实战:使用Sniffer截取数据

来源:安全中国

编者按：很多人都知道通过Sniffer可以查看异常数据，但实际工作中，我们并不知道什么时候有异常流量，也不可能总是盯着交换机，我们该怎么办？

Sniffer pro是一款功能强大的Network分析工具，可以用于发现漏洞、病毒、等异常数据，也可以生成Network基准线，提供Network质量趋势分析数据，还可以用于故障快速定位，我在工作中经常用到，在此把使用中的体会写出来，希望对其他使用者能有一点用处。

用过滤器过滤出我们关心的数据

　　因为我们捕获数据时并不知道异常数据是那一种，所以我们在捕获是用的过滤器（filter）必须是默认的any<->any，也就是说把所有经过的数据全部捕获，建议捕获用PC内存要大，最少256M，将filter的buffer定义为32M。（因为捕获点多为社区机房上行端口的镜象，数据较大，为保证捕获数据量，建议将buffer定义大些较好，）
　　
　　定义完成后开始捕获，当buffer满后停止捕获，进入分析窗口，我们进入decode窗口看看：
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263503.jpg[/img]
在这里我们可以看到很多的数据，为了快速分析，我们就要用到另一种过滤器（display filter）,选取display->selete filter,可以看到下图：
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263614.jpg[/img]
我这里已经定义了一些过滤器，定义方法后面再进行演示，这里先看用法，选择一个过滤器，如ARP，将把这个数据包里所有的ARP协议数据包过滤出来，
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263697.jpg[/img]
相映的用其他的过滤器可以过滤出我们关心的数据，提高我们的分析效率。过滤出来的数据就相对较少且较为一致，便于我们分析。
　　
　　下面介绍一下过滤器的定义方法，选择display->define filter:
1、 按地址过滤：又分为叁种，很简单，看看就明白了:
2、 数据过滤：这个是比较高级的，主要功能是对数据包按特征码过滤，使用的前提是对某种数据的特征码很清楚，目前自定义还比较难，有兴趣的同志可以研究看看。
3、 高级过滤：其实就是用协议过滤，看看就明白了

如何应用过滤器？

　　其实过滤器除了自己定义外还可以导入已经定义好的，首先，我们可以去NG公司的网站去下载Sniffer过滤器，需要说明的是Sniffer的病毒过滤器的名称定义是来自McAfee的定义，与其它防病毒厂商尤其是国内的防病毒厂商的病毒名称定义是有一些差异的。
　　
　　下载到过滤器，我们就可以把该过滤器导入到Sniffer里去了。解压开下载到的过滤器文件，你会看到许多文件，我们以Mydoom病毒过滤器文件举例说明：Importing Filter.rtf（导入过滤器说明文件），Sniffer Filter Creation Specification for W32_MyDoom@MM.rtf（说明如何定义Mydoom病毒过滤器），NetAsyst - W32_Mydoom@MM.csf（NetAsystsoft使用－－NG公司针对中小型企业定制的soft，功能与Sniffer Pro基本相当，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoom@MM.csf(分布式Sniffer使用，有多个版本：4.1，4.2，4.3，4.5等），还有就是我们需要使用的 SnifferPortable4.* - W32_Mydoom@MM.csf（有4.7,4.7.5,4.8等版本，针对你所使用的Sniffer版本号来选择你需要的）。

　　接着找到Sniffer的安装目录，默认情况下是在：C:\Program Files\NAI\SnifferNT\Program，找到该目录下的“Nxsample.csf”文件，将它改名成 Nxsample.csf.bak（主要是为了备份，否则可以删除），然后将我们所需要的过滤器文件SnifferPortable4.7.5 - W32_Mydoom@MM.csf文件拷贝到该目录，并将它改名为“Nxsample.csf”。

? ??然后，我们再打开Sniffer Prosoft，定义过滤器（display--Define Filter），选择Profile－－New－－在New Profile Name里填入相应的标识，如W32/Mydoom－－选择Copy Sample Profile－－选择W32/Mydoom@MM，确定后，我们就算做好了Mydoom这个病毒的过滤器。
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263623.jpg[/img]
现在，我们就可以在过滤器选择里选择Mydoom过滤器对Mydoom病毒进行检测了。
　　下面你在DECODE窗口里使用这个过滤器，如果你没过滤到任何数据，恭喜，你捕获的数据里没有这个病毒，你可以安心了；如过你过滤到了数据，也恭喜，你有成绩了，然后根据过滤到的数据源IP、MAC等信息找到用户，进行相应的处理，避免病毒的扩散。
　　
　　
以下是一些我在工作中捕获到的异常数据：
ARP扫描：
ARP欺骗
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263744.jpg[/img]
邮件病毒：
P2P流量：
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263706.jpg[/img]
疑难：不知道什么时候有异常流量

　　在工作中我们并不知道什么时候有异常流量，也不可能总是盯着交换机，这个时候就要定义触发器，让电脑去监视Network了。
　　
　　触发器，就是让sniffer pro一直监视Network，但不捕获数据，一直到满足了触发器条件后开始捕获，达到停止条件停止，一般有时间条件、过滤器条件、alarms条件。定义方法为capture->triGGer setup
　　点击start triGGer中的define
[img]http://www.gxfa.com/Article/UploadFiles1/200808/2008082601263756.jpg[/img]
时间条件：不用多说了。
　　过滤器条件：用定义好的过滤器过滤，过滤到数据后启动触发器。
　　alarms条件：监视的数据达到了选定的项目的阀值后开始捕获。
　　条件中过滤器已经说过了，这里说一下alarms阀值的定义，选择tools->options下的MAC threshold ,这里就是定义阀值的地方。
　　触发器的结束触发和开始触发差不多，对比一下就明白了。
　　
　　触发器定义好后就可以使用了，启用后capture下的trigger setup会变成cancel triGGer，在使用触发器前要更改使用的过滤器，设置为buffer满后自动保存，这样才可以把我们需要的数据保存下来供我们分析用。