登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
蠕虫病毒流量分析
返回列表
发帖
查看:
3219
|
回复:
14
蠕虫病毒流量分析
[复制链接]
dbl100
dbl100
当前离线
积分
2
发表于 2007-4-12 11:55:41
|
显示全部楼层
|
阅读模式
这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析:找出产生网络流量最大的主机第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。利用Sniffer的Host Table功能,将所有计算机按照发出数据包的包数多少进行排序,结果如图1
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
评分
1
查看全部评分
菜鸟人飞
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 11:56:28
|
显示全部楼层
从图1中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。
通过Host Table,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过Host Table来发现;
如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个;
这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的
应用,UDP这种非连接的协议有可能。
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 11:56:49
|
显示全部楼层
同样,我们可以发现,如下IP地址存在同样的问题:
IP
地址
发包数量
收包数量
22.96.76.155
300
0
21.202.96.250
243
30
21.211.36.252
221
0
22.57.1.119
189
0
22.11.134.72
147
0
21.199.151.90
129
4
22.1.224.202
109
13
21.204.80.42
109
0
这样的主机还有很多。
[
本帖最后由 dbl100 于 2007-4-12 11:58 编辑
]
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 11:58:40
|
显示全部楼层
下面是我们对部分主机的流量分析。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤;
然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标:
如图2
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 11:59:55
|
显示全部楼层
蠕虫病毒流量分析,如图3,我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 12:00:34
|
显示全部楼层
通过Sniffer的解码(Decode)功能,我们来了解这台主机向外发出的数据包的内容,如图4
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 12:01:17
|
显示全部楼层
从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,
也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,
这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,
应该不是人为发出的。
通过以上的分析,我们能够非常肯定的断定,IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。
该主机发出的网络流量是某种软件自动发出的,很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP服务器,从而进行传播。
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 12:02:59
|
显示全部楼层
我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量,就能清楚的看到感染病毒的计算机的网络行为轨迹。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 12:04:16
|
显示全部楼层
图6.
看看吧
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
dbl100
dbl100
当前离线
积分
2
楼主
|
发表于 2007-4-12 12:04:41
|
显示全部楼层
从图5和图6中我们可以清楚的看到,IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求,寻找HTTP服务器,
在发现HTTP服务器并与之建立连接后,紧接着就试图利用IIS的漏洞将病毒传播到目标主机。
正式由于大量感染病毒的计算机不断向网络中发送数据包,而且是小数据包,使网络的效率非常低,大大影响网络的性能,
并导致业务应用的无法正常运行,给用户带来很大损失。
采用协议分析的方法,能非常直观且快速的发现这些计算机,帮助网络管理人员快速确定并解决问题。
回复
使用道具
举报
tyh2000
tyh2000
当前离线
积分
3
发表于 2007-4-12 12:16:47
|
显示全部楼层
回复 #8 dbl100 的帖子
楼主,
贴子没有跟完吧。?
回复
使用道具
举报
xiaoshazi
xiaoshazi
当前离线
积分
3
发表于 2008-12-22 22:48:38
|
显示全部楼层
这个帖子非常的有启发,感谢
回复
使用道具
举报
454004448
454004448
当前离线
积分
0
发表于 2009-2-15 15:17:19
|
显示全部楼层
非常非常的不错,很好的一个实际案例。
回复
使用道具
举报
ly007email
ly007email
当前离线
积分
0
发表于 2009-2-17 09:34:49
|
显示全部楼层
顶一下呀。好人好梦。!
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2007-4-12 11:55:41