1.安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet312 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。
2.配置网络路由。你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
3.开始抓包。抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包。
图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10322071的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。
4找出染毒主机。从抓包的情况看,主机10322071值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10322071的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机 *** 作系统打补丁杀病毒了。Wireshark是一个抓取网络数据包的工具,这对分析网络问题是很重要的,下文将会简单的介绍下如何使用Wireshark来抓包。 1、在如下链接下载“Wireshark”并在电脑上安装。 2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。 3、打开wireshark工具的标志是鲨鱼标志的图标,点开软件,选择某一网关之后可以自动抓包。
Wireshark 窗口介绍
如图所示,在filter中输入过滤条件可以过滤出符合条件的日志过程,这样特别适合看网络的几次握手过程,对于从整体上分析网络交互过程比较实用,可以方便的看出是在哪次网络交互的过程中出了问题。
可以用PC直连交换机那个口 等方法
1、PC直连交换机那个口
2、将该口镜像到交换机别的口,再PC连接
3、使用集线器
4、Wireshark(前称Ethereal)是一个网络封包分析软件。
5、网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
6、Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作,只是将场景移植到网络上,并将电线替换成网络线。
8、在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
9、Ethereal的出现改变了这一切,在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
10、Ethereal是全世界最广泛的网络封包分析软件之一。
11、网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题
12、开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)