网络通信 频道

用Sniffer进行蠕虫病毒流量分析

1.环境简介
  这是一个对某网络系统中广域网部分的日常流量分析,我们在其广域网链路上采用Sniffer进行流量捕获,并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析,分析过程及结果如下。
2.找出产生网络流量最大的主机
  我们分析的第一步,找出产生网络流量最大的主机,产生网络流量越大,对网络造成的影响越重,我们一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。
  我们利用Sniffer的Host Table功能,将所有计算机按照发出数据包的包数多少进行排序,结果如下图。

Sniffer

  从上图中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表,我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过Host Table,我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过Host Table来发现,如排在发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。
同样,我们可以发现,如下IP地址存在同样的问题:

IP 地址

发包数量

收包数量

22.96.76.155

300

0

21.202.96.250

243

30

21.211.36.252

221

0

22.57.1.119

189

0

22.11.134.72

147

0

21.199.151.90

129

4

22.1.224.202

109

13

21.204.80.42

109

0


这样的主机还有很多。

分析这些主机的网络流量
  下面是我们对部分主机的流量分析。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤,然后查看其网络流量的流向,下面是用Sniffer的Matrix看到的其发包目标。

Sniffer

sniffer

我们可以看到,其发包的目标地址非常多,非常分散,且对每个目标地址只发两个数据包。
通过Sniffer的解码(Decode)功能,我们来了解这台主机向外发出的数据包的内容,如图。

sniffer

  从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起TCP连接时发出的数据包,也就是IP地址为22.163.0.9的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。
  通过以上的分析,我们能够非常肯定的断定,IP地址为22.163.0.9的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的,很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP服务器,从而进行传播。
  我们在来分析一下IP地址为22.1.224.202的主机产生的网络流量,就能清楚的看到感染病毒的计算机的网络行为轨迹。

sniffer

sniffer

  从上面两张图中我们可以清楚的看到,IP地址为22.1.224.202的主机先向网络中不断发出HTTP请求,寻找HTTP服务器,在发现HTTP服务器并与之建立连接后,紧接着就试图利用IIS的漏洞将病毒传播到目标主机。
  正式由于大量感染病毒的计算机不断向网络中发送数据包,而且是小数据包,使网络的效率非常低,大大影响网络的性能,并导致业务应用的无法正常运行,给用户带来很大损失。采用协议分析的方法,能非常直观且快速的发现这些计算机,帮助网络管理人员快速确定并解决问题。

 

文章转载地址:http://www.cnpaf.net/Class/SNIFFER/0512141200595663980.htm

0
相关文章