蠕虫病毒流量分析

garnett_wu · 发表于 2007-2-17 17:05:29

这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析：找出产生网络流量最大的主机第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重；

我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序，

结果如图1

[ 本帖最后由 garnett_wu 于 2007-2-17 17:13 编辑 ]

garnett_wu · 发表于 2007-2-17 17:09:30

从图1中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。

通过Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过Host Table来发现；

如排在发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；

这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的

应用，UDP这种非连接的协议有可能。

garnett_wu · 发表于 2007-2-17 17:09:53

同样，我们可以发现，如下IP地址存在同样的问题：

IP地址	发包数量	收包数量
22.96.76.155	300	0
21.202.96.250	243	30
21.211.36.252	221	0
22.57.1.119	189	0
22.11.134.72	147	0
21.199.151.90	129	4
22.1.224.202	109	13
21.204.80.42	109	0

这样的主机还有很多。

garnett_wu · 发表于 2007-2-17 17:10:16

下面是我们对部分主机的流量分析。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤；

然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标：

如图2

garnett_wu · 发表于 2007-2-17 17:10:42

蠕虫病毒流量分析

如图3

garnett_wu · 发表于 2007-2-17 17:11:15

通过Sniffer的解码（Decode）功能，我们来了解这台主机向外发出的数据包的内容；

如图4

garnett_wu · 发表于 2007-2-17 17:11:50

从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包，SYN包是主机要发起TCP连接时发出的数据包，

也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，

这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，

应该不是人为发出的。

通过以上的分析，我们能够非常肯定的断定，IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。

该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP服务器，从而进行传播。

garnett_wu · 发表于 2007-2-17 17:12:26

我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。

如图5

garnett_wu · 发表于 2007-2-17 17:12:52

如图6

从图5和图6中我们可以清楚的看到，IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求，寻找HTTP服务器，

在发现HTTP服务器并与之建立连接后，紧接着就试图利用IIS的漏洞将病毒传播到目标主机。

正式由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，

并导致业务应用的无法正常运行，给用户带来很大损失。

采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。

boloveqin · 发表于 2007-3-3 13:31:16

这个检测是不是要把IP设置成公网的IP 再检测啊

我在局域网随便一台机器能不能做这样的检测
还有我的里面怎么没有Sniffer的Host Table功能和Sniffer的解码（Decode）功能这两个功能？

zyf821230 · 发表于 2007-5-1 16:02:00

嗨
你在吗？
我看了你写的文章很实用

rockson_pan · 发表于 2007-5-9 15:07:10

我的里面怎么没有Sniffer的Host Table功能和Sniffer的解码（Decode）功能这两个功能？
是不是版本不一样啊.

cwym29 · 发表于 2007-5-9 15:15:07

怎么可能，这两个功能在很低的版本就有的，楼主是不是没有找到，请在开始捕获以后再找吧。
Sniffer的使用就是麻烦，我还是倾向于用科来。

2007shuoshuo · 发表于 2007-5-11 15:42:27

为什么我每次打开Sniffer时,都会有错误提示,,,

1001 · 发表于 2007-5-15 01:00:20

支持!!学习!!支持!!学习!!

SCAN · 发表于 2007-5-15 14:00:22

顶。。。。。学习学习。

nhao · 发表于 2007-6-13 10:21:03

用这个东东,网络有关的基础非常重要啊.比如协议.这方面的资料多些就好了.老大有解码方面的些资料没有?

dky198 · 发表于 2007-6-20 11:54:22

从一个典型的蠕虫病毒又学习到了一些

artmike007 · 发表于 2007-6-24 00:17:48

我几表喜欢SNIFFER PRO

yuanye002 · 发表于 2007-6-29 00:32:52

呵呵，说的很详细啊
深有收获
谢谢

weiweibanny · 发表于 2007-7-4 17:22:17

QQ可以上,证明没断网.但是网络数据包发出是0,接收是正常的,有数据进入.这是怎么回事?还是头一次见,以前那些都是发出数据,收不到数据.那是上不了网.
这次就奇怪了.两种情况倒过来

heli0101 · 发表于 2007-7-6 00:16:06

顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶

v313376448 · 发表于 2007-7-23 12:26:27

不太懂，慢慢体会~~~~~~~~~~~

zefa · 发表于 2008-4-18 17:12:52

:) :) :) :)

dennislou · 发表于 2008-6-24 17:52:11

不断学习中！。。。。。。

red_lee · 发表于 2008-6-25 15:24:38

长知识！！！

hjhxh21 · 发表于 2008-10-8 09:32:32

学以至用
真的太感谢

ghost2 · 发表于 2008-10-10 16:22:36

有没有分析arp的贴子呀

dragonvein · 发表于 2009-4-29 21:10:12

又学习到了一些

龙吟 · 发表于 2009-5-26 08:53:44

楼主的这个教程真精彩，支持你一个。

蠕虫病毒流量分析

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 #8 garnett_wu 的帖子

Sniffer的解码

我的网络数据有点奇怪啊

学习```

e

浏览过的版块