本文介绍了如何通过三个步骤检测网络异常流量的来源。首先,找到一个所有流量都经过的节点,如设置镜像端口或使用集线器。其次,安装并使用ntop监控流量,找出异常IP。最后,利用Wireshark,通过过滤特定IP查看详细封包内容。
(2009/12/4发表于台湾乐多日志)
常常看到 iT邦帮忙 有网友在问如何找出网路异常流量的来源,一时手痒回了一篇三步骤抓出网路异常流量的ip ,决定搬回来网志放着。又,下文中提到的在MS Windows安装、使用 ntop 跟在(SUSE Studio 客制化的 openSUSE 11.1 )Linux 环境下使用 ntop ,我都简单实做一次了(算是PoC, Proof of Concept),将会陆续发表 。
第一步骤:找出一个所有封包会经过的节点
既 然要监控流量,就要找一个点,是相关流量都会经过的。不然现在都是 switch 的环境,虽然 Wireshark 跨平台,很多作业系统都可以装,妳高高兴兴的装好,打开看到一堆封包,正在 嗨 的时候,才发现那些封包都是本机跟别人的流量,别台机器的流量都被 switch 区隔开啦!(看到少量别台机器的封包也先别急着高兴,应该都是 broadcast 之类的)
所以如果环境有 switch ,就需要开一个 mirror port,把装好 Wireshark 的电脑插上那个 port 。
不然,如果环境可以串一个 dumb hub 也行,这样所有的流量都会经过这个 hub ,把那台装好 Wireshark 的机器也插上去,就可以监控所有的封包啰。
第二步骤:安装、使用 ntop ,找出流量异常的ip
Wireshark 这个好物可以看到流经的每一个封包的每一个bit,但是妳要先抓流量的大方向对吧?所以建议用 ntop 这个流量监控工具,各种主流的 Linux 发行版本应该都有,在套件库里面搜寻一下,勾选、安装。
ntop 这个自由软体,官方没有提供编译好的 MS Windows
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
