当前位置:文档之家› 危害网络的异常网络行为分析

危害网络的异常网络行为分析


实验(4)
• 蠕虫病毒分析
ARP病毒分析
• ARP扫描攻击
• 发送大量ARP请求,消耗交换机资源。
• ARP欺骗攻击
• 通过主动发送ARP响应实现地址欺骗,从而达到获 取其他主机通讯信息。
ARP正常解析原理
网关ARP表 IP MAC 10.0.0.2 00000002
网关
B
ARP响应 我是0.2
A
ARP欺骗原理
网关ARP表 IP MAC 10.0.0.2 00000003
网关
B
C ARP表 IP 10.0.0.1 10.0.0.2
ARP响应 我是0.2 我是0.1 MAC 。。。 00000001
00000002
ARP REQ 谁是0.2
A ARP表 IP 10.0.0.1
MAC 00000003
P2P网络行为分析
实验(6)
• P2P分析
路由环分析
• 某网段的路由在路由器间相互指向,形成环路
路由环形成原因
路由环网络行为特征
• • • • 同一个数据包在路由器间循环传输最终丢掉 单向流量,由于路由实际上是不可达的 IP包的TTL值在传输过程中不断减小,直至1 路由器在丢掉数据包时会向源地址发送ICMP 数据包
C ARP表 IP 10.0.0.1 10.0.0.2
MAC 00000001 00000002
ARP REQ 谁是0.2
C
A ARP表 IP 10.0.0.1
MAC 00000001
主机 网关 A C B
IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.1.4
MAC 00000001 00000002 00000003 00000004
蠕虫病毒的行为特点
蠕虫病毒网络行为特征
• 网络层
• 同大量的主机会话 • 大多是发包,每个会话流量很少
• 连接层
• 连接很多 • 大多是发出的TCP SYN包,大部分没有响应或被 拒绝
• 总体流量——发包远大于收包数量
快速分析蠕虫病毒
在端点视图中,对网络连接数按从大 到小排序,连接数量多的,发包数量 远大于收包数量的主机做重点分析
C
主机 网关 A C B
IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.1.4
MAC 00000001 00000002 00000003 000性
• 大量发送ARP数据包 • 不断扫描本网段内的MAC地址——发送大量 ARP请求 • 大量主动发送ARP响应数据包——特别是对网 关发送大量ARP响应
路由环分析
由于数据包的TTL值会一直递减,直 到被丢弃,因此在诊断视图中,我们 可以看到,提示有IP包TTL太小的故 障提示。
实验(7)
• 路由环分析
快速分析蠕虫病毒
查看该IP节点的TCP会话,分析其 TCP会话,大部分是只有1个或2个包, 且只有单向发送的tcp SYN请求。
快速分析蠕虫病毒
通过数据包解码可以进一步看到:该 IP节点发送的数据包均为SYN置1的同 步请求连接数据包。正是由于存在这 样大量的半连接请求,因此可以确定 该IP主机在进行恶意的半连接攻击。
路由环分析
在数据包视图的字段解码中,我们首 先选择IP数据包的标识字段,在概要 解码中可以看到:所有的数据包都具 有相同的标识符:0xBD2D。
路由环分析
选择第1个数据包,我们查看该数据包 IP报头的TTL字段的值,此处的TTL 值为127。
路由环分析
选择第2个数据包,我们查看该数据包 IP报头的TTL字段的值为126,继续查 看3、4、5及以后的数据包,我们可以 看到,数据包的TTL呈递减趋势。
局域网网络分析技术
危害网络的异常网络行为分析
CSNA001
课程目标
• 了解常见的危害网络的异常网络行为原理 • 掌握危害网络的网络行为特点 • 能够独立分析常见的异常网络行为
危害网络的异常流量
• 产生大量的异常流量导致网络拥塞 • 发送大量的数据包使网络设备处理性能下降 • 异常报文导致网络拓扑或连接状态改变
问题:大家所知的危害网络的异常流量有哪些?
异常网络流量产生
• • • • 病毒——蠕虫、ARP病毒 网络攻击——DoS攻击 错误的网络设置——环路的产生 不正当的应用——能产生大量流量堵塞网络
蠕虫病毒分析
• 蠕虫病毒是通过网络主动复制自己传播的病毒 • 蠕虫病毒传播途径
• 邮件蠕虫——Loveletter • 操作系统或应用网络漏洞——CodeRed,Nimda • 即时通漏洞——MSN/Worm.MM
实验(5)
• 分析ARP病毒
P2P行为分析
• Peer to Peer,点到点的分布式数据传输技术 • 采用分布式计算技术
• 每台客户端同时充当服务器,是服务能力大大提 高 • 多点分段传输,使传输性能大大提高
P2P工作原理
P2P网络行为特点
• • • • 同时和多点(非常多)进行通信 传输端口不固定,甚至采用UDP端口 接收流量的同时大量发送流量 能够充分利用网络带宽资源
利用定位ARP攻击源
详细的诊断数据信息
诊断事件提示信息
定位ARP攻击源
定位可疑地址,在协议视图查 看其ARP的请求与响应的数据 包情况,此处看到:该地址全 是应答的数据包。
定位ARP攻击源
从数据包概要解码中看到: 该地址以每隔0.19秒的时间间 隔主动向全网应答其IP地址。
从数据包字段解码中看到: 该地址主动向全网应答的IP地 址为虚假地址,极有可能在进 行欺骗或断网攻击。
相关主题

相关文档推荐: