Sniffer pro是一款功能強(qiáng)大的網(wǎng)絡(luò)分析工具，可以用于發(fā)現(xiàn)漏洞、病毒、等異常數(shù)據(jù)，也可以生成網(wǎng)絡(luò)基準(zhǔn)線，提供網(wǎng)絡(luò)質(zhì)量趨勢(shì)分析數(shù)據(jù)，還可以用于故障快速定位，我在工作中經(jīng)常用到，在此把使用中的體會(huì)寫(xiě)出來(lái)，希望對(duì)其他使用者能有一點(diǎn)用處。

用過(guò)濾器過(guò)濾出我們關(guān)心的數(shù)據(jù)

因?yàn)槲覀儾东@數(shù)據(jù)時(shí)并不知道異常數(shù)據(jù)是那一種，所以我們?cè)诓东@是用的過(guò)濾器（filter）必須是默認(rèn)的any<->any，也就是說(shuō)把所有經(jīng)過(guò)的數(shù)據(jù)全部捕獲，建議捕獲用PC內(nèi)存要大，最少256M，將filter的buffer定義為32M。（因?yàn)椴东@點(diǎn)多為社區(qū)機(jī)房上行端口的鏡象，數(shù)據(jù)較大，為保證捕獲數(shù)據(jù)量，建議將buffer定義大些較好，）
　　
定義完成后開(kāi)始捕獲，當(dāng)buffer滿后停止捕獲，進(jìn)入分析窗口，我們進(jìn)入decode窗口看看：

    

　

在這里我們可以看到很多的數(shù)據(jù)，為了快速分析，我們就要用到另一種過(guò)濾器（display filter）,選取display->selete filter,可以看到下圖：

    

我這里已經(jīng)定義了一些過(guò)濾器，定義方法后面再進(jìn)行演示，這里先看用法，選擇一個(gè)過(guò)濾器，如ARP，將把這個(gè)數(shù)據(jù)包里所有的ARP協(xié)議數(shù)據(jù)包過(guò)濾出來(lái)，

    

　　

相映的用其他的過(guò)濾器可以過(guò)濾出我們關(guān)心的數(shù)據(jù)，提高我們的分析效率。過(guò)濾出來(lái)的數(shù)據(jù)就相對(duì)較少且較為一致，便于我們分析。
　　
下面介紹一下過(guò)濾器的定義方法，選擇display->define filter:

1、 按地址過(guò)濾：又分為叁種，很簡(jiǎn)單，看看就明白了:
2、 數(shù)據(jù)過(guò)濾：這個(gè)是比較高級(jí)的，主要功能是對(duì)數(shù)據(jù)包按特征碼過(guò)濾，使用的前提是對(duì)某種數(shù)據(jù)的特征碼很清楚，目前自定義還比較難，有興趣的同志可以研究看看。
3、 高級(jí)過(guò)濾：其實(shí)就是用協(xié)議過(guò)濾，看看就明白了

如何應(yīng)用過(guò)濾器？

其實(shí)過(guò)濾器除了自己定義外還可以導(dǎo)入已經(jīng)定義好的，首先，我們可以去NG公司的網(wǎng)站去下載Sniffer過(guò)濾器，需要說(shuō)明的是Sniffer的病毒過(guò)濾器的名稱(chēng)定義是來(lái)自McAfee的定義，與其它防病毒廠商尤其是國(guó)內(nèi)的防病毒廠商的病毒名稱(chēng)定義是有一些差異的。
　　
下載到過(guò)濾器，我們就可以把該過(guò)濾器導(dǎo)入到Sniffer里去了。解壓開(kāi)下載到的過(guò)濾器文件，你會(huì)看到許多文件，我們以Mydoom病毒過(guò)濾器文件舉例說(shuō)明：Importing Filter.rtf（導(dǎo)入過(guò)濾器說(shuō)明文件），Sniffer Filter Creation Specification for W32_MyDoom@MM.rtf（說(shuō)明如何定義Mydoom病毒過(guò)濾器），NetAsyst - W32_Mydoom@MM.csf（NetAsyst軟件使用－－NG公司針對(duì)中小型企業(yè)定制的軟件，功能與Sniffer Pro基本相當(dāng)，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoom@MM.csf(分布式Sniffer使用，有多個(gè)版本：4.1，4.2，4.3，4.5等），還有就是我們需要使用的SnifferPortable4.* - W32_Mydoom@MM.csf（有4.7,4.7.5,4.8等版本，針對(duì)你所使用的Sniffer版本號(hào)來(lái)選擇你需要的）。

