Sniffer網路分析案例及方法集

tcp/ip基礎

目錄1. 蠕蟲病毒流量分析 1

1.1. 環境簡介 1

1.2. 找出產生網路流量最大的主機 1

1.3. 分析這些主機的網路流量 3

2. dos攻擊流量分析 7

2.1. 環境及現象簡介 7

2.2. 找出產生網路流量最大的主機 8

2.3. 分析這台主機的網路流量 10

3. 路由環流量分析 11

3.1. 環境簡介 11

3.2. 找出產生網路流量最大的主機 13

3.3. 分析這台主機的網路流量 13

4. sql server無法正常訪問分析案例 18

5. **用sniffer pro實現arp 22

這是乙個對某網路系統中廣域網部分的日常流量分析，我們在其廣域網鏈路上採用sniffer進行流量捕獲，並把產生流量最多的協議http協議的網路流量過濾出來加以分析，分析過程及結果如下。

我們分析的第一步，找出產生網路流量最大的主機，產生網路流量越大，對網路造成的影響越重，我們一般進行流量分析時，首先關注的是產生網路流量最大的那些計算機。

我們利用sniffer的host table功能，將所有計算機按照發出資料報的包數多少進行排序，結果如下圖。

圖6從圖6中我們可以清楚的看到網路中計算機發出資料報數量多少的統計列表，我們下面要做的是對列表中發出資料報數量多的計算機產生的流量進行分析。通過host table，我們可以分析每台計算機的流量情況，有些異常的網路流量我們可以直接通過host table來發現，如排在發包數量前列的ip位址為22.163.

0.9的主機，其從網路收到的資料報數是0，但其向網路發出的資料報是445個，這對http協議來說顯然是不正常的，http協議是基於tcp的協議，是有連線的，不可能是光發不收的，一般來說光發包不收包是種類似於廣播的應用，udp這種非連線的協議有可能。

同樣，我們可以發現，如下ip位址存在同樣的問題：

這樣的主機還有很多。

下面是我們對部分主機的流量分析。首先我們對ip位址為22.163.

0.9的主機產生的網路流量進行過濾，然後檢視其網路流量的流向，下面是用sniffer的matrix看到的其發包目標。

圖8圖9

我們可以看到，其發包的目標位址非常多，非常分散，且對每個目標位址只發兩個資料報。

通過sniffer的解碼（decode）功能，我們來了解這台主機向外發出的資料報的內容，如圖。

圖10從sniffer的解碼中我們可以看出，該主機發出的所有的資料報都是http的syn包，syn包是主機要發起tcp連線時發出的資料報，也就是ip位址為22.163.0.

9的主機試圖同網路中非常多的主機建立http連線，但沒有得到任何回應，這些目標主機ip位址非常廣泛（可以認為是隨機產生的），且根本不是http伺服器，而且發出這些包的時間間隔非常短，為毫秒級，應該不是人為發出的。

通過以上的分析，我們能夠非常肯定的斷定，ip位址為22.163.0.

9的主機產生的網路流量肯定是異常網路流量。該主機發出的網路流量是某種軟體自動發出的，很可能是感染了某種採用http協議傳播的病毒，不斷在網路中尋找http伺服器，從而進行傳播。

我們在來分析一下ip位址為22.1.224.202的主機產生的網路流量，就能清楚的看到感染病毒的計算機的網路行為軌跡。

圖11圖12

從圖11和圖12中我們可以清楚的看到，ip位址為22.1.224.

202的主機先向網路中不斷發出http請求，尋找http伺服器，在發現http伺服器並與之建立連線後，緊接著就試圖利用iis的漏洞將病毒傳播到目標主機。

正式由於大量感染病毒的計算機不斷向網路中傳送資料報，而且是小資料報，使網路的效率非常低，大大影響網路的效能，並導致業務應用的無法正常執行，給使用者帶來很大損失。採用協議分析的方法，能非常直觀且快速的發現這些計算機，幫助網路管理人員快速確定並解決問題。

使用者的網路是乙個idc網路環境，包括區域網和internet接入，其中internet接入為兩條千兆乙太網接入，內部區域網多是遊戲**寄放的遊戲伺服器主機。網路拓撲如下：

該網路出現網路效能突然下降，但沒有發現網路裝置出現異常。

我們同樣利用sniffer的host table功能，將該idc所有計算機通過internet出口的網路流量按照發出資料報的包數多少進行排序，結果如下圖。

圖13我們從圖13，sniffer的host table中可以看到ip位址為210.51.8.89的主機發出了15146個資料報，遠遠超過其他的網路主機。

圖14從圖14中我們可以看到，該主機發出的資料報佔所有主機發出的資料報總數的79.39，網路中絕大多數的資料報竟然是這一台主機發出的，對於乙個idc來講，這是非常異常的現象。

首先我們分析該主機的網路流量流向，也就是分析它在向誰發包，我們利用sniffer的matrix功能來監控。

圖15我們通過圖15可以看到，這台主機發包的目標主機只有乙個，就是ip位址為209.198.152.200的主機。

同過sniffer的decode功能，我們分析該主機發出的資料報內容。

圖16從decode內容看，我們發現ip位址為210.51.9.

