借助Sniffer分析网络流量Word格式文档下载.docx
《借助Sniffer分析网络流量Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《借助Sniffer分析网络流量Word格式文档下载.docx(44页珍藏版)》请在冰豆网上搜索。
5.1710:
20
抓包持续时间:
16s
数据包个数:
88865
平均带宽利用率:
7%
1,首先我们了解一下网络中协议的分布情况,通过sniffer的ProtocolDistribution功能可以直观的看到当前网络流量中协议分布图:
从上面可以很明显看出,HTTP应用流量最大占63%,其次就是NetBios流量占35%。
了解协议分布情况以后,我们再找到网络中流量最大的主机,因为流量越大也就意味着对网络的影响也就越大,利用sniffer的HostTable的饼视图功能可以容易的找到流量最大的机器,如下图所示:
可以看到219.72.238.88,219.72.237.201这两台主机在目前我们网络内部流量较大,分别占16.52%和15.97%。
进一步利用HostTable功能的Outline视图,可以发现这两个地址流量的90%都是HTTP流量,如下图所示:
我们可以从上图注意到,219.73.238.88这个主机上行流量要明显小于下行的流量,而219.72.237.201这个主机则是上行流量明显大于下行流量,通过确认219.72.238.88为一台Web服务器,219,72,237,201则是其他公司托管我在我公司的一台服务器,所以到这一步我们就可以大致知道这两个主机当前正在进行的网络活动。
同时我们要注意的就是每个地址的收发包数量是否正常,即是否收发之间存在较大差异,如果只收不发或者只发不收,那很可能就意味着这个主机的当前流量有异常(例如受到SYN攻击),我们可以进一步通过sniffer提供的Decode功能对捕获的数据包进行解码,来分析具体的数据包内容。
比如我们通过定义一个过滤器来查看上面两个地址的具体数据流量,如下图所示:
我们可以看到在这些HTTP应用里面,TCP的三次握手都很完整,排除了恶意的SYN攻击行为,都是正常的HTTP流量。
附:
也许从这次的例子看不出有什么异常,实际上在大部分的情况下一旦网络出现异常,可以在第一时间直观的通过HostTable功能找到问题的根源。
2,查看sniffer的专家系统,发现存在大量的LocalRouting(本地路由)告警,sniffer中对此告警的解释为:
TwoDLCstationsonthesamesegmentarecommunicatingviaarouter.PacketsarebeingtransmittedviatherouterratherthandirectlyfromoneDLCstationtotheother(大致意思是两个属于同一网段的主机之间通过路由器通信,数据包通过路由器发送而不是直接在两主机间转发)。
并提示可能原因为路由表设置不当。
(如下图所示)
通过查看告警来源,发现流量均为来自私网地址的139端口连接,通过sniffer的ProtocolDistribution的Packet排序可以看出Netbios协议流量占所有流量的80%,即当前网络中80%的数据包都是Netbios协议数据包。
如下图所示:
很明显出现这种现象是不正常的,我们可以在所捕获的数据包里定义过滤器,选择只查看Netbios协议,进一步了解具体的数据包内容(如下图所示):
发现存在大量网内的私网地址发起的139端口连接请求,而且全都是TCP的SYN请求,TCP的三次握手只有一次,很可能受到了SYN攻击。
数据包大小都是62字节,而且每个数据包之间发送间隔都在1ms内,排除人为发起TCP请求的可能。
通过观察数据包的源,目的IP地址,发现源地址很分散,目的地址均为实际并不存在的IP地址,但根据我公司IP地址规划都属于某地市分公司私网地址段。
根据流量的特征,初步判断为私网用户感染蠕虫病毒,病毒通过139端口与大量虚假IP地址建立连接,造成网络中存在大量短数据包,严重降低网络运行效率。
同时我们还发现当前网络对每一个TCP连接请求进行不断的重传,直到TTL值过期之后才被丢弃。
通过跟踪查看某个地址的重传数据包,发现一个奇怪的现象:
上面两幅截图是Sniffer捕获的172.17.60.126对172.17.46.14发起TCP连接请求的两个数据包,可以看到在数据包的网络层里面有两个选项:
Identification,Timetolive(TTL)。
Identification是用来唯一标识主机发出的每个数据包的,正常情况下每个数据包的ID都不一样,而TTL是用来限制数据包在网络中经过的跳数的,每经过一跳TTL值就减1,直到TTL值为0的时候数据包就被丢弃,主要是防止当网络中出现环路时数据包的循环传送。
而在上图可以看到,这两个数据包的Identification是一样,只是TTL值相差1。
这就表示这两个数据包实际上是同一个数据包(因为ID一样),只不过被发出去以后又被送回来了。
到了这里,我们可以初步怀疑是否出现了路由环路。
进一步在中心机房尝试tracert172.17.46.14这个IP地址跟踪路由,发现路由在中心机房交换机和地市交换机之间形成环路,数据包在环路不断往返,直到TTL值过期才被丢弃。
通过查看中心机房交换机路由表,发现配置了静态路由,将172.17.44.0/22这段地址指向了地市分公司交换机,而在分公司交换机配置的私网地址池里面只配置了172.17.44.0/23,并没有包括172.17.46.0这段地址,所以在里面找不到对应的路由,故将流量通过默认路由又传回至中心机房,从而形成环路。
检查针对其他网段的异常流量时同样出现这种情况。
所以,当感染蠕虫病毒的机器与大量实际并不存在的地址建立139连接时,借助静态路由设置不当的漏洞,这些数据包在网络中循环传送,消耗了大量网络带宽,降低了网络的运行效率。
更多资料请登陆中国协议分析网论坛查看。
所以针对以上流量分析,我们可以得出以下结论:
⑴目前网络中存在大量中毒机器,并且正在试图通过局域网感染其他主机,最好能及时通知客户做杀毒处理,消除网络隐患。
⑵出于安全方面的考虑,建议拒绝基于139端口的流量。
⑶中心机房交换机上需要更改静态路由,取消路由环路。
二,总结
上面的文章只是一个抛砖引玉,其实Sniffer还有很多强大的功能,希望大家能在平时多多使用,互相交流经验,进一步提高我们的日常维护工作效率。
范伟老师的Sniffer培训课程资料
前言:
范老师现在是Sniffer中国技术服务中心的技术总监,是中国唯一的Sniffer大师(SCM),他有丰富的经验和经典案例,讲课讲得不错。
我是范老师的学生,我2005年学习了Sniffer,发现收获很大,但我不能透露我的单位,因为我想范老师不会允许我把他的讲课内容公开。
以下内容是我根据上课录音编写的,基本上是范老师的原话。
我整理了一个星期才整理出来,因为范老师在上课时有很多笔书,整理起来很困难,
有人会问,为什么不把录音共享出来,主要是课程中很多实验,只有录音,作用不大,我把他整理成文字,看起来会方便一些,当我全部整理完,估计可以出书了,版权费给谁呢?
哈哈
我希望大家喜欢,如果反应良好,我把后面的内容也贴出来,很辛苦的,大家要珍惜。
大家不要放映,精华内容都在注释里。
大家有什么问题,可以发E-mail给范老师,[url=mailto:
fanweidao@]fanweidao@[/url],记住如果他问你是谁,你说是北京移动或广东移动或工商银行随便一个省分行的,因为这些单位的学生特别多,他肯定搞不清楚。
哈哈,对不起了!
范老师,我只是想帮你推广Sniffer.
大家好!
欢迎大家参加Sniffer的认证课程!
先自我介绍一下!
我叫范伟导,这是我的邮件,我现在没有工作(同学们:
自由职业者)可以这么说。
介绍一下我的经历:
毕业后我在一个台资电脑厂工作了一年,做硬件的。
后来到了日本三洋工作,作X400的软件开发,做ERP,用RPG开发,做了4年
后来到了神州数码,作CISCO网络,原来在技术中心做实施,后来在培训中心做讲师,一共做了5年。
现在我是CISCO和Sniffer的授权讲师,不过现在我不想做CISCO了,想做Sniffer,因为我觉得网络分析是一个很好的技术方向。
等一下我还会跟大家聊一聊我们该往哪一个方向发展。
先看一下我们这个课程,这个课程事实上是两门课,第一门我们介绍怎样用Sniffer来做网络故障诊断,还有网络管理的一些方法和思路,第二门课我们介绍如何做应用的分析,这是Sniffer的新课程,我个人觉得非常好,以前的几个班学员也很喜欢。
第一门课我们会讲3天,第二门课我们会讲2天。
接下来的半个小时我们不讲书本知识,讲讲我的经历和Sniffer究竟能用来做什么,我们为什么要学Sniffer,其实我的目的是提起大家的学习兴趣,大家愿意学,我才讲的起劲。
要不我一边讲,大家在噼噼啪啪上网,那我就讲不下去了(同学们笑)。
大家做网络都很多年了,想想我们以前的10兆以太网,现在的万兆以太网,想想14.4k的modem,现在的2M宽带,以前的x25,桢中继,现在的SDH,MSTP,裸光纤。
大家都经历这些,但我们才工作几年?
