使用 ntop 跟 Wireshark 来侦测网路异常流量
(2009/12/4发表于台湾乐多日志)常常看到 iT邦帮忙 有网友在问如何找出网路异常流量的来源,一时手痒回了一篇三步骤抓出网路异常流量的ip,决定搬回来网志放着。又,下文中提到的在MS Windows安装、使用 ntop跟在(SUSE Studio 客制化的 openSUSE 11.1)Linux 环境下使用 ntop ,我都简单实做一次了(算是PoC, Proof of Concept),将会陆续发表。
第一步骤:找出一个所有封包会经过的节点
既然要监控流量,就要找一个点,是相关流量都会经过的。不然现在都是 switch 的环境,虽然 Wireshark跨平台,很多作业系统都可以装,妳高高兴兴的装好,打开看到一堆封包,正在 嗨 的时候,才发现那些封包都是本机跟别人的流量,别台机器的流量都被switch 区隔开啦!(看到少量别台机器的封包也先别急着高兴,应该都是 broadcast 之类的)
所以如果环境有 switch ,就需要开一个 mirror port,把装好 Wireshark 的电脑插上那个 port 。
不然,如果环境可以串一个 dumb hub 也行,这样所有的流量都会经过这个 hub ,把那台装好 Wireshark 的机器也插上去,就可以监控所有的封包啰。
第二步骤:安装、使用 ntop ,找出流量异常的ip
Wireshark 这个好物可以看到流经的每一个封包的每一个bit,但是妳要先抓流量的大方向对吧?所以建议用 ntop 这个流量监控工具,各种主流的 Linux 发行版本应该都有,在套件库里面搜寻一下,勾选、安装。
ntop 这个自由软体,官方没有提供编译好的 MS Windows 版本,自己编译我也不会,建议去下载 NTop_XTRA 这个别人编译好的版本 NTop_XTRA_3_18_0.exe,虽然有点旧,但是能跑就好。(那个 NTop_XTRA_3_18_0.exe 我有丢上 Virus Total去检查过了,41种扫毒都说没有毒,请安心使用 :D)
第三步骤:安装、使用 Wireshark ,针对流量异常的ip去看实际封包内容
Wireshark 装好、跑起来之后,在 filter 那边输入 ip.addr == 192.168.9.78 (请替换成流量异常的 ip),就可以实际看到那台作怪的机器到底在传什么东西啰。
==
概念的部份就这样啰,敬请期待接下来比较技术细节的文章 :D
页:
[1]