Sniffer 网络分析案例及方法集
Network General
目录
1. 蠕虫病毒流量分析 .......................................................................................................1
1.1. 环境简介 .............................................................................................................1
1.2. 找出产生网络流量最大的主机 .............................................................................1
1.3. 分析这些主机的网络流量 ....................................................................................3
2. DOS攻击流量分析.......................................................................................................7
2.1. 环境及现象简介...................................................................................................7
2.2. 找出产生网络流量最大的主机 .............................................................................8
2.3. 分析这台主机的网络流量 ..................................................................................10
3. 路由环流量分析......................................................................................................... 11
3.1. 环境简介 ........................................................................................................... 11
3.2. 找出产生网络流量最大的主机 ...........................................................................13
3.3. 分析这台主机的网络流量 ..................................................................................13
Sniffer 网络分析案例集
1. 蠕虫病毒流量分析
1.1. 环境简介
这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上
采用 Sniffer 进行流量捕获,并把产生流量最多的协议 HTTP 协议的网络流量过滤
出来加以分析,分析过程及结果如下。
1.2. 找出产生网络流量最大的主机
我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网
络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的
那些计算机。
我们利用 Sniffer 的 Host Table 功能,将所有计算机按照发出数据包的包数多
少进行排序,结果如下图。
(86)1065391267 第 1 页
Sniffer 网络分析案例集
图 6
从图 6 中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列
表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。
通过 Host Table,我们可以分析每台计算机的流量情况,有些异常的网络流量我们
可以直接通过 Host Table 来发现,如排在发包数量前列的 IP 地址为 22.163.0.9 的
主机,其从网络收到的数据包数是 0,但其向网络发出的数据包是 445 个,这对
HTTP 协议来说显然是不正常的,HTTP 协议是基于 TCP 的协议,是有连接的,
不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP 这种
非连接的协议有可能。
同样,我们可以发现,如下 IP 地址存在同样的问题:
IP 地址 发包数量 收包数量
(86)1065391267 第 2 页
Sniffer 网络分析案例集
22.96.76.155 300 0
21.202.96.250 243 30
21.211.36.252 221 0
22.57.1.119 189 0
22.11.134.72 147 0
21.199.151.90 129 4
22.1.224.202 109 13
21.204.80.42 109 0
这样的主机还有很多。
1.3. 分析这些主机的网络流量
下面是我们对部分主机的流量分析。首先我们对 IP 地址为 22.163.0.9 的主机
产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用 Sniffer 的
Matrix 看到的其发包目标。
图 8
(86)1065391267 第 3 页