網(wǎng)絡(luò)流量分析

網(wǎng)絡(luò)流量分析

ID:42656726

大?。?33.50 KB

頁數(shù):8頁

時(shí)間:2019-09-19

網(wǎng)絡(luò)流量分析_第1頁
網(wǎng)絡(luò)流量分析_第2頁
網(wǎng)絡(luò)流量分析_第3頁
網(wǎng)絡(luò)流量分析_第4頁
網(wǎng)絡(luò)流量分析_第5頁
資源描述:

《網(wǎng)絡(luò)流量分析》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。

1、以往關(guān)于入侵分析的文章都把注總力集中在可疑的數(shù)據(jù)包(TCP包或者保留的IP地址)上.但是弄清楚什么是正常的網(wǎng)絡(luò)數(shù)據(jù)流也是非常重要的.知道什么是正常數(shù)據(jù)流最好的辦法就是先產(chǎn)生一些正常的數(shù)據(jù)流,然后攔截?cái)?shù)據(jù)包進(jìn)行分析?在本文中,本人介紹一些截獲數(shù)據(jù)包的工具并對截獲數(shù)據(jù)進(jìn)行一些分析,順帶說一下非正常的數(shù)據(jù)流.學(xué)習(xí)本文的前提在于你己經(jīng)有TCP/IP的慕礎(chǔ).現(xiàn)在已經(jīng)冇了很多截獲數(shù)據(jù)包的工具,最冇名的是UNIXK的TCPDUMP和WINDOWS下面的WINDUMP.我在口己家98的機(jī)器上用過WINDUMP2.1,用CABLEMODEM±網(wǎng)攔截?cái)?shù)據(jù)包,不過需耍指出的是:未

2、經(jīng)授權(quán)而攔截?cái)?shù)據(jù)包時(shí)你可千萬要小心啊.WINDUMP基礎(chǔ)WINDUMP使用起來很簡單,在它的站點(diǎn)上你可以找到使用文件.我經(jīng)常用的命令是WINDUMP-N-S,或者WINDUMP-n-S-v或者WINDUMP-n-S-vv.-N是不顯示計(jì)算機(jī)名而直接顯示IP地址;-S是顯示TCP/IP的實(shí)際進(jìn)程數(shù),如果不選擇這個(gè)選項(xiàng),可能出現(xiàn)的就是近似值,比如:如果現(xiàn)在的進(jìn)程數(shù)是87334271,下一秒變成了多了一個(gè),就會(huì)顯示出來是87334272.-V和?VV是讓機(jī)器顯示更加全而的信息,顯示諸如存活時(shí)間/IP的ID等信息.在開始剖析例了Z前,我們先看一下WINDUMP記錄的

3、不同種類的數(shù)據(jù)包,這里有一個(gè)TCP的例了,13:45:19.184932sshserver.xx.yy.zz.22>mypc.xx.yy.zz.3164:P4138420250:4138420282(32)ack87334272win32120(DF)13:45:19.184932[timestamp]sshserver.xx.yy.zz.22[sourceaddressandport]>mypc.xx.yy.zz.3164:[destinationaddressandport]P[TCPflags]4138420250:4138420282[sequene

4、enumbers](32)[bytesofdata]ack87334272[acknowledgmentflagandnumber]win32120[windowsize](DF)[don'tfragmentflagisset]andthengivesthenumberofdatabytesinthepacket:下一個(gè)是UDP的例了,里面也是該有的全有了:時(shí)戳/數(shù)據(jù)源地址和端口/H的地地址和端口,故后還招供了使用的協(xié)議(UDP)和數(shù)據(jù)包里面的數(shù)據(jù)數(shù)15:19:14.490029208.148.96.68.23079>mypc.xx.yy.zz.6976:u

5、dp401ICMP包格式也是類似的,只是注意一下最后,出現(xiàn)了存活吋間和IP的ID,當(dāng)然,你要使用-V選項(xiàng)18:33:45.649204mypc.xx.yy.zz>64.208.34.100:iemp:echorequest(ttl4,id56693)最后,WINDUMP也抓獲ARP請求和回復(fù).我們來看看:第一行是ARP請求;在這個(gè)例子里,MYPC把MAC地址為24.167.235.1的機(jī)器信息發(fā)送MYPC.XX.YY.ZZ(MYPC的IP地址),第二行則顯示了ARP冋復(fù),包含著24.167.235.1這個(gè)MAC地址.13:45:13.836036arpwho

6、-has24.167.235.1tellmypc.xx.yy.zz13:45:13.841823arpreply24.167.235.1is-at0:xx:xx:xx:xx:xxUDP和ICMP例子上而我們己經(jīng)看過了WINDUMP的記錄格式,接下來我們看看數(shù)據(jù)包:MYPC使用DHCP來獲得IP地址,而DHCP租用是定時(shí)更新的,這個(gè)過程是從MYPC的68端口到DHCP機(jī)器的67端口,然后由DHCP服務(wù)器回送到MYPC18:47:02.667860mypc.xx.yy.zz.68>dnsserver.xx.yy.zz.67:xid:0x8d716e0fC:myp

7、c.xx.yy.zz[

8、bootp]18:47:03.509471dnsserver.xx.yy.zz.67>mypc.xx.yy.zz.6&xid:0x8d716e0fC:mypc.xx.yy.zzY:mypc.xx.yy.zz[

9、bootp]WINDUMP的一個(gè)好處就在于它可以口動(dòng)識(shí)別協(xié)議和記錄的其他信息,在這個(gè)例子里/也就識(shí)別出這是一個(gè)BOOTP,所以它不僅記錄了標(biāo)準(zhǔn)的UDPi己錄,而且記錄了BOOTP的特定信息:XID,C,Y.現(xiàn)在我們來看看?些ICMP數(shù)據(jù):?個(gè)例子就是你在98機(jī)器上使用TRACERT命令時(shí)出現(xiàn)的數(shù)據(jù)流‘WINDOWS使用ICMP來

10、識(shí)別系統(tǒng)Z間的跳(UNIX則使用UDP).WINDO

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。