가방 잡는 도구란 무엇입니까?

해결:

당신은 네트워크 관리자입니까? 어느 날 아침 갑자기 네트워크 성능이 급격히 떨어지고, 네트워크 서비스가 제대로 제공되지 못하고, 서버 액세스 속도가 매우 느리거나 액세스할 수 없다는 것을 알게 된 적이 있습니까? 네트워크 스위치 포트 표시등이 미친 듯이 깜박이고, 네트워크 출구의 라우터가 이미 전체 부하의 작업 상태에 있으며, 라우터 CPU 가 이미 1% 의 부하에 이르렀습니다. 재부팅 후 몇 분 동안 증상이 다시 나타나지 않았습니다.

이게 무슨 문제야? 장비가 고장 났습니까? 몇 대의 설비가 동시에 문제가 될 수는 없다. 네트워크 디바이스의 자원을 고갈시킨 대량의 데이터 파일이 있어야 합니다. 그것들은 무엇입니까? 어떻게 그들을 볼 수 있습니까? 이때 경험이 있는 인터넷 관리인은 LAN 포대 도구로 분석하는 것을 생각할 것이다. < P > 빨간 코드, Nimda, 충격파, 충격파 등 악명 높은 사이버 킬러에 대해 들어보셨을 겁니다. 바로 그것들이 이런 악행을 만들었다는 것이다. 그들은 위협적이고, 네트워크를 차단하고, 호스트를 감염시키며, 네트워크 관리자들을 매우 고통스럽게 한다. 인터넷 바이러스가 나타났을 때, 어떻게 제때에 감염된 호스트를 발견할 수 있습니까? 다음은 인터넷 바이러스가 모두 인터넷 주소를 스캔하는 특징을 가지고 있어 매우 실용적인 방법을 소개한다. 포대 도구로 바이러스 출처를 찾는 것이다.

1. 클러치 도구를 설치합니다. 목적은 네트워크 패킷의 내용을 분석하는 것입니다. 무료 또는 시험판 클러치백 도구를 찾는 것은 어렵지 않습니다. 나는 SpyNet3.12 라는 가방 잡기 도구를 사용했는데, 매우 작고 빠르게 작동했다. 설치가 완료된 후 우리는 가방 잡는 호스트 한 대를 갖게 되었다. SpyNet 을 통해 캡처 패키지 유형 (예: IP 패킷 또는 ARP 패킷 캡처 여부) 을 설정할 수 있으며, 대상 주소에 따라 보다 자세한 필터링 매개변수를 설정할 수 있습니다.

2. 네트워크 라우팅을 구성합니다. 라우터에 기본 게이트웨이가 있습니까? 있다면, 어디를 가리킵니까? 바이러스가 폭발할 때 기본 게이트웨이를 다른 라우터로 가리키는 것은 위험합니다 (이 라우터를 마비시키려 하지 않는 한). 일부 기업 네트워크에서는 기본 경로 없이 인터넷 내 주소 세그먼트의 경로만 지적하는 경우가 많으므로, 기본 경로를 가방 호스트에 가리키자. (지옥에 가지 않고 누가 지옥에 갈 것인가?) (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 성공명언) 물론 이 호스트의 성능은 좀 더 높은 것이 가장 좋다. 그렇지 않으면 바이러스에 쉽게 맞아 죽는다.) 이렇게 하면 바이러스 호스트가 보낸 대부분의 검사가 자동으로 집으로 보내집니다. 또는 네트워크의 출구를 캡처 호스트로 매핑하면 외부에서 액세스하는 모든 네트워크 패킷이 분석됩니다.

3. 가방 잡기 시작. 가방 잡는 호스트가 이미 설치되어 있고, 네트워크 안의 패킷도 이미 보내졌으니, 그럼 우리 네트워크에서 전송되는 것이 도대체 무엇인지 보자. (윌리엄 셰익스피어, 템플릿, 컴퓨터명언) (윌리엄 셰익스피어, 템플릿, 컴퓨터명언) SpyNet 을 열고 Capture 를 클릭하면 많은 데이터가 표시됩니다. 이것이 바로 캡처된 패킷입니다 (그림 참조). < P > 그림의 메인 창에는 가방을 잡는 상황이 나와 있습니다. 발견된 패킷의 일련 번호, 시간, 소스 대상 MAC 주소, 소스 대상 IP 주소, 프로토콜 유형, 소스 대상 포트 번호 등을 나열합니다. IP 주소가 1.32.2.71 인 호스트가 매우 짧은 시간 내에 많은 수의 다른 호스트에 대한 액세스 요청을 실행했으며 대상 포트는 모두 445 임을 쉽게 알 수 있습니다.

4. 감염된 호스트를 찾습니다. 가방을 잡는 경우 호스트 1.32.2.71 은 의심할 만하다. 먼저 목적 IP 주소를 살펴 보겠습니다. 이러한 주소는 우리 네트워크에 있습니까? 네트워크에 이러한 네트워크 세그먼트가 전혀 없을 가능성이 높습니다. 둘째, 정상적인 상황에서 액세스 호스트가 이렇게 짧은 시간에 이렇게 많은 액세스 요청을 시작할 수 있습니까? 밀리초급 시간 내에 수십 ~ 수백 개의 접속 요청을 보내는 것이 정상입니까? 분명히 이 1.32.2.71 의 호스트에는 문제가 있을 것이다. 서비스 거부 공격의 취약점이 있는 Microsoft-DS 프로토콜에 대해 자세히 살펴보고 연결 포트는 445 로 판단력을 더욱 입증합니다. 이렇게 하면 감염된 호스트의 IP 주소를 쉽게 찾을 수 있습니다. 남은 일은 이 호스트 운영체제를 패치하여 바이러스를 죽이는 것이다. < P > 바이러스 패킷을 잡았으므로 이 패킷의 이진 디코딩 내용을 살펴 보겠습니다. < P > 이 패킷의 길이는 모두 62 바이트입니다. 패킷 처음 12 바이트에는 대상 MAC 및 소스 MAC 에 대한 주소 정보가 포함되어 있으며, 그 다음 2 바이트는 패킷 유형, 8 은 IP 패킷 형식, 86 은 ARP 패킷 형식을 나타냅니다. 다음 2 바이트는 소스, 대상 IP 주소, IP 버전 번호 등의 정보를 포함하는 캡슐화된 IP 헤더입니다. 나머지 28 바이트는 소스, 대상 포트, TCP 링크 상태 정보 등을 포함한 TCP 헤더를 캡슐화합니다. 이것은 62 바이트 패키지를 구성합니다. 이 패킷 외에 다른 유효 데이터 부하를 가지고 있지 않다는 것을 알 수 있습니다. 따라서 TCP 가 445 포트 동기화를 요구하는 빈 패키지입니다. 즉, 바이러스 호스트가 445 포트를 스캔하고 있습니다. 감염된 호스트 동기화에서 보호 조치를 취하지 않은 호스트 445 포트는 시스템 취약점을 이용해 감염을 전파한다.

Spy3.12 다운로드 주소: 315safe/showarticle? NewsID=2654