中国地质大学北京《计算机安全》期末考试拓展学习八59.docx

中国地质大学北京《计算机安全》期末考试拓展学习八59.docx

《中国地质大学北京《计算机安全》期末考试拓展学习八59.docx》由会员分享，可在线阅读，更多相关《中国地质大学北京《计算机安全》期末考试拓展学习八59.docx（10页珍藏版）》请在冰豆网上搜索。

中国地质大学北京《计算机安全》期末考试拓展学习八59

地大《计算机安全》（八）

第八章安全防护技术

实验：

使用SnifferPro进行网络故障检测

一、实验目的

1、理解sniffer网络监听的原理。

2、利用snifferpro进行网络流量采集、病毒监测、安全防范及网络故障诊断，掌握SnifferPro在网络管理中的基本应用。

二、实验设备及环境

1台电脑，安装SnifferPro，并连入网络。

三、实验步骤

1、Sniffer软件的安装及部署

　安装在代理服务器、要监控的应用服务器或接在交换机镜像口上的主机上。

这个软件安装过程中要注意的是，所以的信息都要填数字跟英文，因为不支持中文，否则提示格式不对。

2、Sniffer软件的使用　　

   获取网络中的机器列表  保存机器列表（配置管理）

3、Sniffer菜单及功能　　

Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题。

主机列表按钮  矩阵按钮请求响应时间按钮警报日志按钮

如果需要更改网卡信息，可以按一下方法进入设置。

选择需要监听的网卡，如果没有，点击右边的new，添加存在的网卡

熟悉sniffer的使用。

主机列表按钮  矩阵按钮请求响应时间按钮警报日志按钮这几个功能的界面

也可以从菜单中进入

首先在客户机运行ping–t–l1024对装有sniffer机器不断的ping。

查看hosttable，点击工具栏主机列表按钮，如下：

该窗口下提供有多种视图查看主机的信息，在左边的工具栏中，有饼型图，详细信息图，列表图，以及矩形图等，另外，下面有刷新、停止和删除按钮，再下面有导出按钮和属性设置按钮。

查看方式也有几种，如下图底部的几个选项：

AC、IP、IPX，

请求响应时间按钮

这里也有几种显示视图，这个功能主要检测应用程序的反应时间。

下面测试了一下访问网站的反应速度。

查看数据包

解码分析

警报日志按钮

日志上没有东西。

4、Sniffer在网络管理中的应用　　

　主要是利用其流量分析和查看功能，解决网络传输质量问题：

　广播风暴（蠕虫病毒流量分析）：

广播风暴是网络常见的一个网络故障。

网络广播风暴的产生，一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。

可以用sniffer中的主机列表功能，查看网络中哪些机器的流量最大，从矩阵就可以看出哪台机器数据流量异常。

从而，可以在最短的时间内，判断网络的具体故障点。

然后用解码（decode）功能分析具体的故障原因。

　网络攻击：

随着网络的不断发展，DDoS攻击成为一些黑客炫耀自己技术的一种手段。

如果网络本身的数据流量比较大，加上外部DDoS攻击，网络可能会出现短时间的中断现象。

对于类似的攻击，使用Sniffer软件，可以有效判断网络是受广播风暴影响，还是来自外部的攻击。

　使用矩阵的top10查看或者主机top10和协议分布图查看，可以大概分析出那台机出现了问题，另外可以设置过滤器抓包分析。

下面是抓包分析，先配置好过滤器，然后点击捕获，有符合过滤器的信息即会被抓取，双击进入即可看到更加详细的信息。

矩阵按钮的使用

同样，矩阵按钮提供有多重视图查看信息等，功能基本跟hosttable一样，只不过显示信息有所不同

四、实验中的问题及解决办法。

这次实验遇到的问题主要是，刚接触这个实验，有点无所是从，觉得奇怪的是，一开始什么都不用配置，就按钮就可以分析了，以前用惯了嗅探工具，都是先选择监听网卡，然后配置过滤器，最后点捕获，就可以抓取到信息了，不过sniffer这个不是这样，它不仅仅有抓包功能，更主要的是sniffer具有网络流量的分析功能，这也是其最主要功能，因此比其他的嗅探工具强大多了。

五、实验思考题解答。

1、如何利用SnifferPro进行蠕虫病毒流量分析？

答：

可以通过下面的步骤进行分析：

（1） 利用Sniffer的HostTable功能，找出产生网络流量最大的主机。

（2） 分析这些主机的网络流量流向，用Sniffer的Matrix查看发包目标。

（3） 通过Sniffer的解码（Decode）功能，了解主机向外发出的数据包的内容。