豆豆小说阅读网,好看的电视剧

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

實戰(zhàn):Sniffer捕獲城域網(wǎng)中異常數(shù)據(jù)(圖)

Sniffer pro是一款功能強大的網(wǎng)絡(luò)分析工具，可以用于發(fā)現(xiàn)漏洞、病毒、等異常數(shù)據(jù)，也可以生成網(wǎng)絡(luò)基準線，提供網(wǎng)絡(luò)質(zhì)量趨勢分析數(shù)據(jù)，還可以用于故障快速定位，我在工作中經(jīng)常用到，在此把使用中的體會寫出來，希望對其他使用者能有一點用處。

用過濾器過濾出我們關(guān)心的數(shù)據(jù)

因為我們捕獲數(shù)據(jù)時并不知道異常數(shù)據(jù)是那一種，所以我們在捕獲是用的過濾器（filter）必須是默認的any<->any，也就是說把所有經(jīng)過的數(shù)據(jù)全部捕獲，建議捕獲用PC內(nèi)存要大，最少256M，將filter的buffer定義為32M。（因為捕獲點多為社區(qū)機房上行端口的鏡象，數(shù)據(jù)較大，為保證捕獲數(shù)據(jù)量，建議將buffer定義大些較好，）
　　
定義完成后開始捕獲，當buffer滿后停止捕獲，進入分析窗口，我們進入decode窗口看看：

在這里我們可以看到很多的數(shù)據(jù)，為了快速分析，我們就要用到另一種過濾器（display filter）,選取display->selete filter,可以看到下圖：

我這里已經(jīng)定義了一些過濾器，定義方法后面再進行演示，這里先看用法，選擇一個過濾器，如ARP，將把這個數(shù)據(jù)包里所有的ARP協(xié)議數(shù)據(jù)包過濾出來，

相映的用其他的過濾器可以過濾出我們關(guān)心的數(shù)據(jù)，提高我們的分析效率。過濾出來的數(shù)據(jù)就相對較少且較為一致，便于我們分析。
　　
下面介紹一下過濾器的定義方法，選擇display->define filter:

1、按地址過濾：又分為叁種，很簡單，看看就明白了:
2、數(shù)據(jù)過濾：這個是比較高級的，主要功能是對數(shù)據(jù)包按特征碼過濾，使用的前提是對某種數(shù)據(jù)的特征碼很清楚，目前自定義還比較難，有興趣的同志可以研究看看。
3、高級過濾：其實就是用協(xié)議過濾，看看就明白了

如何應(yīng)用過濾器？

其實過濾器除了自己定義外還可以導(dǎo)入已經(jīng)定義好的，首先，我們可以去NG公司的網(wǎng)站去下載Sniffer過濾器，需要說明的是Sniffer的病毒過濾器的名稱定義是來自McAfee的定義，與其它防病毒廠商尤其是國內(nèi)的防病毒廠商的病毒名稱定義是有一些差異的。
　　
下載到過濾器，我們就可以把該過濾器導(dǎo)入到Sniffer里去了。解壓開下載到的過濾器文件，你會看到許多文件，我們以Mydoom病毒過濾器文件舉例說明：Importing Filter.rtf（導(dǎo)入過濾器說明文件），Sniffer Filter Creation Specification for [email protected]（說明如何定義Mydoom病毒過濾器），NetAsyst - [email protected]（NetAsyst軟件使用－－NG公司針對中小型企業(yè)定制的軟件，功能與Sniffer Pro基本相當，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - [email protected](分布式Sniffer使用，有多個版本：4.1，4.2，4.3，4.5等），還有就是我們需要使用的SnifferPortable4.* - [email protected]（有4.7,4.7.5,4.8等版本，針對你所使用的Sniffer版本號來選擇你需要的）。

接著找到Sniffer的安裝目錄，默認情況下是在：C:\Program Files\NAI\SnifferNT\Program，找到該目錄下的“Nxsample.csf”文件，將它改名成Nxsample.csf.bak（主要是為了備份，否則可以刪除），然后將我們所需要的過濾器文件SnifferPortable4.7.5 - [email protected]文件拷貝到該目錄，并將它改名為“Nxsample.csf”。

然后，我們再打開Sniffer Pro軟件，定義過濾器（display--Define Filter），選擇Profile－－New－－在New Profile Name里填入相應(yīng)的標識，如W32/Mydoom－－選擇Copy Sample Profile－－選擇W32/Mydoom@MM，確定后，我們就算做好了Mydoom這個病毒的過濾器。

現(xiàn)在，我們就可以在過濾器選擇里選擇Mydoom過濾器對Mydoom病毒進行檢測了。

下面你在DECODE窗口里使用這個過濾器，如果你沒過濾到任何數(shù)據(jù)，恭喜，你捕獲的數(shù)據(jù)里沒有這個病毒，你可以安心了；如過你過濾到了數(shù)據(jù)，也恭喜，你有成績了，然后根據(jù)過濾到的數(shù)據(jù)源IP、MAC等信息找到用戶，進行相應(yīng)的處理，避免病毒的擴散。
　　
　　

以下是一些我在工作中捕獲到的異常數(shù)據(jù)：
ARP掃描：
ARP欺騙

郵件病毒：
P2P流量：

疑難：不知道什么時候有異常流量

在工作中我們并不知道什么時候有異常流量，也不可能總是盯著交換機，這個時候就要定義觸發(fā)器，讓電腦去監(jiān)視網(wǎng)絡(luò)了。

觸發(fā)器，就是讓sniffer pro一直監(jiān)視網(wǎng)絡(luò)，但不捕獲數(shù)據(jù)，一直到滿足了觸發(fā)器條件后開始捕獲，達到停止條件停止，一般有時間條件、過濾器條件、alarms條件。定義方法為capture->trigger setup
點擊start trigger中的define

時間條件：不用多說了。

過濾器條件：用定義好的過濾器過濾，過濾到數(shù)據(jù)后啟動觸發(fā)器。

alarms條件：監(jiān)視的數(shù)據(jù)達到了選定的項目的閥值后開始捕獲。

條件中過濾器已經(jīng)說過了，這里說一下alarms閥值的定義，選擇tools->options下的MAC threshold ,這里就是定義閥值的地方。
觸發(fā)器的結(jié)束觸發(fā)和開始觸發(fā)差不多，對比一下就明白了。

觸發(fā)器定義好后就可以使用了，啟用后capture下的trigger setup會變成cancel trigger，在使用觸發(fā)器前要更改使用的過濾器，設(shè)置為buffer滿后自動保存，這樣才可以把我們需要的數(shù)據(jù)保存下來供我們分析用。

【編輯推薦】

專題：Sniffer安全技術(shù)從入門到精通
Sniffer安全技術(shù)從入門到精通

網(wǎng)站欄目：實戰(zhàn):Sniffer捕獲城域網(wǎng)中異常數(shù)據(jù)(圖)
文章轉(zhuǎn)載：http://www.fisionsoft.com.cn/article/cddeihe.html

新聞中心

其他資訊