就这几年,变化这么大,我不知道大家的工资有没有变化这么大,(同学们大笑),从10兆到万兆,1000倍,几年工资张1000倍。
有点难(同学们:
不是有点难,是很难,不可能)。
再看看我们工作的变化,以前能配配路由器就很牛了,现在似乎谁都会了,记得几年前,我帮一个小集成商配一台4000系列交换机,收了2000元,15分钟搞定。
(同学们:
好爽,介绍一些给我们做),没有了
说说你们的工作。
平常工作中做些什么(同学们:
做做网线,杀病毒,帮领导装机器)
大家想想,这是我们想做的工作吗,以前这些都不用我们做,现在大家感觉是不是地位在下降,工资也不涨,好歹我们也是蜘蛛级的人物呀,不是有个笑话说蜜蜂是空姐,做网络的是蜘蛛吗。
(同学们笑)
我们该怎么办?
现在说说我的观点,我们都希望工资能年年涨,不要求1000倍,(同学们:
不要求那么高,一年20%就行了),
20%?
不止吧,从毕业到现在,你们工资不止年均涨不止20%吧。
(同学们:
我们不能跟您比)
也有可能,你们的起点高,我毕业的时候才有650元。
大家回顾一下,做IT的谁的收入高?
1、销售
2、领导
3、咨询专家
4、售前工程师
5、售后工程师
我们在座的有3个是网络中心的主任或科长,他们的收入肯定比一般工程师高,我祝愿你们步步高升,收入节节高。
在座大多数是网络工程师,我们该怎么走,其实你们现在的单位都很好,但将来怎样很难知道,比如前几年银行的收入令人羡慕,现在他们却担心降工资,现在移动的收入不错吧,我有汽车厂商的学员,他告诉我他们的收入比移动好点,(同学们:
哇)这是他们自己说的,好多少就没说了,还有某政府单位的,什么单位不便说,他们没告诉我他们的收入,只说,价格少于4万的笔记本他们不用,哇靠,4万的笔记本,什么配置?
那是服务器)
我们不能比,人比人,气死人。
我们没法进入这些公司的,还是脚踏实地一点好,但我们做技术的也要考虑如何提高我们的收入,做技术的要提高收入,地位是关键,前面大家说只做做线,杀杀病毒,我们的地位在下降,工资怎么长得起来呢?
想想我们做技术的,谁的收入高,做数据库的比做服务器的高,为什么Oracle那么火,做服务器的比写程序的高,写程序的比做网络高,这是普遍现象,不说特殊情况。
其实大家发现一个特点没有,凡是掌握企业关键业务的收入都很高,你看作数据库的,数据库坏了,企业完蛋了,领导当然重视,现在不仅讲存储,还讲灾备,你看很多银行,北京一个数据中心,上海一个数据中心。
我们网络怎样,设计的都是高可靠性的端到端备份,出问题的机会很少,而当应用出什么问题,都说是网络问题。
举个例子,有个单位(税务的学员告诉我的),有一天应用突然变慢,大家都说网络慢了,我们用尽troubleshooting的技术也发现不了问题,结果作数据库的工程师偷偷改一下表空间,好了,没问题了,我们不知道怎么好了,做数据库的不说他们有问题,还说网络好了,领导问我网络怎么好的,我不知道呀,领导说:
赶快查出原因,避免再出现类似问题,哇塞,怎么查,本来网络就没问题,查什么查。
所以现在大家用一个字来形容我们的工作?
你们会用什么字(同学们:
累、苦)
很贴切,苦、累
所以我们不能一直停留在网络的troubleshooting,我们必须提高我们的地位,要不我们会累死。
怎么提高地位,我们必须了解我们的业务,也就是要了解应用,了解应用在我们网络上的行为特征,很重要的一个词行为特征。
当我们了解了业务的行为特征,我们能定位某一个问题的真正故障点,举个例子:
网络应用变慢,可能的原因有什么?
网络问题,服务器问题,数据库问题,应用程序问题,客户机问题。
如果我们能够判断是哪一部分问题,我们就有发言权了,比如说刚才那种情况,如果我们直接说这是数据库问题,不是网络问题,领导会问,你凭什么说是数据库问题,你可以拿出Sniffer,专家系统上写着,DBSlowServerresponse诊断,(范老师在演示)再看解码,做一个用户验证操作,花了1.731秒,有根有据,大家想一想,有了Sniffer我们可以了解我们的业务行为特征,可以排除我们的责任,不但工作轻松了,地位也提高了。
以前我们应用出现问题的时候我们总是分头查找问题,结果往往是没有结果,因为这种查找方式范围太大了,我们做troubleshooting第一步应该是:
隔离故障。
如果我们有了Sniffer,首先用Sniffer看一下,最有可能是哪一部分问题,再安排检查,这样不但节省人力,速度会更快,效率也更高。
如果有人问我们Sniffer是什么?
