网络分析专家论坛 netexpert » Sniffer Pro专题 » 想用sniffer看一下中毒的网络是怎么样的?有人能帮一下我吗?

Netexpert FAQ	网络分析专家学习建议入口	@netexpert成员申请指南
	netexpert积分规则的说明	Netis招贤纳士(2008年11月22日更新)

打印

想用sniffer看一下中毒的网络是怎么样的?有人能帮一下我吗?

up2u_2h

劳苦功高

Rank: 3 Rank: 3

精华: 1
积分: 285

发短消息
加为好友
当前离线

1^# 大中小发表于 2005-4-25 16:44 只看该作者

想用sniffer看一下中毒的网络是怎么样的?有人能帮一下我吗?

想用sniffer看一下,中了病毒的机子是怎么样的,但是我们这里的机子,好像很牛,都没有中毒,各位大虾,有什么好的办法呀,最好就是能有些病毒下载下来测试(只为测试,没有坏心眼的哦

TOP

dahliawoo

本站中坚

Rank: 5 Rank: 5

精华: 6
积分: 2027

发短消息
加为好友
当前离线

2^# 大中小发表于 2005-4-25 17:00 只看该作者

我在Trace File区发了一个中SQL蠕虫的File，去看看吧

TOP

shine_yuan

功不可没

Rank: 2

精华: 0
积分: 140

发短消息
加为好友
当前离线

3^# 大中小发表于 2005-4-25 17:01 只看该作者

你看看这,应该可以满足你的要求
http://www.netexpert.cn/viewthread.php?tid=1129&fpage=1
还有这
http://www.netexpert.cn/viewthread.php?tid=1004&fpage=1

TOP

stevenxia

功不可没

Rank: 2

精华: 0
积分: 120

发短消息
加为好友
当前离线

4^# 大中小发表于 2005-4-25 22:49 只看该作者

对于中了病毒的机器，特别是WORM病毒，一般会产生大量的数据包往外，用SNIFFER PRO或者EHTERPEEK EX抓包分析，可以看到大量的小于128字节的包（一般为66个字节），当65-128的字节的百分比超过整个网段的40％时，一般就要小心留意是否有WORM病毒啦！

TOP

flyaway

初来乍到

Rank: 1

精华: 0
积分: 8

发短消息
加为好友
当前离线

5^# 大中小发表于 2005-4-25 23:16 只看该作者

可以用抓包,有同一ip同一大小字节相当多的数据包重复出现,大量占用网络资源

TOP

up2u_2h

劳苦功高

Rank: 3 Rank: 3

精华: 1
积分: 285

发短消息
加为好友
当前离线

6^# 大中小发表于 2005-4-26 09:58 只看该作者

很多谢各位的回复,我一直以为有个疑问,就是中了蠕虫病毒之后,除了大量的向其它机子发包之外,还有什么操作吗?我经常看到一些大虾都是以包的长度字节来判断是否中了病毒~这是怎么判断的,是用什么标准来判断的?谢谢...

TOP

‹‹ 上一主题 | 下一主题 ››