【正文】 省定義警戒值。由此，工程師已經(jīng)十分確定，造成這個(gè)用戶網(wǎng)絡(luò)的癱瘓?jiān)蚓褪怯捎谀切└腥玖?CodeRed 病毒的計(jì) 算機(jī)引起的。 今年 5 月，美國(guó)網(wǎng)絡(luò)聯(lián)盟又和 ISS 達(dá)成一個(gè)全面合作 協(xié)議 ，它將把 ISS 的 RealSecure 入侵檢測(cè)技術(shù)與 Sniffer 先進(jìn)的網(wǎng)絡(luò)故障隔離和性能管理技術(shù)相結(jié)合，在網(wǎng)絡(luò)管理系統(tǒng)中提供一流的網(wǎng)絡(luò)入侵檢測(cè)方案，這種產(chǎn)品預(yù)計(jì)陸續(xù)在今年年底和明年推出 。 3. 然后用 Arp a 命令查看當(dāng)前的 Arp 解析表，從中獲得對(duì)方網(wǎng)卡的 MAC 地址。 解決問(wèn)題的思路： 用戶使用網(wǎng)絡(luò)，訪問(wèn)網(wǎng) 絡(luò)上的資源，就勢(shì)必會(huì)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)。 此時(shí)屏幕上會(huì)出現(xiàn)一個(gè)窗口，如圖 1 圖 1 32 顯示當(dāng)前發(fā)現(xiàn)的機(jī)器列表和相應(yīng)的參數(shù)， 其中有一項(xiàng)“ DLC Station”指的就是機(jī)器網(wǎng)卡的 MAC 地址，如圖所示： 利用 Sniffer Pro 徹底解決 IP 被盜用問(wèn)題 Sniffer Pro 的 Expert 對(duì)話框 找到被盜用的 IP 地址所對(duì)應(yīng)的網(wǎng)卡 MAC 地址，就可以順藤摸瓜查到這臺(tái)機(jī)器究竟是哪臺(tái)了。T。經(jīng)過(guò)將問(wèn)題分離、分析和歸類， Sniffer 可實(shí)時(shí)、自動(dòng)地發(fā)出警告，解釋問(wèn)題的性質(zhì)并提出解決方案。 Sniffer 可進(jìn)行全 OSI 七層解 碼 Sniffer 可以在全部七層 OSI 協(xié)議上進(jìn)行解碼，目前其他廠商還沒(méi)有任何一個(gè)系統(tǒng)可以做到對(duì)協(xié)議如此透徹的分析。此外， Sniffer 還可以實(shí)施強(qiáng)制解碼功能，如果網(wǎng)絡(luò)線路上運(yùn)行的是 非標(biāo)準(zhǔn)協(xié)議， Sniffer 可以使用一個(gè)現(xiàn)有標(biāo)準(zhǔn)協(xié)議樣板去嘗試解釋捕獲的數(shù)據(jù)。 Sniffer還可根據(jù)網(wǎng)絡(luò)管理者的要求，自動(dòng)將統(tǒng)計(jì)結(jié)果生成多種統(tǒng)計(jì)報(bào)告格式，并可存盤或打印輸出。這些數(shù)據(jù)不僅能幫助網(wǎng)絡(luò)管理者預(yù)測(cè)額外的帶寬需求，還可以幫助用戶分配網(wǎng)絡(luò)資源。 優(yōu)化性能 通過(guò)對(duì)線路和其他系統(tǒng)進(jìn)行透視化的管理，用戶可利用 Sniffer 管理系統(tǒng)提供的特殊功能對(duì)系統(tǒng)性能進(jìn)行優(yōu)化。 作為用于網(wǎng)絡(luò)故障與性能管理的業(yè)界標(biāo)準(zhǔn)分析工具， Sniffer 為用戶的網(wǎng)絡(luò)提供了領(lǐng)先于其他解決方案的分析、協(xié)議解釋、自動(dòng)化與可見(jiàn)性等功能。網(wǎng)絡(luò)管理人員不但無(wú)法確定引起網(wǎng)絡(luò)癱瘓的原因，在甚至連最基本的網(wǎng)絡(luò)連接也無(wú)法恢復(fù)。