大家都会说是协议分析仪,你看sniffer网站()
上说的是应用和网络分析系统。
究竟Sniffer是什么样的一个东西,我们要了解他的发展过程。
其实很多类似的产品比如ethereal,netscout,wildpacket等都有类似的发展过程
第一阶段是抓包和解码,也就是把网络上的数据包抓下来,然后进行解码,那时候谁能解开的协议多,谁就是老大,Sniffer当时能解开的协议最多,也就理所当然地成了老大,现在Sniffer能解开550种协议,还是业界最多的,
第二阶段是专家系统,也就是通过抓下来的数据包,根据他的特征和前后时间戳的关系,判断网络的数据流有没有问题,是哪一层的问题,有多严重,专家系统都会给出建议和解决方案,现在Sniffer的专家系统还是业界最强的
第三阶段:
是把网络分析工具发展成网络管理工具,为什么要这样,如果Sniffer知识用作网络分析,那Sniffer的软件就够用了,现在软件的portable基本上都是盗版的,sniffer没钱赚了,所以它必须往网络管理方向转,要作为网络管理工具,就必须能部署在网络中心,能长期监控,能主动管理网络,能排除潜在问题,要做到这些,就要求有更高的性能,所以Sniffer就有了相应的硬件产品,比如说分布式硬件平台,InfiniStream等,我知道在座各位都买了Sniffer的硬件,这时候如果用软件的Sniffer性能就不行了。
我们看一下,Sniffer究竟有什么用?
第一,Sniffer可以帮助我们评估业务运行状态,如果你能告诉老板说,我们的业务运行正常,性能良好,比起你跟老板报告说网络没有问题,我想老板会更愿意听前面的报告,但我们要做这样的报告,光说是不行的,必须有根据,我们能提供什么样的根据呢。
比如各个应用的响应时间,一个操作需要的时间,应用带宽的消耗,应用的行为特征,应用性能的瓶颈等等,到第二门课,我会告诉大家怎么做到有根有据。
第二,Sniffer能够帮助我们评估网络的性能,比如,各连路的使用率,网络的性能的趋势,网络中哪一些应用消耗最多带宽,网络上哪一些用户消耗最多带宽,各分支机构流量状况,影响我们网络性能的主要因素,我们可否做一些相应的控制,等等
第三,Sniffer帮助我们快速定位故障,这个大家比较有经验,我们记住Sniffer的三大功能:
monitor,expert,decode这三大功能都可以帮助我们快速定位故障,我后面通过案例演示给大家看,大家再做做实验,很快就上手了(同学问:
范老师,是否要学Sniffer必须对协议很熟,)不一定,我们可以通过Sniffer来学习各种协议,比如ospf,以前学网络的时候,讲OSPF的LSA好像很复杂,你用Sniffer看看,其实他的协议结构还是不复杂的,一般情况下,我会要求学Sniffer的学员有CCNP的基础,或者有几年的网络管理经验,我自己也是这样,刚开始只是用Sniffer抓抓包,抓下来也不知道怎么分析,当我学完CCNP后,学了CIT,以为自己不错了,会排除很多网络故障,但实际上很多问题我还是解决不了,比如网络慢,他又不断,断了我很快能解决,网络慢,或者丢包,一般的排错知识还是很难的,那时候开始学Sniffer,才发现很好用
第四,Sniffer可以帮助我们排除潜在的威胁,我们网络中有各种各样的应用,有一些是关键应用,有一些是OA,有一些是非业务应用,还有一些就是威胁,他不但对我们的业务没有帮助,还可能带来危害,比如病毒、木马、扫描等,Sniffer可以快速地发现他们,并且发现攻击的来源,这就为我们做控制提供根据,比如我们要做QOS,不是说随便根据应用去分配带宽就解决了,我们要知道哪一些应用要多少带宽,带宽如何分配,要有根有据。
我们再回过头看一下Sniffer什么时候开始流行的,再2003年冲击波发作的时候,很多Sniffer的用户通过Sniffer快速定位受感染的机器,后来很多人都知道Sniffer可以用来发现病毒,Sniffer的知名度暴涨,盗版用户也暴涨(同学们大笑),后来震荡波发作的时候,很多人用Sniffer来协助解决问题。
我想强调的是Sniffer不是防病毒工具,这也只是他的一个用途,而且只对蠕虫类型对网络影响大的病毒有效,对于文件型的病毒,他很难发现。
另外要说明的事,Sniffer还可以用来排除来自内部的威胁,现在我们网络中有各种各样的网络安全产品,防火墙、IDS、防病毒软件,他们都有相应的功能,但真的有效吗,能解决全部威胁吗,我们要进行评估,用Sniffer就能评估内网的安全状况,有没有病毒,有没有攻击,有没有扫描,像防火墙、IDS、防病毒软件他们都是后知后觉的,它必须有特征才能阻绝,而Sniffer是即时监控的工具,通过发现网络中的行为特征,判断网络是否有异常流量,所以Sniffer可能比防病毒软件更快地发现病毒。
我在神州数码的时候,冲击波震荡波都是我县发现的,有趣的是当时我都在上Sniffer的课,中午休息,我把sniffer驾到公司网络,再Hosttable看到广州一台机器很多广播,接着广州另外一台机器也开始发广播,接着深圳也感染了,我马上通知IT管理人员,他们把这几台机器断网,后来才知道有冲击波病毒,防病毒软件还不能杀。
刚才讲到异常流量,这是一个很重要的概念,什么是异常流量?
