下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。 
 
  你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

  这是什么问题?设备坏了吗?不可能几台设备同时出问题。一定是有什么大流量的数据文件,耗尽了网络设备的资源,它们是什么?怎么看到它们?这时有经验的网管人员会想到用局域网抓包工具来分析一下。

  你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹,阻塞网络、感染主机,让网络管理员苦不堪言。当网络病毒出现时,如何才能及时发现染毒主机?下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。

1.安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。

  2.配置网络路由。你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
 
  3.开始抓包。抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。

  4.找出染毒主机。从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

  既然抓到了病毒包,我们看一下这个数据包二进制的解码内容:

  这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息,紧跟着的2字节指出了数据包的类型,0800代表的是IP包格式,0806代表ARP包格式。接着的20个字节是封装的IP包头,包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头,包括了源、目的端口,TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外,这个包没有携带其他任何的有效数据负荷,所以这是一个TCP要求445端口同步的空包,也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口,便会利用系统漏洞传播感染。

如何用抓包工具把电脑病毒揪出来相关推荐

  1. 软件测试 | 手把手教你如何使用 Charles 抓包工具(电脑+手机端)

    软件测试 | 手把手教你如何使用 Charles 抓包工具(电脑+手机端) 一.Charles简介 二.Charles下载与安装 三.Charles配置 (1)Charles-PC端的配置如下: (2 ...

  2. 软件测试 | 手把手教你如何使用 Fiddler 抓包工具(电脑+手机端)

    嘿.大家好,我是4U: 做过 APP 测试的同学都会接触抓包工具,通过抓包工具可以获取到客户端与服务端接口的交互数据,在实际测试APP的过程中,我们往往会发现服务端返回 的参数字段错误.数据统计错误等 ...

  3. 最强电脑抓包工具Wireshark中文版下载 | 经典电脑抓包软件

    Wireshark中文版是迄今为止最优秀也是世界上最重要和广泛使用的网络协议分析软件,就是大家常说的电脑抓包软件,可以从互联网.IEEE 802.11.PPP/HDLC.ATM.蓝牙.USB.令牌环. ...

  4. 爬虫进阶:电脑软件手机APP常用的爬虫抓包工具

    在学习爬虫进阶路上少不了用到一些抓包工具,今天就给大家隆重推荐6款爬虫抓包神器. 聊一聊:爬虫抓包原理 爬虫的基本原理就是模拟客户端(可以是浏览器,也有可能是APP)向远程服务器发送 HTTP 请求, ...

  5. android抓包工具——使用fiddler4在安卓手机抓包

    Fiddler是一款非常流行并且实用的http抓包工具,它的原理是在本机开启了一个http的代理服务器,然后它会转发所有的http请求和响应,因此,它比一般的firebug或者是chrome自带的抓包 ...

  6. Fiddler抓包工具总结(转)

    序章 Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获.重发.编辑.转存等操作.也可以用来检测网络安全.反正好处多多,举之不尽呀!当年学习的时候也蛮费劲,一些蛮实用隐藏的 ...

  7. charles 安装 ssl_前端开发如何使用抓包工具 charles

    抓包工具 https://www.charlesproxy.com/latest-release/download.do charles 官网 一. 安装 1. 下载 (自行根据系统下载对应软件) 打 ...

  8. mac下的抓包工具Charles

    2019独角兽企业重金招聘Python工程师标准>>> 在mac下面,居然没有好的抓包工具,这让我十分纠结,毕竟不可能为了抓一个http包就跑到win下折腾.或许有人说tcpdump ...

  9. fiddler+android抓包工具配置使用

    今天临时增加一个工作,手机需要抓包,查看了不同的抓包工具,最后确定使用fiddler抓包工具进行操作,这里以android为例记录一下工具的配置和使用操作. fiddler的安装 网上有很多fiddl ...

最新文章

  1. java 操作 redis_java操作Redis
  2. 600页!分享珍藏很久的《推荐系统学习手册》(附下载链接及入门经验)
  3. 7 兼容 因特尔十代_换装十代酷睿,里外都是白白的,超频i5提前装机测试
  4. 原型设计工具的对比评测记录(一)
  5. 【转载】python几种经典排序方法的实现
  6. 我的内核学习笔记4:sysfs学习
  7. 150行java代码分析100篇英语六级阅读理解单词频率
  8. Hello can not find git path
  9. AE贝塞尔曲线生成插件Bezier Node mac版
  10. 给大家分享几个经典c语言简单案例
  11. 硬件芯片----74HC595芯片的运用原理
  12. edgy trees_在Ubuntu Edgy上安装TrueCrypt
  13. 将Ubuntu主文件夹里的中文文件夹名称改成英文
  14. 英语文本处理工具库——spaCy
  15. 什么是NVMe硬盘?
  16. oracle存储过程入门教程
  17. n枚硬币中找到问题硬币
  18. 高数 | 【概念剖析】f(x)、可积、原函数 与 变限积分的关系
  19. 设置Firefox(火狐)浏览器的中文菜单/界面
  20. iconfont 图标如何在uniapp中的tabBar使用

热门文章

  1. EclipsePHP Studio 3.0 实时显示配置
  2. mysql1032错误
  3. html期末大作业美食主题网页源码0006
  4. 计算机辅助绘图考试题,计算机辅助设计(AutoCAD平台)AutoCAD2010试题汇编
  5. 基于gensim的Doc2Vec\word2vec简析,以及用python 实现简要代码,
  6. yum安装软件失败:rpmdb: BDB0113 Thread/process 8178/139732838348864 failed
  7. pic单片机c语言哪一种好,PIC单片机挑选哪一个比较好?国产替代方案有哪些?...
  8. JavaScript 文本编码解码详解笔记
  9. 一些数据库的查询操作题 题目加sql代码
  10. 如何搭建域环境(来自内网安全攻防)