實戰:Sniffer捕獲城域網中異常數據

• 摘要：不少人都知道經過Sniffer能夠查看異常數據，但實際工做中，咱們並不知道何時有異常流量，也不可能老是盯着交換機，咱們該怎麼辦？
• 標籤：Sniffer  異常數據  捕獲
• Oracle幫您準確洞察各個物流環節

Sniffer pro是一款功能強大的網絡分析工具，能夠用於發現漏洞、病毒、等異常數據，也能夠生成網絡基準線，提供網絡質量趨勢分析數據，還能夠用於故障快速定位，我在工做中常常用到，在此把使用中的體會寫出來，但願對其餘使用者能有一點用處。

用過濾器過濾出咱們關心的數據

由於咱們捕獲數據時並不知道異常數據是那一種，因此咱們在捕獲是用的過濾器（filter）必須是默認的any<->any，也就是說把全部通過的數據所有捕獲，建議捕獲用PC內存要大，最少256M，將filter的buffer定義爲32M。（由於捕獲點多爲社區機房上行端口的鏡象，數據較大，爲保證捕獲數據量，建議將buffer定義大些較好，）
定義完成後開始捕獲，當buffer滿後中止捕獲，進入分析窗口，咱們進入decode窗口看看：

　

在這裏咱們能夠看到不少的數據，爲了快速分析，咱們就要用到另外一種過濾器（display filter）,選取display->selete filter,能夠看到下圖：

我這裏已經定義了一些過濾器，定義方法後面再進行演示，這裏先看用法，選擇一個過濾器，如ARP，將把這個數據包裏全部的ARP協議數據包過濾出來，

相映的用其餘的過濾器能夠過濾出咱們關心的數據，提升咱們的分析效率。過濾出來的數據就相對較少且較爲一致，便於咱們分析。
下面介紹一下過濾器的定義方法，選擇display->define filter:

一、 按地址過濾：又分爲叄種，很簡單，看看就明白了:
二、 數據過濾：這個是比較高級的，主要功能是對數據包按特徵碼過濾，使用的前提是對某種數據的特徵碼很清楚，目前自定義還比較難，有興趣的同志能夠研究看看。
三、 高級過濾：其實就是用協議過濾，看看就明白了

如何應用過濾器？

其實過濾器除了本身定義外還能夠導入已經定義好的，首先，咱們能夠去NG公司的網站去下載Sniffer過濾器，須要說明的是Sniffer的病毒過濾器的名稱定義是來自McAfee的定義，與其它防病毒廠商尤爲是國內的防病毒廠商的病毒名稱定義是有一些差別的。
下載到過濾器，咱們就能夠把該過濾器導入到Sniffer裏去了。解壓開下載到的過濾器文件，你會看到許多文件，咱們以Mydoom病毒過濾器文件舉例說明：Importing Filter.rtf（導入過濾器說明文件），Sniffer Filter Creation Specification for W32_MyDoom@MM.rtf（說明如何定義Mydoom病毒過濾器），NetAsyst - W32_Mydoom@MM.csf（NetAsyst軟件使用－－NG公司針對中小型企業定製的軟件，功能與Sniffer Pro基本至關，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoom@MM.csf(分佈式Sniffer使用，有多個版本：4.1，4.2，4.3，4.5等），還有就是咱們須要使用的SnifferPortable4.* - W32_Mydoom@MM.csf（有4.7,4.7.5,4.8等版本，針對你所使用的Sniffer版本號來選擇你須要的）。

接着找到Sniffer的安裝目錄，默認狀況下是在：C:\Program Files\NAI\SnifferNT\Program，找到該目錄下的「Nxsample.csf」文件，將它更名成Nxsample.csf.bak（主要是爲了備份，不然能夠刪除），而後將咱們所須要的過濾器文件SnifferPortable4.7.5 - W32_Mydoom@MM.csf文件拷貝到該目錄，並將它更名爲「Nxsample.csf」。

而後，咱們再打開Sniffer Pro軟件，定義過濾器（display--Define Filter），選擇Profile－－New－－在New Profile Name裏填入相應的標識，如W32/Mydoom－－選擇Copy Sample Profile－－選擇W32/Mydoom@MM，肯定後，咱們就算作好了Mydoom這個病毒的過濾器。

　

如今，咱們就能夠在過濾器選擇裏選擇Mydoom過濾器對Mydoom病毒進行檢測了。

下面你在DECODE窗口裏使用這個過濾器，若是你沒過濾到任何數據，恭喜，你捕獲的數據裏沒有這個病毒，你能夠安心了；如過你過濾到了數據，也恭喜，你有成績了，而後根據過濾到的數據源IP、MAC等信息找到用戶，進行相應的處理，避免病毒的擴散。

如下是一些我在工做中捕獲到的異常數據：
ARP掃描：
ARP欺騙

郵件病毒：
P2P流量：

疑難：不知道何時有異常流量

在工做中咱們並不知道何時有異常流量，也不可能老是盯着交換機，這個時候就要定義觸發器，讓電腦去監視網絡了。

觸發器，就是讓sniffer pro一直監視網絡，但不捕獲數據，一直到知足了觸發器條件後開始捕獲，達到中止條件中止，通常有時間條件、過濾器條件、alarms條件。定義方法爲capture->trigger setup
點擊start trigger中的define

　

時間條件：不用多說了。

過濾器條件：用定義好的過濾器過濾，過濾到數據後啓動觸發器。

alarms條件：監視的數據達到了選定的項目的閥值後開始捕獲。

條件中過濾器已經說過了，這裏說一下alarms閥值的定義，選擇tools->options下的MAC threshold ,這裏就是定義閥值的地方。
觸發器的結束觸發和開始觸發差很少，對比一下就明白了。

觸發器定義好後就可使用了，啓用後capture下的trigger setup會變成cancel trigger，在使用觸發器前要更改使用的過濾器，設置爲buffer滿後自動保存，這樣才能夠把咱們須要的數據保存下來供咱們分析用。