IT邦幫忙精選:如何找出異常流量的癥結?
y005017(iT邦初學者10級)發問:公司有一條專線串接到其他公司給駐廠人員使用,最近常出現異常流量。目前排除中毒因素,請問要如何找出是哪一臺電腦造成的?
http://ithelp.ithome.com.tw/question/10035181
A:cklin(iT邦初學者8級):
建議使用網路流量監控軟體,分析網路封包的來源與目的位址。網路封包分析的免費軟體很多,首屈一指的是Ethereal(新版名稱Wireshark),用的人多,中文化、教學說明也多。
如果有固定的時間點、固定的行為模式,大多是程式造成的(這邊指的程式包含使用者自行開發的程式、定期備份軟體、資料同步軟體、惡意程式等),而人為操作造成的網路流量通常不固定。
A:powerop(iT邦初學者7級):
1.找出一個所有封包會經過的節點。
既然要監控流量,就要找出一個相關流量都會經過的點。現在都是Switch的環境,當你裝好Wireshark,執行後看到一堆封包,正開心找到元兇時,才發現那些封包都是本機跟別人的流量,別臺機器的流量都被Switch 區隔開啦!
所以環境如有Switch,就需要開一個Mirror Port,把裝好Wireshark的電腦接上那個Port。
2.安裝ntop,找出流量異常的IP。
Wireshark可以看到經過封包裡的每一個bit,但是要先抓住流量的大方向,所以建議用ntop這個監控工具,各種主流的Linux發行版本應該都有。
但ntop沒有提供編譯好的Windows版本,建議下載NTop_XTRA這個別人編譯好的版本(NTop_XTRA_3_18_0.exe),雖然有點舊,但是能跑就好。
3.安裝Wireshark,針對流量異常的IP去看實際封包內容。
安裝Wireshark後,在filter輸入「ip.addr == 192.168.9.78(請替換成流量異常的 IP)」,就可以看到作怪的電腦在傳什麼東西囉。
A:sniperegg(iT邦初學者10級):
可以從防火牆報表去看哪一個內部IP在特定時段流量異常。另外,可以裝套Sniffer軟體去抓封包。若你的廠區各網路點都有明確的位置,而且交換器也具備網管功能,那就更好了。利用MRTG偵測各臺交換器流量,每個Port都製作流量表,各Port對應到哪個辦公室、哪個位置,一目了然。
《詳細內文請見iThome電腦報430期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
430期其他精采內容:
.封面故事:15萬元就能走入IP SAN架構──低價iSCSI解決方案採購大特輯
.新聞:微軟公布第四代模組化資料中心
.新聞:渣打銀以獨立機房模式採用SaaS服務
.CIO TALK:了解人性和解決問題一樣重要 做好向上管理才能突顯IT價值/台灣汽電共生行政及管理部主任廖振耀
.IT人甘苦談:為蘋果電腦的熱愛者留一塊老地方/芝廣數位科技董事長蔡政儒
.產品測試:列印監控軟體:PaperCut NG 9.7
.產品測試:磁碟管理工具:微軟Disk2vhd 1.4
.產品測試:郵件管理設備:基點Email UTM 50
.程式人:提出實務性問題,鑑別應試者實力/王建興
.iT邦幫忙精選:安全移除硬碟的圖示消失,請問如何復原?/加入網域後,某些程式因權限不足無法使用,該如何解決?
http://ithelp.ithome.com.tw/question/10035181
A:cklin(iT邦初學者8級):
建議使用網路流量監控軟體,分析網路封包的來源與目的位址。網路封包分析的免費軟體很多,首屈一指的是Ethereal(新版名稱Wireshark),用的人多,中文化、教學說明也多。
如果有固定的時間點、固定的行為模式,大多是程式造成的(這邊指的程式包含使用者自行開發的程式、定期備份軟體、資料同步軟體、惡意程式等),而人為操作造成的網路流量通常不固定。
A:powerop(iT邦初學者7級):
1.找出一個所有封包會經過的節點。
既然要監控流量,就要找出一個相關流量都會經過的點。現在都是Switch的環境,當你裝好Wireshark,執行後看到一堆封包,正開心找到元兇時,才發現那些封包都是本機跟別人的流量,別臺機器的流量都被Switch 區隔開啦!
所以環境如有Switch,就需要開一個Mirror Port,把裝好Wireshark的電腦接上那個Port。
2.安裝ntop,找出流量異常的IP。
Wireshark可以看到經過封包裡的每一個bit,但是要先抓住流量的大方向,所以建議用ntop這個監控工具,各種主流的Linux發行版本應該都有。
但ntop沒有提供編譯好的Windows版本,建議下載NTop_XTRA這個別人編譯好的版本(NTop_XTRA_3_18_0.exe),雖然有點舊,但是能跑就好。
3.安裝Wireshark,針對流量異常的IP去看實際封包內容。
安裝Wireshark後,在filter輸入「ip.addr == 192.168.9.78(請替換成流量異常的 IP)」,就可以看到作怪的電腦在傳什麼東西囉。
A:sniperegg(iT邦初學者10級):
可以從防火牆報表去看哪一個內部IP在特定時段流量異常。另外,可以裝套Sniffer軟體去抓封包。若你的廠區各網路點都有明確的位置,而且交換器也具備網管功能,那就更好了。利用MRTG偵測各臺交換器流量,每個Port都製作流量表,各Port對應到哪個辦公室、哪個位置,一目了然。
《詳細內文請見iThome電腦報430期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
430期其他精采內容:
.封面故事:15萬元就能走入IP SAN架構──低價iSCSI解決方案採購大特輯
.新聞:微軟公布第四代模組化資料中心
.新聞:渣打銀以獨立機房模式採用SaaS服務
.CIO TALK:了解人性和解決問題一樣重要 做好向上管理才能突顯IT價值/台灣汽電共生行政及管理部主任廖振耀
.IT人甘苦談:為蘋果電腦的熱愛者留一塊老地方/芝廣數位科技董事長蔡政儒
.產品測試:列印監控軟體:PaperCut NG 9.7
.產品測試:磁碟管理工具:微軟Disk2vhd 1.4
.產品測試:郵件管理設備:基點Email UTM 50
.程式人:提出實務性問題,鑑別應試者實力/王建興
.iT邦幫忙精選:安全移除硬碟的圖示消失,請問如何復原?/加入網域後,某些程式因權限不足無法使用,該如何解決?