返回
网络流量分析

网络流量分析

ID:42656726

大小:133.50 KB

页数:8页

时间:2019-09-19

网络流量分析_第1页
网络流量分析_第2页
网络流量分析_第3页
网络流量分析_第4页
网络流量分析_第5页
资源描述:

《网络流量分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、以往关于入侵分析的文章都把注总力集中在可疑的数据包(TCP包或者保留的IP地址)上.但是弄清楚什么是正常的网络数据流也是非常重要的.知道什么是正常数据流最好的办法就是先产生一些正常的数据流,然后拦截数据包进行分析•在本文中,本人介绍一些截获数据包的工具并对截获数据进行一些分析,顺带说一下非正常的数据流.学习本文的前提在于你己经有TCP/IP的慕础.现在已经冇了很多截获数据包的工具,最冇名的是UNIXK的TCPDUMP和WINDOWS下面的WINDUMP.我在口己家98的机器上用过WINDUMP2.1,用CABLEMODEM±网拦截数据包,不过需耍指出的是:未

2、经授权而拦截数据包时你可千万要小心啊.WINDUMP基础WINDUMP使用起来很简单,在它的站点上你可以找到使用文件.我经常用的命令是WINDUMP-N-S,或者WINDUMP-n-S-v或者WINDUMP-n-S-vv.-N是不显示计算机名而直接显示IP地址;-S是显示TCP/IP的实际进程数,如果不选择这个选项,可能出现的就是近似值,比如:如果现在的进程数是87334271,下一秒变成了多了一个,就会显示出来是87334272.-V和・VV是让机器显示更加全而的信息,显示诸如存活时间/IP的ID等信息.在开始剖析例了Z前,我们先看一下WINDUMP记录的

3、不同种类的数据包,这里有一个TCP的例了,13:45:19.184932sshserver.xx.yy.zz.22>mypc.xx.yy.zz.3164:P4138420250:4138420282(32)ack87334272win32120(DF)13:45:19.184932[timestamp]sshserver.xx.yy.zz.22[sourceaddressandport]>mypc.xx.yy.zz.3164:[destinationaddressandport]P[TCPflags]4138420250:4138420282[sequene

4、enumbers](32)[bytesofdata]ack87334272[acknowledgmentflagandnumber]win32120[windowsize](DF)[don'tfragmentflagisset]andthengivesthenumberofdatabytesinthepacket:下一个是UDP的例了,里面也是该有的全有了:时戳/数据源地址和端口/H的地地址和端口,故后还招供了使用的协议(UDP)和数据包里面的数据数15:19:14.490029208.148.96.68.23079>mypc.xx.yy.zz.6976:u

5、dp401ICMP包格式也是类似的,只是注意一下最后,出现了存活吋间和IP的ID,当然,你要使用-V选项18:33:45.649204mypc.xx.yy.zz>64.208.34.100:iemp:echorequest(ttl4,id56693)最后,WINDUMP也抓获ARP请求和回复.我们来看看:第一行是ARP请求;在这个例子里,MYPC把MAC地址为24.167.235.1的机器信息发送MYPC.XX.YY.ZZ(MYPC的IP地址),第二行则显示了ARP冋复,包含着24.167.235.1这个MAC地址.13:45:13.836036arpwho

6、-has24.167.235.1tellmypc.xx.yy.zz13:45:13.841823arpreply24.167.235.1is-at0:xx:xx:xx:xx:xxUDP和ICMP例子上而我们己经看过了WINDUMP的记录格式,接下來我们看看数据包:MYPC使用DHCP來获得IP地址,而DHCP租用是定时更新的,这个过程是从MYPC的68端口到DHCP机器的67端口,然后由DHCP服务器回送到MYPC18:47:02.667860mypc.xx.yy.zz.68>dnsserver.xx.yy.zz.67:xid:0x8d716e0fC:myp

7、c.xx.yy.zz[

8、bootp]18:47:03.509471dnsserver.xx.yy.zz.67>mypc.xx.yy.zz.6&xid:0x8d716e0fC:mypc.xx.yy.zzY:mypc.xx.yy.zz[

9、bootp]WINDUMP的一个好处就在于它可以口动识别协议和记录的其他信息,在这个例子里/也就识别出这是一个BOOTP,所以它不仅记录了标准的UDPi己录,而且记录了BOOTP的特定信息:XID,C,Y.现在我们來看看•些ICMP数据:•个例子就是你在98机器上使用TRACERT命令时出现的数据流‘WINDOWS使用ICMP来

10、识别系统Z间的跳(UNIX则使用UDP).WINDO

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。