Sniffer pro是一款功能強大的網絡分析工具,可以用於發現漏洞、病毒、等異常數據,也可以生成網絡基準線,提供網絡質量趨勢分析數據,還可以用於故障快速定位,我在工作中經常用到,在此把使用中的體會寫出來,希望對其他使用者能有一點用處。
![]()
![]()
![]()
![]()
下面你在DECODE窗口裏使用這個過濾器,如果你沒過濾到任何數據,恭喜,你捕獲的數據裏沒有這個病毒,你可以安心了;如過你過濾到了數據,也恭喜,你有成績了,然後根據過濾到的數據源IP、MAC等信息找到用戶,進行相應的處理,避免病毒的擴散。
![]()
![]()
![]()
用過濾器過濾出我們關心的數據
因爲我們捕獲數據時並不知道異常數據是那一種,所以我們在捕獲是用的過濾器(filter)必須是默認的any<->any,也就是說把所有經過的數據全部捕獲,建議捕獲用PC內存要大,最少256M,將filter的buffer定義爲32M。(因爲捕獲點多爲社區機房上行端口的鏡象,數據較大,爲保證捕獲數據量,建議將buffer定義大些較好,)
定義完成後開始捕獲,當buffer滿後停止捕獲,進入分析窗口,我們進入decode窗口看看:
定義完成後開始捕獲,當buffer滿後停止捕獲,進入分析窗口,我們進入decode窗口看看:
在這裏我們可以看到很多的數據,爲了快速分析,我們就要用到另一種過濾器(display filter),選取display->selete filter,可以看到下圖:
我這裏已經定義了一些過濾器,定義方法後面再進行演示,這裏先看用法,選擇一個過濾器,如ARP,將把這個數據包裏所有的ARP協議數據包過濾出來,
相映的用其他的過濾器可以過濾出我們關心的數據,提高我們的分析效率。過濾出來的數據就相對較少且較爲一致,便於我們分析。
下面介紹一下過濾器的定義方法,選擇display->define filter:
下面介紹一下過濾器的定義方法,選擇display->define filter:
1、 按地址過濾:又分爲叄種,很簡單,看看就明白了:
2、 數據過濾:這個是比較高級的,主要功能是對數據包按特徵碼過濾,使用的前提是對某種數據的特徵碼很清楚,目前自定義還比較難,有興趣的同志可以研究看看。
3、 高級過濾:其實就是用協議過濾,看看就明白了
2、 數據過濾:這個是比較高級的,主要功能是對數據包按特徵碼過濾,使用的前提是對某種數據的特徵碼很清楚,目前自定義還比較難,有興趣的同志可以研究看看。
3、 高級過濾:其實就是用協議過濾,看看就明白了
如何應用過濾器?
其實過濾器除了自己定義外還可以導入已經定義好的,首先,我們可以去NG公司的網站去下載Sniffer過濾器,需要說明的是Sniffer的病毒過濾器的名稱定義是來自McAfee的定義,與其它防病毒廠商尤其是國內的防病毒廠商的病毒名稱定義是有一些差異的。
下載到過濾器,我們就可以把該過濾器導入到Sniffer裏去了。解壓開下載到的過濾器文件,你會看到許多文件,我們以Mydoom病毒過濾器文件舉例說明:Importing Filter.rtf(導入過濾器說明文件),Sniffer Filter Creation Specification for [email protected](說明如何定義Mydoom病毒過濾器),NetAsyst - [email protected](NetAsyst軟件使用--NG公司針對中小型企業定製的軟件,功能與Sniffer Pro基本相當,只限10/100M Ethernet和Wireless使用),SnifferDistributed4.* - [email protected](分佈式Sniffer使用,有多個版本:4.1,4.2,4.3,4.5等),還有就是我們需要使用的SnifferPortable4.* - [email protected](有4.7,4.7.5,4.8等版本,針對你所使用的Sniffer版本號來選擇你需要的)。
下載到過濾器,我們就可以把該過濾器導入到Sniffer裏去了。解壓開下載到的過濾器文件,你會看到許多文件,我們以Mydoom病毒過濾器文件舉例說明:Importing Filter.rtf(導入過濾器說明文件),Sniffer Filter Creation Specification for [email protected](說明如何定義Mydoom病毒過濾器),NetAsyst - [email protected](NetAsyst軟件使用--NG公司針對中小型企業定製的軟件,功能與Sniffer Pro基本相當,只限10/100M Ethernet和Wireless使用),SnifferDistributed4.* - [email protected](分佈式Sniffer使用,有多個版本:4.1,4.2,4.3,4.5等),還有就是我們需要使用的SnifferPortable4.* - [email protected](有4.7,4.7.5,4.8等版本,針對你所使用的Sniffer版本號來選擇你需要的)。
接着找到Sniffer的安裝目錄,默認情況下是在:C:\Program Files\NAI\SnifferNT\Program,找到該目錄下的“Nxsample.csf”文件,將它改名成Nxsample.csf.bak(主要是爲了備份,否則可以刪除),然後將我們所需要的過濾器文件SnifferPortable4.7.5 - [email protected]文件拷貝到該目錄,並將它改名爲“Nxsample.csf”。
然後,我們再打開Sniffer Pro軟件,定義過濾器(display--Define Filter),選擇Profile--New--在New Profile Name裏填入相應的標識,如W32/Mydoom--選擇Copy Sample Profile--選擇W32/Mydoom@MM,確定後,我們就算做好了Mydoom這個病毒的過濾器。
現在,我們就可以在過濾器選擇裏選擇Mydoom過濾器對Mydoom病毒進行檢測了。
下面你在DECODE窗口裏使用這個過濾器,如果你沒過濾到任何數據,恭喜,你捕獲的數據裏沒有這個病毒,你可以安心了;如過你過濾到了數據,也恭喜,你有成績了,然後根據過濾到的數據源IP、MAC等信息找到用戶,進行相應的處理,避免病毒的擴散。
以下是一些我在工作中捕獲到的異常數據:
ARP掃描:
ARP欺騙
ARP掃描:
ARP欺騙
郵件病毒:
P2P流量:
P2P流量:
疑難:不知道什麼時候有異常流量
在工作中我們並不知道什麼時候有異常流量,也不可能總是盯着交換機,這個時候就要定義觸發器,讓電腦去監視網絡了。
觸發器,就是讓sniffer pro一直監視網絡,但不捕獲數據,一直到滿足了觸發器條件後開始捕獲,達到停止條件停止,一般有時間條件、過濾器條件、alarms條件。定義方法爲capture->trigger setup
點擊start trigger中的define
點擊start trigger中的define
時間條件:不用多說了。
過濾器條件:用定義好的過濾器過濾,過濾到數據後啓動觸發器。
alarms條件:監視的數據達到了選定的項目的閥值後開始捕獲。
條件中過濾器已經說過了,這裏說一下alarms閥值的定義,選擇tools->options下的MAC threshold ,這裏就是定義閥值的地方。
觸發器的結束觸發和開始觸發差不多,對比一下就明白了。
觸發器的結束觸發和開始觸發差不多,對比一下就明白了。
觸發器定義好後就可以使用了,啓用後capture下的trigger setup會變成cancel trigger,在使用觸發器前要更改使用的過濾器,設置爲buffer滿後自動保存,這樣纔可以把我們需要的數據保存下來供我們分析用。