本连载的开始意味着 OmniPeek Vs Sniffer对比的连载被中止，原因之后大家就会理解。

前言
写过不少对比分析工具的文章，已经发现有些同志被我导入歧途沉湎在不同分析工具的枝枝节节的细小方面了。从此以后，我的重点将会迁移到更加具有可操作性的最佳实践(Best Practise)方面的积累。希望能够更直接地帮助大家用好分析工具。


正文


网络病毒随着Internet的发展造成其传播速度越来越快、工作原理也不一而足，这对现代的防病毒体系不断带来新的挑战。传统意义上的网络防病毒系统，诸如McAfee、Symantec、趋势(TrendMicro)、瑞星等产品更加接近于守株待兔的方式，对已经发现的、具有特定病毒特征的文件、通讯进行阻隔，对于已经感染已知病毒的文件进行清除、隔离；这一机制确保了这些防病毒系统一定会在病毒传播之后、接收到新的病毒库更新后才能工作，一定程度上，既不具备预防的作用，又不存在实时对抗已经感染病毒主机的能力。 http://www.netexpert.cn   by Vader Yang

网络分析工具对这一情况带来了根本的扭转。

一、        侦测异常流量
侦测异常的流量对于任何一个网络管理员而言都是一个挑战，如何有效区分异常流量和正常流量呢？通常而言，我们必须了解网络正常通讯的状况，才能精确地确认异常流量的存在。然而，我们仍然有机会判断绝大多数非常不寻常的网络通讯而无需作特别的准备。
由于如果网络中存在感染了网络病毒（由于历史原因，通常也称为网络蠕虫）的主机，其为了寻找下一个受害者，通常不得不采用网络扫描的方式来进行寻访。诸如SQLSlammer、冲击波等病毒都利用扫描这一原理。这些大量的随机ICMP/TCP/UDP扫描会引起交换机、路由器形成大量的ARP寻址广播。利用这一特征，我们可以利用网络分析工具进行准确侦测。
以下以OmniPeek/Etherpeek举例说明：
http://www.netexpert.cn   by Vader Yang
在OmniPeek/Etherpeek的Protocol分析界面中，我们可以看到完整的协议分布列表，其中有一个非常明显的协议就是ARP，展开ARP协议树，可以看到ARP Request和ARP Response等具体分类。这时，我们可以使用鼠标右键点击在ARP Request上，选择Graph…

在跳出的对话框中把Graph名称修改成我们希望的内容

点击OK，生成的Graph如下图所示，

我们可以实时监测ARP Request每秒钟的数量，可以看到在图例中，某个时间段ARP Request达到了每秒近90次，明显超过了通常的情况。这时候，应当明显引起我们的注意。
那么是不是我们必须长时间盯着ARP Request这个图形变化以便发现这个问题呢？http://www.netexpert.cn   by Vader Yang
我们可以运用OmniPeek/Etherpeek中的协议Alarm功能来设定自动的异常流量发现和警报。http://www.netexpert.cn   by Vader Yang
操作方法如下：
在Protocol界面中鼠标右键点击我们所需的ARP协议，选择Make Alarm…http://www.netexpert.cn   by Vader Yang

在之后的对话框中，设定疑似、确诊和解除警报的条件，我们根据刚才看到的ARP图表所示的情况，大致确定触发条件为，连续2秒产生30次/秒ARP Request则报警触发疑似病毒攻击，如果达到连续2秒60次/秒的ARP Requests则确诊为一次严重的问题事件，如果每秒下降到10次的水平，则意味着这一事件的警报可以被解除。http://www.netis.com.cn

通过进一步定义警报事件触发的动作，我们可以保持高度的紧急响应能力，使网络分析软件与我们的Syslog或网管平台进行联动，也可以进行电子邮件的提示或执行特定的应用程序、播放特定的声音等等。这些手段都对我们侦测这些异常的流量带来极大的便利。