接著找到Sniffer的安裝目錄，默認(rèn)情況下是在：C:\Program Files\NAI\SnifferNT\Program，找到該目錄下的“Nxsample.csf”文件，將它改名成Nxsample.csf.bak（主要是為了備份，否則可以刪除），然后將我們所需要的過(guò)濾器文件SnifferPortable4.7.5 - W32_Mydoom@MM.csf文件拷貝到該目錄，并將它改名為“Nxsample.csf”。

然后，我們?cè)俅蜷_(kāi)Sniffer Pro軟件，定義過(guò)濾器（display--Define Filter），選擇Profile－－New－－在New Profile Name里填入相應(yīng)的標(biāo)識(shí)，如W32/Mydoom－－選擇Copy Sample Profile－－選擇W32/Mydoom@MM，確定后，我們就算做好了Mydoom這個(gè)病毒的過(guò)濾器。

   

　

現(xiàn)在，我們就可以在過(guò)濾器選擇里選擇Mydoom過(guò)濾器對(duì)Mydoom病毒進(jìn)行檢測(cè)了。

下面你在DECODE窗口里使用這個(gè)過(guò)濾器，如果你沒(méi)過(guò)濾到任何數(shù)據(jù)，恭喜，你捕獲的數(shù)據(jù)里沒(méi)有這個(gè)病毒，你可以安心了；如過(guò)你過(guò)濾到了數(shù)據(jù)，也恭喜，你有成績(jī)了，然后根據(jù)過(guò)濾到的數(shù)據(jù)源IP、MAC等信息找到用戶，進(jìn)行相應(yīng)的處理，避免病毒的擴(kuò)散。
　　
　　

以下是一些我在工作中捕獲到的異常數(shù)據(jù)：
ARP掃描：
ARP欺騙

  

   郵件病毒：
   P2P流量：

  

疑難：不知道什么時(shí)候有異常流量

在工作中我們并不知道什么時(shí)候有異常流量，也不可能總是盯著交換機(jī)，這個(gè)時(shí)候就要定義觸發(fā)器，讓電腦去監(jiān)視網(wǎng)絡(luò)了。

觸發(fā)器，就是讓sniffer pro一直監(jiān)視網(wǎng)絡(luò)，但不捕獲數(shù)據(jù)，一直到滿足了觸發(fā)器條件后開(kāi)始捕獲，達(dá)到停止條件停止，一般有時(shí)間條件、過(guò)濾器條件、alarms條件。定義方法為capture->trigger setup
點(diǎn)擊start trigger中的define

  

　

時(shí)間條件：不用多說(shuō)了。

過(guò)濾器條件：用定義好的過(guò)濾器過(guò)濾，過(guò)濾到數(shù)據(jù)后啟動(dòng)觸發(fā)器。

alarms條件：監(jiān)視的數(shù)據(jù)達(dá)到了選定的項(xiàng)目的閥值后開(kāi)始捕獲。

條件中過(guò)濾器已經(jīng)說(shuō)過(guò)了，這里說(shuō)一下alarms閥值的定義，選擇tools->options下的MAC threshold ,這里就是定義閥值的地方。
觸發(fā)器的結(jié)束觸發(fā)和開(kāi)始觸發(fā)差不多，對(duì)比一下就明白了。

觸發(fā)器定義好后就可以使用了，啟用后capture下的trigger setup會(huì)變成cancel trigger，在使用觸發(fā)器前要更改使用的過(guò)濾器，設(shè)置為buffer滿后自動(dòng)保存，這樣才可以把我們需要的數(shù)據(jù)保存下來(lái)供我們分析用。

【編輯推薦】

1. 專(zhuān)題：Sniffer安全技術(shù)從入門(mén)到精通
2. Sniffer安全技術(shù)從入門(mén)到精通