属性设置按钮。
查看方式也有几种,如下图底部的几个选项:
AC、IP、IPX,
请求响应时间按钮
这里也有几种显示视图,这个功能主要检测应用程序的反应时间。
下面测试了一下访问网站的反应速度。
查看数据包
解码分析
警报日志按钮
日志上没有东西。
4、Sniffer在网络管理中的应用
主要是利用其流量分析和查看功能,解决网络传输质量问题:
广播风暴(蠕虫病毒流量分析):
广播风暴是网络常见的一个网络故障。
网络广播风暴的产生,一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。
可以用sniffer中的主机列表功能,查看网络中哪些机器的流量最大,从矩阵就可以看出哪台机器数据流量异常。
从而,可以在最短的时间内,判断网络的具体故障点。
然后用解码(decode)功能分析具体的故障原因。
网络攻击:
随着网络的不断发展,DDoS攻击成为一些黑客炫耀自己技术的一种手段。
如果网络本身的数据流量比较大,加上外部DDoS攻击,网络可能会出现短时间的中断现象。
对于类似的攻击,使用Sniffer软件,可以有效判断网络是受广播风暴影响,还是来自外部的攻击。
使用矩阵的top10查看或者主机top10和协议分布图查看,可以大概分析出那台机出现了问题,另外可以设置过滤器抓包分析。
下面是抓包分析,先配置好过滤器,然后点击捕获,有符合过滤器的信息即会被抓取,双击进入即可看到更加详细的信息。
矩阵按钮的使用
同样,矩阵按钮提供有多重视图查看信息等,功能基本跟hosttable一样,只不过显示信息有所不同
四、实验中的问题及解决办法。
这次实验遇到的问题主要是,刚接触这个实验,有点无所是从,觉得奇怪的是,一开始什么都不用配置,就按钮就可以分析了,以前用惯了嗅探工具,都是先选择监听网卡,然后配置过滤器,最后点捕获,就可以抓取到信息了,不过sniffer这个不是这样,它不仅仅有抓包功能,更主要的是sniffer具有网络流量的分析功能,这也是其最主要功能,因此比其他的嗅探工具强大多了。
五、实验思考题解答。
1、如何利用SnifferPro进行蠕虫病毒流量分析?
答:
可以通过下面的步骤进行分析:
(1)
利用Sniffer的HostTable功能,找出产生网络流量最大的主机。
(2)
分析这些主机的网络流量流向,用Sniffer的Matrix查看发包目标。
(3)
通过Sniffer的解码(Decode)功能,了解主机向外发出的数据包的内容。