免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: fanqiang

网络流量分析沙龙总结、PPT、录音下载+ 线上有奖跟帖 [复制链接]

论坛徽章:
0
发表于 2008-06-13 19:47 |显示全部楼层
wireshark网络鲨鱼经常用,功能比较强,不过如果没有图形的话就tcpdump吧

论坛徽章:
0
发表于 2008-06-13 21:15 |显示全部楼层
用的比较多的是sniffer,IRIS.

论坛徽章:
0
发表于 2008-06-13 23:25 |显示全部楼层

协议分析好工具

wireshark.org

论坛徽章:
0
发表于 2008-06-13 23:47 |显示全部楼层
Linux下的免费Netflow解决方案
使用工具抓取数据包,然后以Netflow格式输出,同时用工具收集.

大功告成!两步:一、安装NetFlowExporter,启动Netflow流量生成;二、安装flow-tools,收集Netflow,显示收集内容。


一、NetflowExporter是一个抓取网络流量的咚咚,它模拟一个Cisco的网络设备,把抓取的流量以Netflow的格式输出到Netflow收集器。下载地址:http://sunsite.cc.ncu.edu.tw/dow ... r-0.1.25-1.i386.rpm
默认安装后,在/usr/bin下运行netflow,出现如下提示符:hostname::netflow> ,此系统支持"命令补全",可使用Tab键进行命令补全,?可以查看命令,类型Cisco设备的命令。首先设置监听网卡如:listen on eth0,然后设置输出地址,如:ip flow-export destination 192.168.10.77(Netflow收集器地址) 7777(Netflow收集器监听的端口);使用show configuration进行确认,确认无误后保存write。

二、安装flow-tools(http://cng.ateneo.net/cng/wyu/software/flow-tools.php

默认安装后,启动flow-capture对NetflowExporter转换的流量进行收集,语法如下:flow-capture localip/remoteip/port,如:flow-capture -w /var/netflow (工作目录)192.168.10.77/192.168.10.77/7777

使用flow-print 对收集到的文进行显示,语法如下:flow-print < filename 如:flow-print /var/netflow/2004/2004-11/2004-11-01/ft-v05.2004-11-01.151501+0800

论坛徽章:
0
发表于 2008-06-13 23:51 |显示全部楼层
2004年6月X日  17:40分                                                                                    www.netexpert.cn

故障地点:上海某某百货局域网
故障现象:严重通讯障碍,客户机之间ping包掉包严重,甚至POS机也不能正常通讯,用户很难完成付款操作。
详细描述:
        整个网络间断性出现网络通讯中断,造成经常性的客户机应用延迟和上网缓慢。在主机房中进行ping包测试时发现,主机房客户机对主交换机的管理地址的ping包也会发生间隙性掉包。主机房客户机对各个楼面交换机通讯的通讯中断情况更加严重。

初步经验性问题判断为:可能性1)ARP表更新问题
                                                    2)广播故障
                                                        3)路由表更新故障
                            4)病毒攻击及其他安全状况
需要获取的进一步信息是,1) ARP表信息  2) 交换机负载  3) 通讯数据捕获

进行了简单的ARP测试,发现更新ARP正常; 由于交换机反应缓慢,操作超时,无法准确获得当前负载数据。
选择主交换上一网络端口接入测试用笔记本,启动协议分析工具。
接入端口没有做镜像,接入后发现每秒钟接收到数据报文数量平均8000个,最高达到每秒14000个。按此推算,每台交换机背板每秒可能交换336000多个封包,这可能是造成交换机处理器被严重占用,造成间歇性丢包的直接原因。

