实用流量分析技术 笔记

不同操作系统的初始TTL值不同,一般情况下

  • Windows:128
  • Aix:60
  • Solaris: 255

网络丢包的可能原因

  • 链路层
  • 网络层
  • 网络拥塞

每个IP包都会有一个特定的Identification标识,且同主机一段时间内应该是不同的。

例子:如收到同Identification标识的数据包,且TTL不同,很可能是网络中存在路由环路

问题: - 为什么本机发出的TCP包,Identification都是0 - TCP数据传输包是 TLSv1.2

抓包常见协议

  • ARP
  • ICMP
  • TCP
  • UDP
  • MDNS(播dns(Multicast DNS),mDNS主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信,使用的端口为5353,遵从dns协议,使用现有的DNS信息结构、名语法和资源记录类型。并且没有指定新的操作代码或响应代码。)
  • SSDP(简单服务发现协议,是应用层协议,是构成UPnP(通用即插即用)技术的核心协议之一。它为网络客户端(network client)提供了一种发现网络服务(network services)的机制,采用基于通知和发现路由的多播方式实现。)
  • LLC(逻辑链路控制(LLC Logical Link Control) 层协议,LLC类似于国际标准化组织OSI - 7 层参考模型中的第2层———数据链路层。LLC 主要作用是在移动台MS (Mobile Subscri2ber) 和GPRS 业务支持节点SGSN(Serving GPRS Sup2port Node) 的Layer - 3 的实体之间传送信息。)
  • NBNS(网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法)
  • STP(STP(Spanning Tree Protocol)是生成树协议的英文缩写,可应用于计算机网络中树形拓扑结构建立,主要作用是防止网桥网络中的冗余链路形成环路工作。)

网络中传输的数据包大小是不一样的

  • IP数据包:40-1500字节
  • 以太网帧:64-1518字节(包含4字节的CRC)

一般来说,网络中的最小包和最大包是最多的

  • 使用较多的TCP/IP协议在实际传输中(SYN/SYN ACK/RST/FIN)都是小包
  • 数据传输时一般是大包

数据包数量监控

  • 每秒数据包数量(pps)
  • 每秒广播包数量
  • 每秒组播包数量
  • 不同大小数据包数量,如64B数据包数量、1500B数据包数量

异常流量的危害

  • 大量的流量导致网络拥塞,从而出现丢包导致网络服务质量下降
  • 大量数据包导致网络设备处理性能下降,从而导致网络服务质量下降
  • 不正常的数据报影响网络的正常访问,破坏网络的正常拓扑结构

异常流量的产生

  • 病毒引起的异常网络流量
    • CodeRed、Nimda、冲击波等蠕虫病毒
    • ARP病毒
  • 网络攻击引起的异常网络流量
    • Dos攻击
  • 不正常的网络配置引起的异常网络流量
    • 物理环路或路由环路
  • 不正当的应用

蠕虫病毒分析 一般是指通过网络在计算机间复制自身进行传播的病毒。与传统病毒不同,它并不是以感染文件来达到传播自己的目的,蠕虫病毒不寄生于其他文件上,而是通过网络直接将自身复制到对方的计算机上并运行来达到复制自身的目的,有时自身甚至只在被感染的计算机的内存中驻留,并没有实体文件。

定位蠕虫病毒:目前比较好的还是通过流量分析

  • 通过分析主机发送/接收数据包的数量来定位。(如:一些主机发送数据包数量远远高于接收数据包数量)
  • 通过分析主机的会话来定位。(如:向很多主机发送连接请求,但大多数通信的流量很小,只有1个或2个数据包)
  • 通过法宝的异常目的地址来定位。(如:流量中有很多异常的目的地址)
  • 通过蠕虫病毒的特征码来定位。

P2P(peer to peer)应用分析 与传统CS模式不同,P2P工作方式中,每个客户端既是客户端也是服务器。每个客户端间都是采用peer to peer的数据传输方式,下载同一个文件的众多用户中的每一个用户终端只需要下载文件的一个片段,然后互相交换,最终每个用户(peer)都能得到完整的文件。

BitTorrent文件共享传输中的计算机类型有

  • 种子计算机。共享自身文件给其他用户的计算机
  • Announce服务器。记录了所有和该文件共享下载相关的地址,端口信息,也就是每个Peer的信息
  • 客户端终端计算机。每个下载种子计算机共享文件的计算机就是客户端计算机,每个Peer通过Announce服务器了解种子计算机和其他Peer的信息,然后同它们进行PeerToPeer的通信来获取文件。

P2P客户端特点

  • 既接收数据同时又发送数据。往往发送的数据量远超过接收到的数据量
  • 同大量的主机进行会话
  • 传输端口不定

ARP病毒分析

现在流行的ARP病毒实际上是一种进行ARP欺骗的网络攻击工具,通过ARP欺骗达到截获他人通信数据的目的,一般分别对网关和网络中的主机进行ARP欺骗使主机和外部通信的流量都先经过感染ARP病毒的主机,然后转发至真正的目的地址。

判别ARP病毒流量

  • 是否大量发送ARP请求以及伪造大量的ARP回应
  • 分析网络中捕获的向外网发送数据包的MAC是否是本网段网关的MAC地址相同

TCP连接分析(Transmission Control Protocol传输控制协议)

服务器的拒绝包围TCP RST包

  • 服务器不提供客户端请求端口的服务
  • 服务器保持的TCP连接数达到极限,不能再接收客户端连接请求
  • 服务器上指定服务宕机
  • 防火墙策略不允许,防火墙发送RST数据包中断连接

TCP的半连接 半连接是由不正常的客户端引起的,客户端发送TCP连接请求包SYN后不再发送后续的数据包,使TCP的三次握手不完整,无法建立连接。大量的TCP半连接占用服务器的TCP连接资源,直接影响服务器的服务能力

TCP连接的关闭有两种

  • 四次握手关闭
  • 重置式关闭

造成TCP数据重传的主要原因

  • 网络拥塞导致的网络丢包
  • 网络设备运行不正常导致丢包
  • MTU设置不匹配
  • 数据接收方运行不正常