(中職培訓課件講義）11- Sniffer網絡嗅探器的使用

1、( (中職培訓課件講義中職培訓課件講義11- Sniffer11- Sniffer網絡嗅探器網絡嗅探器的使用的使用 Sniffer使用簡介 案例分析 鏡像端口配置 www和ftp效勞器的配置Sniffer嗅探器嗅探器 是利用計算機的網絡接口截獲目的地為其他計算機的數(shù)據報文的一種工具。正面因素：使用SNIFFER可以改變被動的網絡管理為主動，提高網絡的使用效率反面因素：利用SNIFFER可以發(fā)起網絡攻擊，竊取他人數(shù)據。這些數(shù)據可以是用戶的帳號和密碼，可以是一些商用機密數(shù)據等等 比較典型的嗅探器有： Sniffer軟件、Ethereal 軟件。AdapterToolsPacket genBERTP

2、ingTrace RouteDNS LookupFingerMonitor ApplicationsDashboardARTHost TableMatrixHistory SamplesProtocol DistributionGlobal StatisticsDisplays DecodeMatrixHost TableProtocol DistExpertTriggerName DiscoveryAlarmsMonitor FiltersCapture FiltersDisplay FiltersProbe DirProfilesConfigsAddr BkDatabase Traces

3、Exported Data 配置鏡像的源端口monitor session 1 source interface fastEthernet 0/1 both 配置鏡像目標端口monitor session 1 destination interface fastEthernet 0/2 要讓f0/2端口偵聽f0/1端口的所有數(shù)據，f0/2端口可以接裝有嗅探軟件的PC，如Sniffer、Ethereal工具。InternetF1/1F0/1 F0/2F1/0Siffer工具工具Sniffer 案例分析案例分析案例目的：了解Sniffer強大的多層次的分析網絡故障功能傳達網絡故障排除的根本思想主要

4、手段：利用Monitor加上網絡根本知識進行故障分析效勞對象：一家大型建筑設計公司網絡建設時間：80年代網絡效勞器與工作站共800臺左右，其中UNIX效勞器數(shù)十臺，Macintosh效勞器和工作站150左右，其余為PC工作站協(xié)議類型：TCP/IP和APPLETALK 網絡結構 800臺計算機分布在三十層大樓之中 骨干網技術 千兆網、 ATM 接入網絡設備 交換機、HUB 網絡速度變慢 PC機網絡時常中斷 MAC機無法接入網絡 網絡連接設備沒有任何故障 應用程序沒有發(fā)現(xiàn)問題 長達半年之久Sniffer接在一個鏡像端口，經過一段時間獲得了上面的數(shù)據：接在一個鏡像端口，經過一段時間獲得了上面的數(shù)據：

5、Summary:開始捕獲時間：開始捕獲時間：2007年年6月月26日上午日上午11：25重要重要捕獲時間長度：近捕獲時間長度：近8分鐘分鐘 平均網絡利用率：平均網絡利用率：0 MAC計算機無法連網，那么我們定義一個過濾器，僅僅查看計算機無法連網，那么我們定義一個過濾器，僅僅查看Appletalk協(xié)議協(xié)議Appletalk本身沒有問題所以我們必須回到全局的觀點通常進行網絡分析人員的常犯錯誤是僅僅將目光局限在出問題的點上通常進行網絡分析人員的常犯錯誤是僅僅將目光局限在出問題的點上。 使用Packet Generator回放捕獲的數(shù)據，模擬當時的網絡狀況63 Packets/S53 Broadcas

6、t/S說明播送太多利用利用Hosttable工具可以很容易發(fā)現(xiàn)工具可以很容易發(fā)現(xiàn)Broadcast和和Intel775435的活動量很大的活動量很大進一步利用Matrix發(fā)現(xiàn)流量的大局部是Intel775435發(fā)的播送包利用利用Protocol Distribution工具發(fā)現(xiàn)網絡上的協(xié)議分布情況。工具發(fā)現(xiàn)網絡上的協(xié)議分布情況。在在MAC層以上存在的協(xié)議有：層以上存在的協(xié)議有：IP、IP-ARP、IPX、NETBEUI、ATALK、DECNET、OSI.IP-ARP竟然占用竟然占用59.71! 如果在剛剛上班時間如早上如果在剛剛上班時間如早上8點左右，該協(xié)議會占有較大比率可以理解點左右，該協(xié)議

7、會占有較大比率可以理解回憶數(shù)據包捕獲時間回憶數(shù)據包捕獲時間上午上午11：25。所以，可以初步認為該處有問題。所以，可以初步認為該處有問題。前文可知一個Intel775435的流量比較大，對其進行隔離分析，查看播送內容。定義過濾器 使用定義好的過濾器進行抓包，然后進行解碼分析。發(fā)現(xiàn)Intel正在連續(xù)不斷地在一端連續(xù)的IP地址上進行ARP播送。時間間隔極短。產生CPU中斷Intel讓網絡上的計算機中斷、連續(xù)中斷。 一般沒有管理員將MAC地址登記，而是根據IP地址。通過解碼得到NTEL775435的IP為。通過登記表找到該計算機。 網絡參謀將該計算機的網線拔掉MAC機能夠上網了！現(xiàn)在模擬沒有INTE

8、L775435的情況。定義過濾器，排除該工作站。抓包，并將新的結果存成一個新文件，重放。 看起來目前網絡正常多了，看起來目前網絡正常多了，IP-ARP減少到了減少到了20%左右左右Hosttable和Matrix顯示正常。我們注意到Broadcast仍然占有相當比率。我們發(fā)現(xiàn)很多臺工作站在發(fā)送ARP播送，為什么？通過分析數(shù)據包解碼和該公司人員的配合，我們發(fā)現(xiàn)該公司使用了一種業(yè)務程序，該程序在每一臺計算機都安裝了一個客戶端，該客戶端利用ARP完成完成該程序任務的局部功能。該程序是設計為10臺以內的工作組共同運行的，不適合該公司這樣的大規(guī)模使用。我們可以模擬一下該網絡沒有ARP當然是近似情況時的情況。利用DATA PATTERN定義一個過濾器，排除ARP協(xié)議。抓包，產生結果，保存并回放。Baseline