|
||||||||||
|
|
|||||||||
|
|
|||||||||||||||
| | 网站首页 | 局域网教程 | 软件说明书 | 局域网论坛 | | ||
 |
||
|
||
|
|||||
| Sniffer--会“抓毒”的网络分析仪 | |||||
作者:互联网 文章来源:www.98pc.com 点击数: 更新时间:2006-4-28  |
|||||
在去年年初,国家安全试点项目863计划S219项目中,作为试点单位的农行上海分行就选择了Sniffer。因为,一旦发生安全问题,网络流量通常也会发生异常,通过网络流量分析图,可以帮助用户及时找出引发异常流量的症结所在。 在CodeRedⅡ肆虐的时候,Sniffer就曾经神奇地配合用户及时地发现了问题。这个用户是国内某大型企业,其网络主干为ATM网,在去年8月,其网络性能突然急剧下降,导致企业的网上应用全部陷于瘫痪。但是网管人员无法确定引起网络瘫痪的原因,致使整个网络连最基本的连接也无法恢复。这时候,他们请来了Sniffer的工程师。工程师首先利用Dashboard功能,对网络的整体流量状况进行监控(如图所示),发现该用户的整体网络带宽占用率并不高,只有10%左右,网络中的绝对流量也不大,但网络中的数据包却非常多,甚至超过了Sniffer的缺省定义警戒值。从数值分析中他发现,这些数据包中数目最多的是64个字节以下的小数据包,因此,工程师初步断定,这些太多的小数据包可能是引起网络瘫痪的主要原因。为了确定到底是哪些计算机在生成这些数据包,技术人员又调用了Sniffer的另外一个流量监控功能HostTable,在监控中,他很快发现了用户网络中发包最多的计算机的网络流量都有一个共同特点,即他们收到的数据包非常少,有的甚至为零。但是,这些计算机却在拼命地发数据包,很不正常,而这也正是当时爆发的CodeRedⅡ病毒的特征,因为感染了CodeRed病毒的计算机会往网络中发送大量的数据包,最终导致网络的瘫痪。由此,工程师已经十分确定,造成这个用户网络的瘫痪原因就是由于那些感染了CodeRed病毒的计算机引起的。 为了进一步确定CodeRed病毒的特征,工程师又用Sniffer的Capture功能进行了抓包,并将数据包进行解码分析,发现CodeRed就是通过发送特定的HttpGet请求,利用微软IIS的漏洞进行传播的,这些请求在传播过程中产生大量的数据包,使得网络路由器和交换机陷于瘫痪。
目前,“会抓毒”的Sniffer不仅能够面向局域网和广域网,同时还支持无线局域网和移动通信的网络监视和故障解决。它具有便携式、分布式、光网络、无线网络等多种形式,采取软硬件相结合,以便于用户使用。 今年5月,美国网络联盟又和ISS达成一个全面合作协议,它将把ISS的RealSecure入侵检测技术与Sniffer先进的网络故障隔离和性能管理技术相结合,在网络管理系统中提供一流的网络入侵检测方案,这种产品预计陆续在今年年底和明年推出。 |
|||||
| 文章录入:wuwq 责任编辑:wuwq | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| Sniffer、黑客和网络管理 交换环境下的Sniffer 封包探嗅器(Sniffer) Sniffer-黑客们最常用的入侵 Sniffer常见问题集 再议 Sniffer SNIFFER嗅探器检测工具和对策 Sniffer pro 使用辅助说明 Sniffer使用简介(下) Sniffer使用简介(上) |
| 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | | |||||
|
