網(wǎng)絡(luò)流量分析沙龍總結(jié)、PPT、錄音下載+ 線上有獎跟帖

newbuding

wireshark網(wǎng)絡(luò)鯊魚經(jīng)常用，功能比較強(qiáng)，不過如果沒有圖形的話就tcpdump吧

redblood

用的比較多的是sniffer,IRIS.

mslk

wireshark.org

skyadmin

Linux下的免費Netflow解決方案
使用工具抓取數(shù)據(jù)包,然后以Netflow格式輸出,同時用工具收集.

大功告成！兩步：一、安裝NetFlowExporter，啟動Netflow流量生成；二、安裝flow-tools，收集Netflow，顯示收集內(nèi)容。


一、NetflowExporter是一個抓取網(wǎng)絡(luò)流量的咚咚，它模擬一個Cisco的網(wǎng)絡(luò)設(shè)備，把抓取的流量以Netflow的格式輸出到Netflow收集器。下載地址：http://sunsite.cc.ncu.edu.tw/dow ... r-0.1.25-1.i386.rpm
默認(rèn)安裝后，在/usr/bin下運行netflow，出現(xiàn)如下提示符：hostname::netflow> ，此系統(tǒng)支持"命令補(bǔ)全"，可使用Tab鍵進(jìn)行命令補(bǔ)全，？可以查看命令，類型Cisco設(shè)備的命令。首先設(shè)置監(jiān)聽網(wǎng)卡如：listen on eth0，然后設(shè)置輸出地址，如：ip flow-export destination 192.168.10.77（Netflow收集器地址） 7777（Netflow收集器監(jiān)聽的端口）；使用show configuration進(jìn)行確認(rèn)，確認(rèn)無誤后保存write。

二、安裝flow-tools（http://cng.ateneo.net/cng/wyu/software/flow-tools.php）

默認(rèn)安裝后，啟動flow-capture對NetflowExporter轉(zhuǎn)換的流量進(jìn)行收集，語法如下：flow-capture localip/remoteip/port，如：flow-capture -w /var/netflow （工作目錄）192.168.10.77/192.168.10.77/7777

使用flow-print 對收集到的文進(jìn)行顯示，語法如下：flow-print < filename 如：flow-print /var/netflow/2004/2004-11/2004-11-01/ft-v05.2004-11-01.151501+0800

skyadmin

2004年6月X日  17:40分                                                                                    www.netexpert.cn

故障地點：上海某某百貨局域網(wǎng)
故障現(xiàn)象：嚴(yán)重通訊障礙，客戶機(jī)之間ping包掉包嚴(yán)重，甚至POS機(jī)也不能正常通訊，用戶很難完成付款操作。
詳細(xì)描述：
        整個網(wǎng)絡(luò)間斷性出現(xiàn)網(wǎng)絡(luò)通訊中斷，造成經(jīng)常性的客戶機(jī)應(yīng)用延遲和上網(wǎng)緩慢。在主機(jī)房中進(jìn)行ping包測試時發(fā)現(xiàn)，主機(jī)房客戶機(jī)對主交換機(jī)的管理地址的ping包也會發(fā)生間隙性掉包。主機(jī)房客戶機(jī)對各個樓面交換機(jī)通訊的通訊中斷情況更加嚴(yán)重。

初步經(jīng)驗性問題判斷為：可能性1）ARP表更新問題
                                                    2）廣播故障
                                                        3）路由表更新故障
                            4）病毒攻擊及其他安全狀況
需要獲取的進(jìn)一步信息是，1) ARP表信息  2) 交換機(jī)負(fù)載  3) 通訊數(shù)據(jù)捕獲

進(jìn)行了簡單的ARP測試，發(fā)現(xiàn)更新ARP正常; 由于交換機(jī)反應(yīng)緩慢，操作超時，無法準(zhǔn)確獲得當(dāng)前負(fù)載數(shù)據(jù)。
選擇主交換上一網(wǎng)絡(luò)端口接入測試用筆記本，啟動協(xié)議分析工具。
接入端口沒有做鏡像，接入后發(fā)現(xiàn)每秒鐘接收到數(shù)據(jù)報文數(shù)量平均8000個，最高達(dá)到每秒14000個。按此推算，每臺交換機(jī)背板每秒可能交換336000多個封包，這可能是造成交換機(jī)處理器被嚴(yán)重占用，造成間歇性丟包的直接原因。

由于交換機(jī)端口沒有做鏡像，可以認(rèn)為當(dāng)前的接收到的數(shù)據(jù)主要為廣播通訊。利用協(xié)議分析工具捕獲解碼后，可以得到以下結(jié)果。

主要的協(xié)議通訊都是廣播通訊。包括ARP 廣播、SMB廣播和Name SVC廣播。

幾乎所有的封包大小都小于255字節(jié)。所以盡管封包數(shù)量很大，但是總體字節(jié)數(shù)不多，吞吐量較小，在一些只記錄流量的軟件系統(tǒng)中，不能準(zhǔn)確發(fā)現(xiàn)這個問題的危害。




