还剩1页未读,继续阅读
文本内容:
如何用抓包工具把电脑病毒揪出来WEB安全电脑资料下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法用抓包工具寻找病毒源,你是网络员吗?你是不是有过这样的经历在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了这是什么问题?设备坏了吗?不可能几台设备同时出问题一定是有什么大流量的数据文件,耗尽了网络设备的资源,它们是什么?怎么看到它们?这时有经验的网管人员会想到用局域网抓包工具来分析一下你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手就是它们制造了上述种种恶行它们来势汹汹,阻塞网络、感染主机,让网络管理员苦不堪言当网络病毒出现时,如何才能及时发现染毒主机?下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法用抓包工具寻找病毒源1.安装抓包工具目的就是用它分析网络数据包的内容找一个的或者试用版的抓包工具并不难我使用了一种叫做SpyNet
3.12的抓包工具,非常小巧,运行的速度也很快安装完毕后我们就有了一台抓包主机你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数2.配置网络路由你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡),3.开始抓包抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么打开SpyNet点击Capture你会看到好多的数据显示出来,这些就是被捕获的数据包况列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容很容易看出IP地址为
10.
32.
20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端...。