(中職培訓(xùn)課件講義）11- Sniffer網(wǎng)絡(luò)嗅探器的使用

1、( (中職培訓(xùn)課件講義中職培訓(xùn)課件講義11- Sniffer11- Sniffer網(wǎng)絡(luò)嗅探器網(wǎng)絡(luò)嗅探器的使用的使用 Sniffer使用簡介 案例分析 鏡像端口配置 www和ftp效勞器的配置Sniffer嗅探器嗅探器 是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。正面因素：使用SNIFFER可以改變被動(dòng)的網(wǎng)絡(luò)管理為主動(dòng)，提高網(wǎng)絡(luò)的使用效率反面因素：利用SNIFFER可以發(fā)起網(wǎng)絡(luò)攻擊，竊取他人數(shù)據(jù)。這些數(shù)據(jù)可以是用戶的帳號(hào)和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等 比較典型的嗅探器有： Sniffer軟件、Ethereal 軟件。AdapterToolsPacket genBERTP

2、ingTrace RouteDNS LookupFingerMonitor ApplicationsDashboardARTHost TableMatrixHistory SamplesProtocol DistributionGlobal StatisticsDisplays DecodeMatrixHost TableProtocol DistExpertTriggerName DiscoveryAlarmsMonitor FiltersCapture FiltersDisplay FiltersProbe DirProfilesConfigsAddr BkDatabase Traces

3、Exported Data 配置鏡像的源端口monitor session 1 source interface fastEthernet 0/1 both 配置鏡像目標(biāo)端口monitor session 1 destination interface fastEthernet 0/2 要讓f0/2端口偵聽f0/1端口的所有數(shù)據(jù)，f0/2端口可以接裝有嗅探軟件的PC，如Sniffer、Ethereal工具。InternetF1/1F0/1 F0/2F1/0Siffer工具工具Sniffer 案例分析案例分析案例目的：了解Sniffer強(qiáng)大的多層次的分析網(wǎng)絡(luò)故障功能傳達(dá)網(wǎng)絡(luò)故障排除的根本思想主要

4、手段：利用Monitor加上網(wǎng)絡(luò)根本知識(shí)進(jìn)行故障分析效勞對象：一家大型建筑設(shè)計(jì)公司網(wǎng)絡(luò)建設(shè)時(shí)間：80年代網(wǎng)絡(luò)效勞器與工作站共800臺(tái)左右，其中UNIX效勞器數(shù)十臺(tái)，Macintosh效勞器和工作站150左右，其余為PC工作站協(xié)議類型：TCP/IP和APPLETALK 網(wǎng)絡(luò)結(jié)構(gòu) 800臺(tái)計(jì)算機(jī)分布在三十層大樓之中 骨干網(wǎng)技術(shù) 千兆網(wǎng)、 ATM 接入網(wǎng)絡(luò)設(shè)備 交換機(jī)、HUB 網(wǎng)絡(luò)速度變慢 PC機(jī)網(wǎng)絡(luò)時(shí)常中斷 MAC機(jī)無法接入網(wǎng)絡(luò) 網(wǎng)絡(luò)連接設(shè)備沒有任何故障 應(yīng)用程序沒有發(fā)現(xiàn)問題 長達(dá)半年之久Sniffer接在一個(gè)鏡像端口，經(jīng)過一段時(shí)間獲得了上面的數(shù)據(jù)：接在一個(gè)鏡像端口，經(jīng)過一段時(shí)間獲得了上面的數(shù)據(jù)：

5、Summary:開始捕獲時(shí)間：開始捕獲時(shí)間：2007年年6月月26日上午日上午11：25重要重要捕獲時(shí)間長度：近捕獲時(shí)間長度：近8分鐘分鐘 平均網(wǎng)絡(luò)利用率：平均網(wǎng)絡(luò)利用率：0 MAC計(jì)算機(jī)無法連網(wǎng)，那么我們定義一個(gè)過濾器，僅僅查看計(jì)算機(jī)無法連網(wǎng)，那么我們定義一個(gè)過濾器，僅僅查看Appletalk協(xié)議協(xié)議Appletalk本身沒有問題所以我們必須回到全局的觀點(diǎn)通常進(jìn)行網(wǎng)絡(luò)分析人員的常犯錯(cuò)誤是僅僅將目光局限在出問題的點(diǎn)上通常進(jìn)行網(wǎng)絡(luò)分析人員的常犯錯(cuò)誤是僅僅將目光局限在出問題的點(diǎn)上。 使用Packet Generator回放捕獲的數(shù)據(jù)，模擬當(dāng)時(shí)的網(wǎng)絡(luò)狀況63 Packets/S53 Broadcas