89的主機向ip位址為209.198.252.

200的主機發出的都是dns資料報，但是是不完整的資料報，同時其發包的時間間隔極短，每秒鐘發包數量在100,000個資料報以上，這是種典型的網路攻擊行為，初步判斷為黑客首先攻擊寄存在idc的網路主機，在取得其控制權後利用這台主機向目標主機發起拒絕服務（dos）攻擊，由於該主機效能很高，同時idc的網路效能很高，造成這種攻擊的危害性極大。

這是乙個實際發生的網路利用率異常導致網路大量丟包的案例，使用者的網路丟包現象很嚴重，給使用者造成了很大的困擾。

使用者的網路是乙個省級網路環境，包括區域網和廣域網，並同全國的廣域網路相連。網路拓撲如下：

圖該網路丟包現象嚴重，如果通過省區域網向地市網路或全國網路發包，每發出10個ping包將只能收到7個reply包，這樣，基於網路的應用受到很大的影響。

我們同樣利用sniffer的host table功能，將該網路所有計算機產生的網路流量按照發出資料報的包數多少進行排序，結果如下圖。

圖17從圖17中我們看到，ip位址為10.22.0.25的主機發出資料報最多，遠遠超過了其他主機，相應產生的流量也最大。

首先我們分析該主機的網路流量流向，也就是分析它在向誰發包，我們利用sniffer的matrix功能來監控。

圖18通過sniffer的matrix，我們發現ip位址為10.22.0.

25的主機發出的資料報很分散，我們調查了一下，發現ip位址為10.22.0.

25的主機為該網路的網路管理系統主機，而它發包的物件是該網路中地市級路由器的ip位址，也就是說網路的網管主機向地市路由器發出大量的網路包，導致網路流量異常並導致網路大量丟包，使網路處於不穩定狀態。

在發現這個問題後，我們將該網管主機的網路連線解除，發現網路馬上恢復到了正常狀態，不在有丟包現象發生，看起來這個網路的問題完全是由這台網管主機引起的一樣，但這種現象非常難以理解，為什麼網管主機會造成網路問題呢。

我們利用sniffer的decode功能將捕獲到的網路流量解碼，來分析網管主機發出的資料報的內容，看看到底它發出了什麼樣的資料報。

圖19我們通過sniffer的decode發現這台網路主機向網路中地市路由器傳送大量的icmp echo資料報，也就是ping包，我們對其向10.22.127.

246傳送的icmp echo包進行分析，發現了奇怪的現象。

我們對我們捕獲的由10.22.0.

25向10.22.127.

246傳送的icmp echo包其中相鄰的資料報進行解碼分析，圖19為其發出的第739個資料報，圖20為其發出的第740個資料報，我們發現這兩個包的ip identification是一樣的，都是15633，每個ip包都會有乙個特定的identification來標誌其唯一性，這說明我們捕獲到的這兩個資料報其實是同乙個ip包。

圖20而捕獲到的這個資料報的time to live也就是ttl值乙個為251，另乙個為250，ttl為ip包的生存時間，每經過乙個路由處理，ttl值就會被減一，直至到0後被路由器丟掉。

我們看到其他的資料報也是同樣的情況，這個ip id為15663的資料報不斷在網路中出現，直到ttl值減到0，這種現象清楚的表明，網路裡存在著路由環，發向10.22.127.

246的資料報是在路由器間不斷的互相傳遞，最終被丟掉，這種現象也可以成為路由桌球現象，出現路由環後，乙個資料報將重複在網路中傳送，而且瞬時流量會異常的大，造成網路異常，這正和該網路的網路異常現象相吻合。

為什麼會出現路由環呢，我們對其網路進行了詳細的了解，發現其在路由器中設定了大量的靜態路由，其路由設定如圖21所示。

Sniffer網路分析案例及方法集

網路分析道路網路分析

網路分析與測試

領域部落格的社會網路分析

Sniffer網路分析案例及方法集

網路分析 道路網路分析

網路分析與測試

領域部落格的社會網路分析

相關推薦

網路分析道路網路分析