- 一次难忘的SNIFFER PRO解决酒店网络故障案例
我不知道该怎么用语言来描述SNIFFER这个软件强大功能的美妙,那我们还是老规矩从一次难忘的经历中开始本章节的介绍,前年我到成都出差住在公司旁边的马瑞卡商务酒店里,这家酒店的房间宽敞干净,最重要的是每个房间都提供了免费的宽带接口可以直接上网冲浪。我入住的那天很晚,进入房间后发现不能上网DHCP总是无法获取到自己的IP地址,由于实在很晚了我不忍心麻烦酒店的服务人员。第二天下午回来,我用电脑接入网络后发现还是无法获取IP地址上网,这次我很及时的请了酒店的IT维护人员来到我的房间帮我处理这个问题,一个年轻的小伙子一会来到我的房间,很显然他也无法成功的完成配置,通过交谈我知道酒店其实从昨天开始就一直有用户在不停的投诉他们的网络服务不可用了,突然我想到了或许我笔记本里的SNIFFER可以帮帮我,我马上启动了它,结果不出几秒钟我的SNIFFER就显示出了下面的界面。
通过显示截面我们可以很快发现,原来一个内部IP地址正在疯狂的向外部发包,我推断整个网络采用的是一个HUB方式的共享连接,很显然这个HUB已经被一个恶意的攻击者给完全搞瘫痪了,全部的精力都在帮它在转发这些垃圾数据。
利用自动分析统计的功能,我们很快找到了原始IP地址。
然后再继续分析发现原来垃圾数据采用的是ICMP方式的发包,很明显这是一个蠕虫病毒的“杰作”,“找到这台IP地址的主机拔掉它的网线就可以了”我回过头告诉那个年轻的IT管理员,他很显然对于这个软件的神奇作用惊讶不已,晚上的时候酒店特意送给了我一大盘水果作为感谢我的礼物,我一直吃到离开酒店那天也没吃完所有的美味水果。
- 利用SNIFFER来分析一次拒绝服务攻击事件
下面这个真实的案例是在一次东软安全培训课程中,有个参加培训的学员提供给我了他所遭受前后两次真实拒绝服务攻击的SNIFFER抓包记录。
第一次攻击数据包全部都是UDP结构的数据包,从分析来看攻击者构造的数据包结构都是统一的,应该是攻击软件的自动发送的。
在图表距阵分析中,可以快速定位出攻击者的来源IP地址,在本次攻击中攻击源主要来自两个IP地址。
看到原始攻击数据报的TTL数值来判断攻击者的IP地址是否为真实IP地址,方法就是利用TRACERT的方法从本地到目标进行一次路由追踪看看跳数是否吻合。
通过分析我们可以看出,SNIFFER在0.661秒的时间中共收到7587个数据包,平均大小有1069字节,基本已经达到了100M带宽的承受上限了。
利用进一步的分析功能可以显示出每个IP地址分别的攻击流量是多少。
同样的分析方法可以分析出第二次攻击者同时操纵了大量的主机来进行了一次典型的分布式拒绝服务攻击。
SNIFFER分析出在0.759秒的时间里,服务器收到了6375个数据包,平均大小为1279字节基本也达到了100M的带宽上限。在这两次的遭受攻击后的技术分析中我们发现如果没有SNIFFER这个工具软件,网络管理员所要面对的技术分析压力是非常大的甚至可以说是不可能的任务在这么短的时间里就要分析这么多的数据内容,幸好有了SNIFFER分析工具使得这一切变的轻松起来。
- 利用SNIFFER来分析一次网络广播风暴
继续为读者介绍另外一个案例,来自东软在用户现场实施一个安全服务的项目。一天早上用户反映网络速度突然大幅度减慢,全部厂区网络到INTERNET的速度基本陷入了瘫痪状态,用户用了一些交换设备的命令没有在网络设备上发现明显异常状况,于是我用SNIFFER接入到网络核心交换设备6509上进行抓包分析。在1秒多的时间中一共抓到了60383个IP包,经过进一步分析,我发现几乎所有的数据包都是来自两个MAC地址的,由于发送的目标MAC地址不在局域网中所以造成了网络设备的网络风暴。
由于找到发送的原始MAC地址,网络设备的管理员很快在6509上利用命令查看这两个MAC地址出自那个物理端口,很快就将问题定位在了西部厂区的一台交换机上,快速赶到现场后发现交换机上接入了两台没有登记过的HP服务器,将这两台服务器断网后很快网络就恢复了正常通信。
上图显示了利用SNIFFER快速找到发包MAC原始地址。