<code id="gkkii"><object id="gkkii"></object></code>
<bdo id="gkkii"><noscript id="gkkii"></noscript></bdo>
  • <menu id="gkkii"><center id="gkkii"></center></menu>
  • 優勝從選擇開始,我們是您省心的選擇!—— 文閱期刊網
    幫助中心
    期刊發表
    您的位置: 主頁 > 論文范文 > 電子論文 > 正文

    網絡分析系統在解決arp攻擊中的應用

    作者: 來源: 日期:2014-09-25 22:32人氣:

      網絡中出現速度慢、時斷時續、不能訪問的網絡故障應該是管理員們經常遇到的,我認為掌握并利用網絡分析軟件往往能夠化難為易,幫助管理者快速準確定位故障,從而盡快解決故障

      一、網絡故障描述

      我校的局域網出現了異常,具體表現為:客戶機之間相互ping時嚴重丟包,校園網用戶訪問互聯網的速度非常慢,甚至不能訪問。整個校園網突然出現網絡通訊中斷,內部用戶均不能正常訪問互聯網。

      二、故障初步分析

      初步判斷可能是,交換機ARP表更新問題,廣播或路由環路故障,病毒攻擊等引起的。因此,需要進一步獲取ARP信息、交換機負載、網絡中傳輸的原始數據包等信息。

      首先,在該校的機房的客戶機和其下的客戶機上分別使用“arp–a”命令查看ARP緩存信息,結果正常。

      三、層層深入排除故障

      在分析受阻后,決定應用“科來網絡分析系統”捕獲并分析網絡中傳輸的數據包,進行網絡故障的排查。下面介紹一下排查過程:

      1.配置抓包

      在中心交換機上做好端口鏡像配置操作,并將分析用筆記本接到此端口上,啟動科來網絡分析系統6.0捕獲分析網絡的數據通訊,約2.5分鐘后停止捕獲并分析捕獲到的數據包。

      2.查看連接定位攻擊源

      我校校園網的主機約為200臺,一般情況下,同時在線的有50臺左右。在停止捕獲后,筆者在科來網絡分析系統主界面左邊的節點瀏覽器中發現,內網同時在線的IP主機達到了515臺,這表示網絡存在許多偽造的IP主機,網絡中可能存在偽造IP地址攻擊或自動掃描攻擊。選擇連接視圖,發現在約2.5分鐘的時間內網絡中共發起了827個連接,且狀態大多都是客戶端請求同步,即三次握手的第一步,由TCP工作原理可知,TCP工作時首先通過三次握手發起連接,如果請求端向不存在的目的端發起了同步請求,由于不會收到目的端主機的確認回復,其狀態將會一直處于請求同步直到超時斷開。據此,我們現在更加斷定校園網中存在自動掃描攻擊。

      選擇圖表視圖,并選中TCP連接子視圖項,查看192.168.5.119主機的TCP連接情況,發現92.168.5.119這臺主機在約2.5分鐘的時間內發起了300個連接,且其中有193個連接都是初始化連接,即同步連接,這表示192.168.5.119主機肯定存在自動掃描攻擊。

      3.通過協議確定攻擊方式

      選擇數據包視圖查看192.168.5.119傳輸數據的原始解碼信息,這些數據包的大小都是66字節,協議都是CIFS,源地址都是192.168.5.119,而目標地址則隨機產生,目標端口都是445,且數據包的TCP標記位都將同步位置1,這說明192.168.5.119這臺機器正在主動對網絡中主機的TCP445端口進行掃描攻擊,原因可能是192.168.5.119主機感染病毒程序,或者是人為使用掃描軟件進行攻擊。

      找到問題的根源后,正準備對192.168.5.119主機進行隔離,這時因其它事情中斷分析工作約10分鐘左右。繼續工作,隔離192.168.5.119主機的同時再次將啟動科來網絡分析系統6.0捕獲分析網絡的數據通訊,約2.5分鐘后停止捕獲并分析捕獲到的數據包。

      分析捕獲到的數據包,網絡中又出現了3臺與192.168.5.119相似情況的主機,且這些主機發起的同步連接數都大大超過192.168.5.119,即是其中一臺主機在約2.5分鐘內的發起的連接數,其中同步連接達到了431個。

      通過這個情況,我們可以肯定192.168.5.119和新發現的三臺主機都是感染了病毒,且該病毒會主動掃描網絡中其它主機是否打開TCP445端口,如果某主機打開該端口,就攻擊并感染這臺主機。如此循環,即引發了上述的網絡故障。

      4.隔離殺毒解除故障

      立即對新發現感染病毒的3臺主機進行隔離,ping測試響應時間立刻變為1ms,網絡通訊立刻恢復正常。

      5.補充說明

      需要說明的是,在解決該網絡故障的過程中進行了兩次抓包,這兩次抓包相隔僅10分鐘的時間,通過對數據包的分析發現網絡中就被新感染主機。

      由此我們可以想象,不使用網絡檢測分析軟件捕獲分析網絡中傳輸的數據包,僅通過查看交換機的端口流量,或者使用單純的流量軟件,很難找到問題的根源,這樣網絡中感染病毒的主機會越來越多,最終將導致整個網絡的全部癱瘓。

      

      中國致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發表、寫作指導等服務。具體發表流程為:客戶咨詢→確定合作,客戶支付定金→文章發送并發表→客戶接收錄用通知,支付余款→雜志出版并寄送客戶→客戶確認收到。系學術網站,對所投稿件無稿酬支付,謝絕非學術類稿件的投遞!  

     

     

    在線客服:

    文閱期刊網 版權所有   

    【免責聲明】:所提供的信息資源如有侵權、違規,請及時告知。

    專業發表機構
    辽宁熟妇高潮45分钟,午夜乱码在线观看不卡,欧美成人午夜福利小视频
    <code id="gkkii"><object id="gkkii"></object></code>
    <bdo id="gkkii"><noscript id="gkkii"></noscript></bdo>
  • <menu id="gkkii"><center id="gkkii"></center></menu>