西峰一中校园网规划与设计 - 图文

192.168.5.119，而目标地址则随机产生，目标端口都是445，且数据包的TCP标记位都将同步位置1，这说明192.168.5.119这台机器正在主动对网络中主机的TCP 445端口进行扫描攻击，原因可能是192.168.5.119主机感染病毒程序，或者是人为使用扫描软件进行攻击。

图6.2 192.168.2.119主机的数据包解码信息

找到问题的根源后，正准备对192.168.5.119主机进行隔离，这时因其它事情中断分析工作约10分钟左右。继续工作，隔离192.168.5.119主机的同时再次将启动科来网络分析系统5.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。分析捕获到的数据包，网络中又出现了3台与192.168.5.119相似情况的主机，且这些主机发起的同步连接数都大大超过192.168.5.119，图6.2所示的即是其中一台主机在约2.5分钟内的发起的连接数，其中同步连接达到了6431个。通过这个情况，我们可以肯定192.168.5.119和新发现的三台主机都是感染了病毒，且该病毒会主动扫描网络中其它主机是否打开TCP 445端口，如果某主机打开该端口，就攻击并感染这台主机。如此循

21

环，即引发了上述的网络故障。

图6.3 192.168.4.34主机的TCP连接信息

网管人员立即对新发现感染病毒的3台主机进行隔离，ping测试响应时间立刻变为1ms，网络通讯立刻恢复正常。在分析中，我们还发现，192.168.101.57主机占用的流量较大，其通讯数据包的源端和目的端都使用UDP 6020端口，且与192.168.101.57通信的地址227.1.2.7是一个组播IP地址，签于此，我们推测192.168.101.57可能在使用在线视频点播之类的应用，并因此对网络资源造成了一定程度的耗费，其通讯数据包如6.4所示。对于这种情况，网管人员也应对其进行检查，确定其合法性，以避免网络带宽被一些非关键业务所耗费。

22

图6.4 192.168.101.57主机的通讯数据包信息

在第一次和第二次捕获之间，相隔仅10分钟的时间，网络中就被新感染主机三台。由此我们可以想象，如果不使用网络检测分析软件捕获分析网络中传输的数据包，仅通过查看交换机的端口流量，或者使用单纯的流量软件，将很难找到问题的根源，这样网络中感染的主机会越来越多，最终将导致整个网络的全部瘫痪。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题。 Sniffer软件的主要功能有： （1）捕获网络流量进行详细分析 （2）利用专家分析系统诊断问题 （3）实时监控网络活动 （4）收集网络利用率和错误等 环境简介

这是一个对某网络系统中局域网部分的日常流量分析，我们在其局域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议TCP协议的网络流

23

量过滤出来加以分析。

1、找出产生网络流量最大的主机

我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。

我们利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序如图6.5

图6.5数据包排序图

2.下面是我们对部分主机的流量分析。首先我们对IP地址为219.246.124.62的主机产生的网络流量进行过滤，然后查看其网络流量的流向，图6.6是抓取FTP.lut.cn的FTP协议包

24