正文描述:《Sniffer 监控数据的进阶处理pro.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Sniffer监控数据的进阶处理信息中心阮征2008年6月个人简介维护本区教育城域网,负责网络核心层及汇聚层网络设备维护,针对接入层进行病毒扫描,安全扫描,漏洞弥补等工作,工作过程中经常使用sniffer与wireshark扫描网络数据,解决实际拥堵与病毒问题。内容简介通过sniffer能够查询到什么?找到感染病毒真凶后如何定位?网络各个设备通信数据包信息的类型明文的获取,16进制代码信息的获取密文的获取与解密,混合文的处理总结通过sniffer能够查询到什么?1,网络各个设备地址信息(MAC,IP,主机名称)——存活主机2,
2、网络各个设备通信状况(广播,组播,单播)——判断病毒,广播风暴,流量异常3,网络各个设备通信的数据包信息——数据具体内容找到染毒MAC后如何定位真凶:(1)从DHCP租约地址池找(2)Sniffer可以找出主机名,然后根据备案找(3)交换机上封MAC等机主找网管(4)哪个灯闪烁最厉害拔掉等机主找来网络各个设备通信的数据包信息的类型:(1)明文——FTP,telnet,路由交换指令(2)16进制代码——MSN聊天,SQLServer数据库登录(3)密文——MD5,特殊加密(4)混合文——转换16进制代码后加密文明文的获取1:明文
3、的获取2:16进制代码的获取1:监控到charset=UTF-8,说明该信息为UTF-8编码,乱码是因为数据为中文造成。16进制代码的获取2:用Winhex建立一个16进制文件,粘贴并且另存为TXT文件即可还原出中文本色。16进制代码的获取3:密文的获取与解密1:密文的获取与解密2:密文的获取与解密3:对于以特殊形式进行加密的情况目前本人还没有太好的解决办法,例如QQ通讯的数据信息,大部分都是乱码,对于此类密文的解密只能够功亏一篑。混合文的处理:混合文的处理是最为麻烦的,我们需要进行综合操作,一方面需要将监测到的数据通过解密还
4、原为明文,另一方面需要将还原的明文对应代码进行转换。混合文的处理需要靠经验和耐心。总结:对网络工程师来说,对我们最有帮助的,不是该用哪一个流量分析工具或者哪个流量分析软件功能最强大,而是怎么做流量分析。Sniffer类工具再好也只是一条“鱼”,而流量分析的方法才是真正的“渔”之技巧。希望通过本次交流会可以让各位以及更多的朋友更加重视sniffer类工具在企业内网管理中的地位,让我们进一步了解他们的功能,让我们在实际工作中不是为了监控数据而监控,而是要针对监控到的数据进行分析,让数据得到“升值”。由于时间关系本人只能够介绍些皮毛
5、的东西,希望可以达到抛砖引玉的效果,激发大家的探讨热情。谢谢各位!
显示全部收起
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。