從這些監(jiān)控中， Sniffer 的技術(shù)人員發(fā)現(xiàn)用戶的整體網(wǎng)絡(luò)帶寬占用率并不高（如左邊的儀表盤所示），只有 10%左右，網(wǎng)絡(luò)中的絕對(duì)流量也不大，但工程師同時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)包卻非常多（如中間的儀表盤所示），甚至超過(guò)了 Sniffer 缺省定義的警戒值。這些計(jì)算機(jī)在網(wǎng)絡(luò)中拼命發(fā)數(shù)據(jù)包，是非常不正常的，而這也正是當(dāng)時(shí)爆發(fā)的 CodeRed II 病毒的特征，感染了 CodeRed 病毒的計(jì)算機(jī)會(huì)往網(wǎng)絡(luò)中發(fā)送大量的數(shù)據(jù)包，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。 基于出色的性能， Sniffer 近年獲得的全球性大獎(jiǎng)超過(guò) 45 個(gè)，在 2020 年榮獲美國(guó)知名媒體《 NetwWork Computing》 十年來(lái)最佳網(wǎng)絡(luò)產(chǎn)品獎(jiǎng) ，同獲此殊榮的產(chǎn)品包括：MS Windows NT、 Novell Netware、 Cisco 路由器與 Apache Web 服務(wù)器。我們認(rèn)為讀者如果能了解這個(gè)基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個(gè)較全面又持久的解決方式。這個(gè)特性好比一個(gè)意志不堅(jiān)定的人，聽(tīng)了每一個(gè)人和他說(shuō)話都信以為真，并立刻以最新聽(tīng)到的信息作決定。常見(jiàn) ARP 攻擊對(duì)象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計(jì)算機(jī)，也就是一般用戶。針對(duì) ARP 攻擊的防制，常見(jiàn)的方法，可以分為以下三種作法： 利用 ARP echo 傳送正確的 ARP 訊息：通過(guò)頻繁地提醒正確的 ARP 對(duì)照表，來(lái)達(dá)到防制的效果。下面針對(duì)前兩種方法加以說(shuō)明。 但是這種作法，明顯有幾個(gè)問(wèn)題：第一，即使時(shí)時(shí)提醒，但由于快遞員意志不堅(jiān)定，仍會(huì)有部份的信件因?yàn)橐l(fā)出時(shí)剛好收到錯(cuò)誤的信息，以錯(cuò)誤的方式送出去；這種情況如果是錯(cuò)誤的信息頻率特高，例如有一個(gè)人時(shí)時(shí)在快遞員身邊連續(xù)提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時(shí)時(shí)提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時(shí)間，以防止被覆蓋，就好比快遞員一直忙于接聽(tīng)總部打來(lái)的電話，根本就沒(méi)有時(shí)間可以發(fā)送信件，耽誤了正事；第三，還要專門指派一位人時(shí)時(shí)打電話給快遞 員提醒，等于要多派一個(gè)人手負(fù)責(zé)，而且持續(xù)地提醒，這個(gè)人的工作也很繁重。第二， ARP echo 手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包，占用局域網(wǎng)帶寬，使得局域網(wǎng)工作的能力降低，整個(gè)局域網(wǎng)的計(jì)算機(jī)及交換機(jī)時(shí)時(shí)都在處理ARP echo 廣播包，還沒(méi)受到攻擊 局域網(wǎng)就開(kāi)始卡了。及時(shí)的研究 ARP 技術(shù)，無(wú)論是對(duì)我們現(xiàn)在和未來(lái)，都將帶來(lái)相當(dāng)大的影響。 感謝我所有老師， 這片論文的的完成，都離不開(kāi)你們的細(xì)心指導(dǎo)。只是今后大家就難得再聚在一起吃每年元旦那頓飯了吧，沒(méi)關(guān)系，各奔前程，大家珍重。 