我们怎么判断是否异常,这又涉及另外一个概念,叫基准线分析,什么是基准线,基准线是指我们网络正常情况下的行为特征,包括利用率、应用响应时间、协议分布,各用户贷款消耗等,不同工程师会有不同基准线,因为他关心的内容不同,只有知道我们网络正常情况下的行为特征,我们才能判断什么是异常流量。
第五,做流量的趋势分析,通过长期监控,可以发现网络流量的发展趋势,为我们将来网络改造提供建议和依据
第六点就是应用性能预测,这点很有用,会用的人不多,我们第二门课会讲,Sniffer能够根据捕获的流量分析一个应用的行为特征,比如,你现在有一个新的应用,还没有上线,我能评估他上线后的性能,比如在用户在网络中心有多快,用户在省中心有多快,用户在市中心有多快,都可以提供量化的预测,准确率挺高的,误差不超过10%。
我们还可以用她来评估应用的瓶颈在哪,不同应用瓶颈不同,比如有些应用慢了,增加网络带宽效果很明显,比如FTP这种应用,有些应用慢了增加带宽没什么效果,比如TELNET应用,我们还可以预测网络带宽增加的效果,比如我将2兆提高到8兆应用性能有多大的提升,Sniffer能比较准确地预测
在这里我们提到三个重要概念,网络行为特征,异常流量,基准线,大家理解了吗
在这里,我不想太多介绍产品,我不是来推销Sniffer的(同学们笑),我们主要探讨网络分析技术
Sniffer的便携式就是我们用的那种盗版软件(同学们笑),我不用介绍了,这门课我们用Sniffer的便携式来讲,因为分布式和InfiniStream也有一样的界面,上课的时候我们都是用便携式。
Sniffer的分布式包括4100和6040,主要是放在网络核心可以长期监控、分析,4100可以处理千兆流量,6040可以处理8千兆流量,这是业界性能最高的产品
Sniffer的InfiniStream的特点是可以长期抓包,最多有4个T的存储空间,可以长期抓包,可以进行回溯性分析,这点对有些用户来说很重要,比如今天早上10点半,某个应用很慢,十分钟后又正常了,如果没有InfiniStream,流量没有保存,我们就很难分析问题在哪,如果有了InfiniStream,这些流量都会保存下来,自动的,就是长期抓包,我们就可以找出当时的流量,进行分析,一个很好的设备,现在支持1800兆线速捕获,这也是其他厂商没有的。
这些你们买设备的时候代理都给你们说清楚了,我就不多讲了。
怎么样,听了这么久,感觉如何?
有兴趣吗?
其实我个人是很喜欢Sniffer的,我当时从三洋出来的时候,错过了去IBM的机会,去了神州数码才知道,他们IBM需要做X400的人,去了神州数码,老板问我想做网络还是想做主机,我说做网络吧,那时一个CCIE23十万的收入是有的,结果到我考过CCIE笔试的时候,CCIE就值10万吧,真是绝望了,(同学们笑)为什么当时不做主机呢,我那些做6000的同事现在都不错,又不累。
做网络不就一个字:
累吗(同学们笑)我也没有去考实验了,01年的时候我考了CCSI,就是CISCO授权讲师,后来讲了很多cisco的课,我CISCO的学员有1000个,后来又讲Sniffer的课,Sniffer的学员有300个,我的学员不少,有不少关系不错的,他们过的比我好(同
升级会员 