從解碼角度察看，可以看到一段時間內(nèi)，主要為某一臺主機(jī)的瘋狂通訊。往往一臺主機(jī)的通訊在瞬間占據(jù)當(dāng)時總體通訊的50%以上。
到此，問題原因曾經(jīng)被導(dǎo)向到個別流量特別大的主機(jī)，懷疑其由于病毒/蠕蟲的侵害而造成大流量的產(chǎn)生。但是在進(jìn)一步分析的過程中，我們注意到了這些在通訊中有一個特點，例如在NetBIOS 的Name SVC廣播為UDP協(xié)議，UDP為IP之上封裝的通訊，在IP包頭包含了IP Identification信息(縮寫IPID)，一般每臺主機(jī)在主動發(fā)送一個數(shù)據(jù)包時，會對IPID這個值進(jìn)行遞增。例如第一個包IPID為10000，第二個發(fā)送包就可能是10001，第三是10002，依次類推，不同的主動發(fā)送的報文的IPID應(yīng)當(dāng)是不同的。但是在解碼中可以發(fā)現(xiàn)在一段時間內(nèi)，IPID是在大量簡單重復(fù)。換言之，這些大量的廣播報文，通常不應(yīng)當(dāng)是某臺主機(jī)主動引起，而是被交換機(jī)發(fā)復(fù)轉(zhuǎn)發(fā)造成。

在此情況下，為了正式這一現(xiàn)象，我們作了一次試驗，讓某臺主機(jī)以每三秒一次的頻率發(fā)送請求到一個不存在的地址（為了引起ARP廣播），但是每三秒一次的廣播，在網(wǎng)絡(luò)中捕獲的結(jié)果是在一秒鐘內(nèi)形成了7991次反復(fù)轉(zhuǎn)發(fā)，造成了大量的網(wǎng)絡(luò)流量。 經(jīng)過這些過程，我們確認(rèn)這一問題是由于交換機(jī)環(huán)路造成。

通常交換網(wǎng)絡(luò)中會打開Spanning Tree協(xié)議以保障不發(fā)生交換機(jī)環(huán)路的現(xiàn)象，如果不使用Spanning Tree Protocol (以下簡稱STP)，當(dāng)兩臺交換機(jī)發(fā)生同時被兩條線纜互聯(lián)時候，會形成環(huán)路，交換機(jī)無法自我偵測這一情況，其結(jié)果是把廣播報反復(fù)轉(zhuǎn)發(fā)。

如果啟用STP，各個交換機(jī)會發(fā)送優(yōu)先度很高的BPDU數(shù)據(jù)封包，進(jìn)行線路檢測，當(dāng)發(fā)現(xiàn)發(fā)送的BPDU包被不恰當(dāng)?shù)霓D(zhuǎn)發(fā)回來時候，交換機(jī)可以相互協(xié)商，關(guān)閉某一條環(huán)路路徑。保障任意兩個交換機(jī)中只有一條耦合鏈路。

問題確認(rèn)得到以后，我們試圖解決。

采用二分法，臨時斷開東樓和西樓的光纖鏈路。斷開后發(fā)現(xiàn)故障立即消除，所有超時現(xiàn)象不再出現(xiàn)，流量平復(fù)正常。 以此可以判斷，環(huán)路發(fā)生在西樓和東樓之間，或在老樓內(nèi)部。
恢復(fù)光纖鏈路之后，我們前往老樓進(jìn)一步查訪故障源。由于老樓交換機(jī)放置地點條件較差，經(jīng)過整理和分析，到18:45分左右，在老樓發(fā)現(xiàn)故障源也已經(jīng)消失。由于時間因素，進(jìn)一步的定位工作沒有繼續(xù)，但是由于已經(jīng)把問題縮小到老樓局部以及能夠定位了故障類型本身，對之后的維護(hù)保障工作應(yīng)當(dāng)有比較好的幫助。

結(jié)論
<< 涉及客戶信息，被省略vader@netexpert.cn >>

在診斷該故障同時，還發(fā)現(xiàn)有一些網(wǎng)絡(luò)掃描的現(xiàn)象，網(wǎng)內(nèi)還伴隨一些病毒和蠕蟲的征兆，因此網(wǎng)絡(luò)維護(hù)任重道遠(yuǎn)，仍然需要更多的努力和投入。
















www.netexpert.cn 保留版權(quán)
vader@netexpert.cn

galford433

在linux/unix下偶就裝了snort和tcpdump。
windows下sniffer還有國產(chǎn)的科來。
unix下的主要還是靠命令工具組合來分析，windows下的整合得比較強(qiáng)大，個人覺得科來很好用，各種協(xié)議分得很細(xì)，又是國貨
最近在玩弄無線攻防，aircrack-ng很強(qiáng)大，對應(yīng)的windows下comview也好用

ilovesecurity

wireshark、snifferpro、omnipeek(以前的etherpeek)、iris、packetyzer、科來都玩過，不過還是喜歡wireshark和snifferpro。netflow類的產(chǎn)品沒接觸過，希望有機(jī)會玩玩！

Johnson.Yao

Sniffer 比較多，常用來抓數(shù)據(jù)包分析

assassincl

沒有Ethereal呢，這是系統(tǒng)自帶的而且功能很強(qiáng)大的流量分析軟件。不需要復(fù)雜的配置，只要在參數(shù)里選擇要過濾的協(xié)議類型就可以了。
Win下一直用Sniffer，基于WinPcap，要Java支持。因交換機(jī)功能原因，不能監(jiān)控同一子網(wǎng)內(nèi)所有主機(jī)的流量。但對于內(nèi)網(wǎng)網(wǎng)絡(luò)攻擊還是可以很有效的檢測出來，去年曾經(jīng)用Sniffer成功抓出了局域網(wǎng)內(nèi)發(fā)ARP攻擊的主機(jī)。
這兩個軟件功能非常強(qiáng)大，只是自己才剛剛?cè)腴T，強(qiáng)大的功能有待開發(fā)。

assassincl

原帖由 newbuding 于 2008-6-13 19:47 發(fā)表
wireshark網(wǎng)絡(luò)鯊魚經(jīng)常用，功能比較強(qiáng)，不過如果沒有圖形的話就tcpdump吧

wireshark就是最新版的Ethereal吧？