在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意！ 。我們?cè)谝黄鸬娜兆樱視?huì)記一輩子的。三年了，仿佛就在昨天。 做好 ARP 防范是一個(gè)任重而道遠(yuǎn)的過(guò)程，必須高度重視這個(gè)問(wèn)題，而且不能大意馬虎，我們得隨時(shí)警惕 ARP 攻擊， 以減少受到的危害，提高工作效率，降低經(jīng)濟(jì)損失 。 本次對(duì) ARP 病毒的攻擊這課題研究涉及到了局域網(wǎng)的掉線問(wèn)題的探討；重點(diǎn)講敘了 ARP 病毒的攻擊所造成的危害。第一，面對(duì)高頻率的新式ARP 攻擊， ARP echo 發(fā)揮不了效果，掉線斷網(wǎng)的情況仍舊會(huì)發(fā)生?，F(xiàn)在，這個(gè)方法不但面對(duì)攻擊沒(méi)有防制效果，還會(huì)降低局域網(wǎng)運(yùn)作的效能，但是很多用戶仍然以這個(gè)方法來(lái)進(jìn)行防制。 舍棄 ARP 協(xié)議，采用其它尋址協(xié)議：不采用 ARP 作 為傳送的機(jī)制，而另行使用其它協(xié)議例如 PPPoE 方式傳送。 由于一般的計(jì)算機(jī)及路由器的 ARP 協(xié)議的意志都 不堅(jiān)定，因此只要有惡意計(jì)算機(jī) 37 在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的 ARP 訊息，就會(huì)讓計(jì)算機(jī)及路由器信以為真，作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。 在一個(gè)人人誠(chéng)實(shí)的地方，快遞員的工作還是能切實(shí)地進(jìn)行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會(huì)帶來(lái)混亂了。 ARP 攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。 對(duì)于 ARP 攻擊防制，本人建議，最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好，才是根本解決的方法。 為了進(jìn)一步確定 CodeRed 病毒的特征，技術(shù)人員用 Sniffer 的 Capture 功能進(jìn)行了抓包，并將數(shù)據(jù)包進(jìn)行解碼分析，圖四就是 Sniffer 對(duì) CodeRed 病毒產(chǎn)生的數(shù)據(jù)包的解碼分析報(bào)告，從中可以清楚地看到 CodeRed 就是通過(guò)發(fā)送特定的 Http Get 請(qǐng)求，利用微軟 IIS 的漏洞進(jìn)行傳播的，這些請(qǐng)求在傳播過(guò)程中產(chǎn)生大量的數(shù)據(jù)包，使網(wǎng)絡(luò)路由器和交換機(jī)陷于癱瘓。 為了確定到底是那些計(jì)算機(jī)在生成這些數(shù)據(jù)包，技術(shù)人員 又調(diào)用了 Sniffer 的另外一個(gè)流量監(jiān)控功能 HostTable， HostTable 可監(jiān)控網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)的流量狀況，包括每臺(tái)計(jì)算機(jī)收到的數(shù)據(jù)包數(shù)、數(shù)據(jù)包字節(jié)數(shù)、每臺(tái)計(jì)算機(jī)發(fā)出的數(shù)據(jù)包數(shù)、發(fā)出數(shù)據(jù)包的字節(jié)數(shù)、總的包數(shù)和總的字節(jié)數(shù)等流量信息。 Sniffer 工程師采用了 ATM 專用的 Sniffer 設(shè)備對(duì)該公司的 ATM 主干網(wǎng)絡(luò)進(jìn)行了測(cè)試，以下為測(cè)試的全部過(guò)程?？