6、t/S說明播送太多利用利用Hosttable工具可以很容易發(fā)現(xiàn)工具可以很容易發(fā)現(xiàn)Broadcast和和Intel775435的活動(dòng)量很大的活動(dòng)量很大進(jìn)一步利用Matrix發(fā)現(xiàn)流量的大局部是Intel775435發(fā)的播送包利用利用Protocol Distribution工具發(fā)現(xiàn)網(wǎng)絡(luò)上的協(xié)議分布情況。工具發(fā)現(xiàn)網(wǎng)絡(luò)上的協(xié)議分布情況。在在MAC層以上存在的協(xié)議有：層以上存在的協(xié)議有：IP、IP-ARP、IPX、NETBEUI、ATALK、DECNET、OSI.IP-ARP竟然占用竟然占用59.71! 如果在剛剛上班時(shí)間如早上如果在剛剛上班時(shí)間如早上8點(diǎn)左右，該協(xié)議會(huì)占有較大比率可以理解點(diǎn)左右，該協(xié)議

7、會(huì)占有較大比率可以理解回憶數(shù)據(jù)包捕獲時(shí)間回憶數(shù)據(jù)包捕獲時(shí)間上午上午11：25。所以，可以初步認(rèn)為該處有問題。所以，可以初步認(rèn)為該處有問題。前文可知一個(gè)Intel775435的流量比較大，對其進(jìn)行隔離分析，查看播送內(nèi)容。定義過濾器 使用定義好的過濾器進(jìn)行抓包，然后進(jìn)行解碼分析。發(fā)現(xiàn)Intel正在連續(xù)不斷地在一端連續(xù)的IP地址上進(jìn)行ARP播送。時(shí)間間隔極短。產(chǎn)生CPU中斷Intel讓網(wǎng)絡(luò)上的計(jì)算機(jī)中斷、連續(xù)中斷。 一般沒有管理員將MAC地址登記，而是根據(jù)IP地址。通過解碼得到NTEL775435的IP為。通過登記表找到該計(jì)算機(jī)。 網(wǎng)絡(luò)參謀將該計(jì)算機(jī)的網(wǎng)線拔掉MAC機(jī)能夠上網(wǎng)了！現(xiàn)在模擬沒有INTE

8、L775435的情況。定義過濾器，排除該工作站。抓包，并將新的結(jié)果存成一個(gè)新文件，重放。 看起來目前網(wǎng)絡(luò)正常多了，看起來目前網(wǎng)絡(luò)正常多了，IP-ARP減少到了減少到了20%左右左右Hosttable和Matrix顯示正常。我們注意到Broadcast仍然占有相當(dāng)比率。我們發(fā)現(xiàn)很多臺(tái)工作站在發(fā)送ARP播送，為什么？通過分析數(shù)據(jù)包解碼和該公司人員的配合，我們發(fā)現(xiàn)該公司使用了一種業(yè)務(wù)程序，該程序在每一臺(tái)計(jì)算機(jī)都安裝了一個(gè)客戶端，該客戶端利用ARP完成完成該程序任務(wù)的局部功能。該程序是設(shè)計(jì)為10臺(tái)以內(nèi)的工作組共同運(yùn)行的，不適合該公司這樣的大規(guī)模使用。我們可以模擬一下該網(wǎng)絡(luò)沒有ARP當(dāng)然是近似情況時(shí)的情況。利用DATA PATTERN定義一個(gè)過濾器，排除ARP協(xié)議。抓包，產(chǎn)生結(jié)果，保存并回放。Baseline