网络抓包分析工具(抓包工具分析及使用方法?)
抓包工具分析及使用方法?
包工具是一种软件,它拦截并查看网络数据包的内容。包捕获工具由于可以捕获数据通信过程中的所有lP包并逐层分析,一直是传统固网数据通信维护中坦克常用的故障排除工具。业界流行的抓包软件接口有很多,比如Wire shark、SnifferPro、Snoop、Tcpdump等,除了应用平台略有不同外,基本功能都差不多。
用法:
1.安装抓袋工具。
目的是用它来分析网络数据包的内容。不难找到免费或试用的抓包工具。Sniffer、wireshark、Expert都是目前比较流行的抓包工具。我用了一个叫SpyNet3.12的抓包工具,很小很快。安装完成后,我们有了一个抓袋主机。可以通过SpyNet设置包捕获的类型,比如是捕获IP包还是ARP包,还可以根据不同的目的地址设置更详细的过滤参数。
2.配置网络路由。
你的路由器有默认网关吗?如果有,指向哪里?病毒爆发时将默认网关指向另一台路由器是很危险的(除非你想瘫痪这台路由器)。在一些企业网络中,往往只指出网络中地址段的路由没有添加默认路由,那么就把默认路由指向包捕获主机(不下地狱谁下地狱?当然这个主机性能要好,不然很容易被病毒打死。这将允许那些病毒主机发送的大部分扫描自动送到门口。或者将网络出口映射到数据包捕获主机,所有外部网络数据包都会被分析。
3.开始抓包。
抓包主机已经设置好了,网络中的数据包也已经发出去了,那么我们来看看网络中传输的是什么。打开SpyNet并单击Capture。您会看到显示了大量数据。这些是捕获的数据包。
捕获数据包的主窗口显示捕获数据包的情况。列出了捕获数据包的序列号、时间、源和目的MAC地址、源和目的IP地址、协议类型、源和目的端口号。很容易看到IP地址为10.32.20.71的主机在很短的时间内向大量不同的主机发送了访问请求,目的端口都是445。
4.找出被感染的主机。
从抢包的情况来看,主机10.32.20.71存疑。首先,让我们看看目的IP地址。这些地址存在于我们的网络中吗?很可能网络中根本没有这样的网段。其次,正常情况下一个访问主机有可能在这么短的时间内发起这么多访问请求吗?毫秒级发送几十个甚至上百个连接请求正常吗?很明显,这个10.32.20.71主机肯定有问题。我们再来看看微软-DS协议,有一个拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样,我们可以很容易地找到被感染主机的IP地址。剩下的工作就是给主机操作系统打补丁杀毒。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。