焖俳鉀Q問(wèn)題：利用自動(dòng)的問(wèn)題識(shí)別、分析 與推薦方案，用戶可從根本上精簡(jiǎn)故障診斷時(shí)間；優(yōu)化投資：利用網(wǎng)絡(luò)性能降級(jí)原因的精確信息，用戶可以有效避免因某個(gè)偶然問(wèn)題而草率投入大量資金的錯(cuò)誤，利用 Sniffer，用戶可以明智地根據(jù)分析結(jié)果作出周密的網(wǎng)絡(luò)管理計(jì)劃；提高生產(chǎn)率：通過(guò)自動(dòng)、連續(xù)地了解網(wǎng)絡(luò)配置， Sniffer 減少了網(wǎng)絡(luò)例行維護(hù)時(shí)間，由此提高效率和生產(chǎn)率；全方位滿足用戶需求， Sniffer 在網(wǎng)絡(luò)性能受到影響前會(huì)自動(dòng)地傳送預(yù)先警告，使用戶能夠在事件發(fā)生之前主動(dòng)地調(diào)整網(wǎng)絡(luò)，保證終端用戶的持續(xù)工作。 Sniffer 網(wǎng)絡(luò)分析儀的優(yōu)勢(shì) 網(wǎng)絡(luò)癱瘓時(shí)間是衡量現(xiàn)代企業(yè)工作效率的一個(gè)標(biāo)準(zhǔn)。 Sniffer 網(wǎng)絡(luò)分析儀的超強(qiáng)功能 34 故障定位及排除 Sniffer 涉及到系統(tǒng)、設(shè)備、應(yīng)用等多個(gè)層面，因此將網(wǎng)絡(luò)性能報(bào)告或網(wǎng)絡(luò)故障準(zhǔn)確定位在涉及到（線 路、設(shè)備、服務(wù)器、操作系統(tǒng)、電子郵件）的具體位置，是 Sniffer 提供的基本功能。那些經(jīng)預(yù)先存儲(chǔ)的、易于生成的報(bào)告可以提供快 速顯示受監(jiān)測(cè)網(wǎng)段的全部統(tǒng)計(jì)數(shù)據(jù)以及網(wǎng)絡(luò)層主機(jī)、矩陣和協(xié)議分配。網(wǎng)絡(luò)統(tǒng)計(jì)：如當(dāng)前和平均網(wǎng)絡(luò)利用率、總的和當(dāng)前的幀數(shù)及字節(jié)數(shù)、總站數(shù)和激活的站數(shù)、協(xié)議類型、當(dāng)前和總的平均幀長(zhǎng)等；協(xié)議統(tǒng)計(jì)：如協(xié)議的網(wǎng)絡(luò)利用率、協(xié)議個(gè)數(shù)、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類型的幀統(tǒng)計(jì)等；差錯(cuò)統(tǒng)計(jì)：如錯(cuò)誤的 CRC 校驗(yàn)數(shù)、發(fā)生的碰撞數(shù)、錯(cuò)誤幀數(shù)等；站統(tǒng)計(jì)：如接收和發(fā)送的幀數(shù)、開(kāi)始時(shí)間、停止時(shí) 間、消耗時(shí)間、站狀態(tài)等， Sniffer 最多可統(tǒng)計(jì) 1024 個(gè)站；幀長(zhǎng)統(tǒng)計(jì)：如某一幀長(zhǎng)的幀所占百分比、某一幀長(zhǎng)的幀數(shù)等。 Sniffer 對(duì)每一層都提供了 Summary（解碼主要規(guī)程要素）、 Detail（解碼全部規(guī)程要素）及 Hex（十六進(jìn)制碼）等幾種解碼窗口。此外， Sniffer 還提供了專家配制功能，用戶可以自已設(shè)定專家系統(tǒng)判斷故障發(fā)生的觸發(fā)條件。現(xiàn)在，越來(lái)越多的中國(guó)企事業(yè)單位采用了 Sniffer 的安全解決方案，其中包括：中國(guó)人民銀行、中國(guó)建設(shè)銀行、中國(guó)工商銀行等。 Sniffer 網(wǎng)絡(luò)分析儀是一個(gè)排除網(wǎng)絡(luò)故障和對(duì)網(wǎng)絡(luò)性能進(jìn)行有效管理的可靠工具，它能夠自動(dòng)幫助網(wǎng)絡(luò)專業(yè)人員維護(hù)網(wǎng)絡(luò)，查找故障，協(xié)助擴(kuò)展多拓樸結(jié)構(gòu)、多協(xié)議的網(wǎng)絡(luò)，極大地簡(jiǎn)化了發(fā)現(xiàn)及解決網(wǎng)絡(luò)問(wèn)題的過(guò)程。 