同样的这些设定还可以加之于ICMP、UDP等协议，同样可以非常有效地侦测这些异常的通讯流量的产生。
说到这里，其实我们一直没有提起另外一个非常重要的异常流量侦测指标--- 这一指标通常正是大多数网络病毒、蠕虫攻击或是互联网攻击诸如DoS、DDoS的重要衡量依据。那就是每秒钟的TCP Syn Ack Rst的数量！如果在一个网络中，TCP SYN包的数量产生了突发激增，或是TCP SYN 和FIN/RST的包数相差迥异，通常能够比较精确地说明某一新的网络安全事件的产生，那么我们是否可以直接来评估SYN/ACK的情况呢？ http://www.netexpert.cn   by Vader Yang
Wildpackets OmniPeek/EtherPeek使我们的想象力得到了充分的衍伸，这一目的可以轻易达到。OmniPeek/Etherpeek不仅仅把目光落在分类协议之上，同时可以进一步深入到协议的内部。http://www.netexpert.cn   by Vader Yang
在OmniPeek/EtherPeek标准的图表库里，我们就可以看到TCP SYN/FIN/RST分析图表，展示了每秒钟/每分钟等单位时间内的TCP活动特性。如果需要我们还可以对这一指标进行报警设置，确保一切尽在掌控之中。

在这一章节中，我们看到了如何利用Wildpackets OmniPeek/EtherPeek来进行异常流量的监控与疑似病毒攻击、蠕虫传播等现象的判定与不同等级的网络事件的分级。同时我们还初步了解了如何通过对TCP SYN/FIN/RST等数据的分析更深入监测流量异常事件。http://www.netis.com.cn   by Vader Yang
在下一章节中，我们将以更深入的目光将可疑、异常的通讯流量进行更加深入的解析和定义。确保我们可以分离出真正的网络病毒、蠕虫的通讯流量，以便进行快速定位与紧急处理，保障网络的正常运行。


to be continued...

七哥哪去了？这篇章咱还没收入精华？！
终于等到V大的思路篇了，不容易啊！！！
这回V大怎么没有预留位置？
不过俺建议每一章都重新起贴，然后再总的一篇里把所有的链接都加上，这样方便大伙讨论和查看。

自从俺接触了Wildpackets的产品后，就一直比较喜欢用它，最大的原因在于他的思路可以让俺更清析。因为你无论在哪个模块，你都可以直接进入与之相关的另一组数据，而不用重新跳到某一块，这样就省去了很多找来找去的时间和精力，从而也避免了暂时无用数据的干扰！

热烈期待第二章节的出炉！！！！

[ Last edited by jingshne on 2005-9-6 at 22:45 ]

又有機會看到好文了，先試一下然後再收藏起?怼！！！

不错不错，可惜只是开了个头，其他的还期待大大继续哦。

不错!

希望在连载中能够看到定义病毒过滤器的详细方法和注意事项(当然前提是网络已公布病毒特征),这样,新的病毒或变种不再恐惧,至少可以抑制已知者泛滥.

请谈谈

Wildpackets OmniPeek/EtherPeek

与etheral

的区别。

我没用过Wildpackets OmniPeek/EtherPeek.

期待下一章节......

引用:

Originally posted by jingshne at 2005-9-6 10:41 PM:
七哥哪去了？这篇章咱还没收入精华？！
终于等到V大的思路篇了，不容易啊！！！
这回V大怎么没有预留位置？
不过俺建议每一章都重新起贴，然后再总的一篇里把所有的链接都加上，这样方便大伙讨论和查看。
...

出差中，回头在西西研究

建议同时给出PDF文档，比较好收藏和打印，辛苦v大了。

这句话我好喜欢！

真的很精彩啊，v老大就是不一样啊，多给我们新人一点指导吧

很不错的诊断方法！很新鲜的思路！小生在这里谢谢你的思想了！