【网络安全】sniffer案例集锦VIP免费

下载本文档

阅读 79
下载 26
格式 docx
大小 1.59 MB
约20页
2024-11-04 发布于河南
收藏
评论
点赞(0)
海报
举报

/20

下载本文档

Sniffer网络分析案例及方法集NetworkGeneral目录1.蠕虫病毒流量分析.........................................................................................................11.1.环境简介...............................................................................................................11.2.找出产生网络流量最大的主机...............................................................................11.3.分析这些主机的网络流量......................................................................................32.DOS攻击流量分析........................................................................................................72.1.环境及现象简介....................................................................................................72.2.找出产生网络流量最大的主机...............................................................................82.3.分析这台主机的网络流量....................................................................................103.路由环流量分析...........................................................................................................113.1.环境简介.............................................................................................................113.2.找出产生网络流量最大的主机.............................................................................133.3.分析这台主机的网络流量....................................................................................134...........................................................................................................................................181.蠕虫病毒流量分析1.1.环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。1.2.找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过HostTable，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过HostTable来发现，如排在发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。同样，我们可以发现，如下IP地址存在同样的问题：IP地址发包数量收包数量22.96.76.155300021.202.96.2502433021.211.36.252221022.57.1.119189022.11.134.72147021.199.151.90129422.1.224.2021091321.204.80.421090这样的主机还有很多。1.3.分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标。图8图9我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发两个数据包。通过Sniffer的解码（Decode）功能，我们来了解这台主机向外发出的数据包的内容，如图。图10从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包，SYN包是主机要发起TCP连接时发出的数据包，也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任...

1、当您付费下载文档后，您只拥有了使用权限，并不意味着购买了版权，文档只能用于自身使用，不得用于其他商业用途（如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利）。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。
3、如文档内容存在违规，或者侵犯商业秘密、侵犯著作权等，请点击“违规举报”。

碎片内容