由于交换机端口没有做镜像,可以认为当前的接收到的数据主要为广播通讯。利用协议分析工具捕获解码后,可以得到以下结果。

主要的协议通讯都是广播通讯。包括ARP 广播、SMB广播和Name SVC广播。

几乎所有的封包大小都小于255字节。所以尽管封包数量很大,但是总体字节数不多,吞吐量较小,在一些只记录流量的软件系统中,不能准确发现这个问题的危害。




从解码角度察看,可以看到一段时间内,主要为某一台主机的疯狂通讯。往往一台主机的通讯在瞬间占据当时总体通讯的50%以上。
到此,问题原因曾经被导向到个别流量特别大的主机,怀疑其由于病毒/蠕虫的侵害而造成大流量的产生。但是在进一步分析的过程中,我们注意到了这些在通讯中有一个特点,例如在NetBIOS 的Name SVC广播为UDP协议,UDP为IP之上封装的通讯,在IP包头包含了IP Identification信息(缩写IPID),一般每台主机在主动发送一个数据包时,会对IPID这个值进行递增。例如第一个包IPID为10000,第二个发送包就可能是10001,第三是10002,依次类推,不同的主动发送的报文的IPID应当是不同的。但是在解码中可以发现在一段时间内,IPID是在大量简单重复。换言之,这些大量的广播报文,通常不应当是某台主机主动引起,而是被交换机发复转发造成。

在此情况下,为了正式这一现象,我们作了一次试验,让某台主机以每三秒一次的频率发送请求到一个不存在的地址(为了引起ARP广播),但是每三秒一次的广播,在网络中捕获的结果是在一秒钟内形成了7991次反复转发,造成了大量的网络流量。 经过这些过程,我们确认这一问题是由于交换机环路造成。

通常交换网络中会打开Spanning Tree协议以保障不发生交换机环路的现象,如果不使用Spanning Tree Protocol (以下简称STP),当两台交换机发生同时被两条线缆互联时候,会形成环路,交换机无法自我侦测这一情况,其结果是把广播报反复转发。

如果启用STP,各个交换机会发送优先度很高的BPDU数据封包,进行线路检测,当发现发送的BPDU包被不恰当的转发回来时候,交换机可以相互协商,关闭某一条环路路径。保障任意两个交换机中只有一条耦合链路。

问题确认得到以后,我们试图解决。

采用二分法,临时断开东楼和西楼的光纤链路。断开后发现故障立即消除,所有超时现象不再出现,流量平复正常。 以此可以判断,环路发生在西楼和东楼之间,或在老楼内部。
恢复光纤链路之后,我们前往老楼进一步查访故障源。由于老楼交换机放置地点条件较差,经过整理和分析,到18:45分左右,在老楼发现故障源也已经消失。由于时间因素,进一步的定位工作没有继续,但是由于已经把问题缩小到老楼局部以及能够定位了故障类型本身,对之后的维护保障工作应当有比较好的帮助。

结论
<< 涉及客户信息,被省略vader@netexpert.cn >>

在诊断该故障同时,还发现有一些网络扫描的现象,网内还伴随一些病毒和蠕虫的征兆,因此网络维护任重道远,仍然需要更多的努力和投入。
















www.netexpert.cn 保留版权
vader@netexpert.cn

论坛徽章:
0
发表于 2008-06-14 00:23 |显示全部楼层
在linux/unix下偶就装了snort和tcpdump。
windows下sniffer还有国产的科来。
unix下的主要还是靠命令工具组合来分析,windows下的整合得比较强大,个人觉得科来很好用,各种协议分得很细,又是国货
最近在玩弄无线攻防,aircrack-ng很强大,对应的windows下comview也好用

论坛徽章:
0
发表于 2008-06-14 12:48 |显示全部楼层
wireshark、snifferpro、omnipeek(以前的etherpeek)、iris、packetyzer、科来都玩过,不过还是喜欢wireshark和snifferpro。netflow类的产品没接触过,希望有机会玩玩!

论坛徽章:
0
发表于 2008-06-14 13:29 |显示全部楼层
Sniffer 比較多,常用來抓數據包分析

论坛徽章:
0
发表于 2008-06-14 16:53 |显示全部楼层
没有Ethereal呢,这是系统自带的而且功能很强大的流量分析软件。不需要复杂的配置,只要在参数里选择要过滤的协议类型就可以了。
Win下一直用Sniffer,基于WinPcap,要Java支持。因交换机功能原因,不能监控同一子网内所有主机的流量。但对于内网网络攻击还是可以很有效的检测出来,去年曾经用Sniffer成功抓出了局域网内发ARP攻击的主机。
这两个软件功能非常强大,只是自己才刚刚入门,强大的功能有待开发。

论坛徽章:
0
发表于 2008-06-14 16:59 |显示全部楼层
原帖由 newbuding 于 2008-6-13 19:47 发表
wireshark网络鲨鱼经常用,功能比较强,不过如果没有图形的话就tcpdump吧

wireshark就是最新版的Ethereal吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP