|
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网络的调制解调器之间等。目前最常见的交换机在第三层(网络层),根据数据包目标地址进行转发,而不太采取集线器的广播方式,从理论上讲,通过交换设备对网络进行分段后,Sniffer 将无法透过边界而窥探另一边的数据包。所以,在多网段以太网环境下简单地放置一个嗅探器将不会起到什么作用。将嗅探器放置于被攻击主机(终端、服务器或者交换设备)或网络附近,这样将捕获到很多非正常数据包,可以用于寻找攻击源。还有一个比较好的方法就是放在网关上。Sniffer 设置在路由器,或有路由器功能的主机上,就能对大量的数据进行监控。
1.观察网络的运行
例如,在我们的主交换机上进行如下配置,提供一个镜像端口,对局域网数据通信进行监听:
port mirroring dst-ports et.10.14 src-ports gi.5.1并通过在镜像端口架设一台安装了Sniffer的主机,源源不断进行侦听局域网和网关的数据流,并且进行分析和记录。运行Sniffer 后,启用监视器的矩阵模式(Monitor - Matrix),并查看当前局域网IP 传输地图(Traffic Map),这样就可以对一段时间内的局域网内部和对外数据流进行图形化统计。
根据图1,我们可以对一段时间内的局域网内部和对外数据进行图形化统计。图1 直观地反映了在选择监视器的矩阵模式下,局域网目前激活的连接情况,以及分别以IP 地址、MAC地址及IPX 进行监听的实时传输地图。正常局域网连接状态是离散和不规律的,每一个连接的响应时间也是不一致。这说明目前网络通信的状态是正常稳定的,没有异常连接或者异常流量产生,局域网出口也比较畅通。
图1 局域网目前的连接情况
2.检查对网络的攻击
图2反映了局域网有异常主机发起攻击性连接的状态。可以看出,明显地在局域网有用户发送大量异常数据扫描远程主机,并且侵占了局域网出口带宽,造成局域网对外通信中断或者时断时续,外网进入的流量和进程几乎完全阻断。随后,我们切换至Outline 模式,读取这台主机的数据包类型及大小。
图2 异常主机发起攻击性连接的状态
在侦听到的2000 个点对点会话连接中,一台主机在十余秒时间内发起了999个连接请求,扫描互联网。随后,我们切换至Outline 模式,读取这台主机的数据包类型及大小。见图3。
图3 发现异常的主机
双击Host1进行按源地址排序,在侦听到的2000 个点对点会话连接中,一台主机在十余秒时间内发起了999 个连接线程,扫描互联网。直观的反映出这台主机在不停发送大小为132字节的数据,目的地址特征是随机生成的相连地址,远程主机几乎都没有回应。这时就可以明确知道造成局域网缓慢的原因,是由于这台主机蠕虫病毒发作,这一症状和感染冲击波及变种蠕虫一致。为了进一步确定异常流量和连接的特征,又用Sniffer的Capture功能进行了抓包,选择“停止并捕获”(Stop and Display),并将数据包进行解码分析,发现异常主机启动一个攻击传播线程,不断的随机生成攻击地址,尝试连接至其他主机的135端口(DCOM RPC漏洞),这些请求在传播过程中产生大量的数据包,使得网络路由器和交换机陷于瘫痪。
以上侦听和分析消耗时间不到半分钟,就已经找到局域网数千台主机之中一台造成网络拥塞的主机地址了。这种分析方式,远远优于交换机或者路由器所提供的数据分析统计功能,例如著名厂商的路由器统计的数据,就没有这种方式直观高效,也不能做到快速保存事件日志。
在实践过程中,我们还成功查获了多次局域网用户使用黑客软件攻击事件。当有局域网异常情况发生,在无法及时赶到现场分析判断故障时,我们首先采用Sniffer pro进行侦听。对于当时异常的连接和数据包进行记录,均能够及时发现攻击源和确定攻击方式,为快速有效排查网络故障起到了决定性作用。这种方法,也帮助我们成功发现了一种木马程序变种在局域网扩散传播的事件,并且提取了该木马程序的源文件及找到了清除的方法。
Sniffer 在解决局域网安全问题和规划网络设计、测试硬件和软件环境等方面还有很多应用。Sniffer 不仅能通过对流量的异常分析,发现并抓住病毒,它还可以用于寻找冲突的网络地址,确定网络变慢(重传)的原因,确定响应时间慢的原因,以及实时监控统计和报警,生成报表和图形日志,优化网络结构,分析设备和软件性能。对于Sniffer 的众多功能,还需要继续研究和实践,以适应在各种网络环境下的运行维护和安全管理的应用。
|