解決方案： 經(jīng)過(guò)對(duì)各種方法的測(cè)試，筆者發(fā)現(xiàn)有一種方法可以在機(jī)器安裝了防火墻的情況下依然可以探測(cè)到它的存在并且查到它的網(wǎng)卡 MAC 地址，從而確定它的物理位置。 但隨著網(wǎng)絡(luò)蠕蟲(chóng)病毒的流行和網(wǎng)絡(luò)攻擊的增多，許多計(jì)算機(jī)上都安裝了防火墻軟件，從而使得單純的 Ping 命令失效。為了找到是哪臺(tái)機(jī)器盜用了 IP 地址，一般可以采用如下方法： 31 1. 首先登記所有機(jī)器的網(wǎng)卡物理地址，即網(wǎng)卡的 MAC 地址。見(jiàn)圖 2 圖 2 目前， “會(huì)抓毒 ”的 Sniffer 不僅能夠面向 局域網(wǎng) 和 廣域網(wǎng) ，同時(shí)還支持 無(wú)線局域網(wǎng) 和移動(dòng) 通信 的網(wǎng)絡(luò)監(jiān)視和故障解決。為了確定到底是哪些計(jì)算機(jī)在生成這些數(shù)據(jù)包，技術(shù)人員又調(diào)用了 Sniffer 的另外一個(gè)流量監(jiān)控功能 HostTable，在監(jiān)控中，他很 30 快發(fā)現(xiàn)了用戶網(wǎng)絡(luò)中發(fā)包最多的計(jì)算機(jī)的網(wǎng)絡(luò)流量都有一個(gè)共同特點(diǎn)，即他們收到的數(shù)據(jù)包非常少，有的甚至為零。但是網(wǎng)管人員無(wú)法確定引起網(wǎng)絡(luò)癱瘓的原因，致使整個(gè)網(wǎng)絡(luò)連最基本的連接也無(wú)法恢復(fù)。見(jiàn)圖 1 圖 1 在去年年初，國(guó)家安全試點(diǎn)項(xiàng)目 863 計(jì)劃 S219 項(xiàng)目中，作為試點(diǎn)單位的農(nóng)行上海分行就選擇了 Sniffer。數(shù)據(jù)包的重放經(jīng)常用于實(shí)驗(yàn)環(huán)境中。圖 9，定義一個(gè)廣播包，使其連續(xù)發(fā)送，包的發(fā)送延遲位 1ms 28 圖 9 點(diǎn)選 發(fā)送在 Decode 中所定位的數(shù)據(jù)包，同時(shí)可以在此包的基礎(chǔ)上對(duì)數(shù)據(jù)包進(jìn)行如前述的修改。 四、 sniffer 提供的工具應(yīng)用 sniffer 除了提供數(shù)據(jù)包的捕獲、解碼及診斷外，還提供了一系列的工具，包括包發(fā)生器、 ping、 traceroute、 DNSlookup、 finger、 whois 等工具。definefilter，定義過(guò)濾規(guī)則。圖 8，是 sniffer偵查到 IP 地址重疊的例子及相關(guān)的解析。如圖 7： 26 圖 7 Decode:對(duì)每個(gè)數(shù)據(jù)包進(jìn)行解碼，可以看到整個(gè)包的結(jié)構(gòu)及從 鏈路層 到應(yīng)用層的信息，事實(shí)上， sniffer 的使用中大部分的時(shí)間都花費(fèi)在這上面的分析，同時(shí)也對(duì)使用者在網(wǎng)絡(luò)的理論及實(shí)踐經(jīng)驗(yàn)上提出較高的要求。 在捕獲過(guò)程中，同樣可以對(duì)想觀察的信息定義過(guò)濾規(guī)則，操作方式類似捕獲前的過(guò)濾規(guī)則。 ApplicationResponseTime:可以了解到不同主機(jī)通信的最小、最大、平均響應(yīng)時(shí)間方面的信息。 sniffer 可以實(shí)時(shí)監(jiān)控主機(jī)、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。如圖 5：