如何用抓包工具把电脑病毒揪出来

转载 2006年06月14日 16:01:00
下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。 
 
  你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

  这是什么问题?设备坏了吗?不可能几台设备同时出问题。一定是有什么大流量的数据文件,耗尽了网络设备的资源,它们是什么?怎么看到它们?这时有经验的网管人员会想到用局域网抓包工具来分析一下。

  你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹,阻塞网络、感染主机,让网络管理员苦不堪言。当网络病毒出现时,如何才能及时发现染毒主机?下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。

1.安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。

  2.配置网络路由。你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
 
  3.开始抓包。抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包
况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。

  4.找出染毒主机。从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

  既然抓到了病毒包,我们看一下这个数据包二进制的解码内容:

  这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息,紧跟着的2字节指出了数据包的类型,0800代表的是IP包格式,0806代表ARP包格式。接着的20个字节是封装的IP包头,包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头,包括了源、目的端口,TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外,这个包没有携带其他任何的有效数据负荷,所以这是一个TCP要求445端口同步的空包,也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口,便会利用系统漏洞传播感染。

iPhone 抓包工具Charles使用

Charles 是在Mac下常用的截取网络封包的工具,在做iOS开发时,我们为了调试与服务器端的网络通讯协议,常常需要截取网络封包来分析。Charles通过将自己设置成系统的网络访问代理服务器,使得所...
  • Richer1997
  • Richer1997
  • 2016年08月13日 11:12
  • 9808

Linux下抓包工具tcpdump以及分析包的工具wireshark

近日在学习网卡驱动时,需要抓取网卡发送、接收数据的情况,于是找到了tcpdump和wireshark这两个工具,tcpdump是用来抓取数据的,wireshark则是用于分析抓取到的数据的,现将用法记...
  • jsh13417
  • jsh13417
  • 2013年05月09日 12:01
  • 14874

Wireshark抓包工具基本用法

下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配...
  • u013628152
  • u013628152
  • 2015年02月27日 16:43
  • 1551

比Wireshark更轻量、更方便的抓包软件:Charles

Wireshark虽然功能很强大,但学习成本很高,操作很麻烦。Charles是一个非常轻量的软件,简单方便。Request、Response都很清晰,方便查看。...
  • lixing333
  • lixing333
  • 2015年01月16日 14:38
  • 20441

对几款网络抓包工具的评测

对几款网络抓包工具的评测 by 拉登哥哥 最近在写个CMD远控 写着写着 想在服务端上做点手脚 都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的 对此可能部分人并不装杀软 基本上靠自...
  • cometwo
  • cometwo
  • 2014年12月16日 11:05
  • 2296

GitHub 上的十一款热门开源安全工具

作为开源开发领域的基石,“所有漏洞皆属浅表”已经成为一条著名的原则甚至是信条。作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所...
  • qianguozheng
  • qianguozheng
  • 2014年09月14日 20:56
  • 1998

HTTP抓包工具Fiddler

Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大...
  • kobejayandy
  • kobejayandy
  • 2013年11月23日 22:17
  • 14606

Ubuntu下的命令行抓包工具tcpdump

今天在一哥们的Ubuntu虚拟机上装wireshark怎么都搞不定,只好把这个命令行的东西再拿出来了…… ----- Ubuntu默认是安装好了tcpdump工具的,如果没有安装的话使用sudo ...
  • wang_xya
  • wang_xya
  • 2014年05月15日 17:08
  • 1855

windows进程抓包工具QPA初体验

今天是医保最后一天,然而我在实验室,并没有连上内网。于是我想用4G网去看一下。结果死活登不上去。于是我想看看这『教务在线』的地址到底是内网IP还是外网IP,然而我回到宿舍之后发现,明明是公网IP,但为...
  • caiqiiqi
  • caiqiiqi
  • 2016年10月16日 01:10
  • 3952

非常详细的Fiddler工具使用说明(包含APP抓包)

阅读目录 1. Fiddler 抓包简介     1). 字段说明     2). Statistics 请求的性能数据分析     3). Inspectors 查看数据内容...
  • andamajing
  • andamajing
  • 2017年06月10日 08:57
  • 2422
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何用抓包工具把电脑病毒揪出来
举报原因:
原因补充:

(最多只允许输入30个字)