网络安全之实战网络流量分析

gg336x280();92.83-1080-0-1388-1080.jpg" alt="网络安全之实战网络流量分析" />

网络安全之实战网络流量分析

学习目标

流量分析技术的原理和分析工具详细阐述结合实例进行网络流量分析

阐述如何快速发现、分析问题，进而解决问题

有针对性分析蠕虫病毒、ARP攻击、DOS攻击、路由问题、软件的资源滥用等危害网络正常运行的行为

个人目标

掌握流量分析原理、技巧娴熟使用流量分析工具从容应对网络安全事件

目录

1.

2.3.44.5.6.77.8.9.

关于网络流量分析网络流量分析工具

网络链路利用率监控分析数据包数量监控分析

危害网络的异常流量分析TCP连接建立关闭过程分析TCP数据传输分析应用流量分析

实例抓取明文传输的密码

1.1什么是网络流量分析

网络流量的分析就是对在网络中传输的实际数据流进行分析，网络数据流的分析包括从底层的数据流一直到应用层数据的分析，有时也称之为协议分析。

1.2为何要分析网络流量

网络流量分析的目的就是了解、发现、分析、证明管理好网络不只是了解拓扑、设备、配置等了解

-网络运行规律的了解

-网络应用运行规律的了解-网络用户的网络行为发现

-网络运行异常的发现-网络应用运行的异常发现-网络用户的异常网络行为

1.3网络流量分析的意义

有助于维护网络持续、高效、安全运行的一种手段有助于维护网络持续、高效、安全运行的种手段

取得对网络运行管理、应用运行管理、网络应用问题分析有意义的数据-利用率-传输率-bps-pps-延时-重传-连接数

举例：如血液中的白血球数量无论体检还是生病都要对其检查但数据还要结合个人举例：如血液中的白血球数量，无论体检还是生病都要对其检查，但数据还要结合个人的具体情况：年龄、是否怀孕、身体情况等。流量分析也是同理，针对收集数据结果并结合网络或应用的实际情况进行分析，不要见点说面。

2.1网络流量分析工具的工作原理

软件和硬件共同组成，硬件负责流量的取得，软件负责流量的分析和数据展示网络流量的取得

-网络流量分析的对象是网络流量，而网络流量的获取是分析的基础和前提

硬件网络接口卡：不同类型的网卡分析不同类型的网络最早用来做流量分析的网-硬件网络接口卡：不同类型的网卡分析不同类型的网络，最早用来做流量分析的网卡是以太网卡和token ring romom网卡，随着技术发展很多厂商生产专用的流量分析网卡，后者性能比普通网卡提高很多。

-获取网络流量时网卡要处于promiscuous模式，否则只能收广播和单播数据-流量映射方式

span tapp流量分析主要依靠软件实现，一般具备统计分析、智能分析、捕获和解码分析-统计分析：针对一段时间内数据包的统计，包括数据包数、字节数等统计分析针对段时间内数据包的统计，包括数据包数、字节数等-智能分析：根据数据流特征匹配比对，提供针对性的分析结果

2.2sniffer功能

实时网络流量监控分析

-网络总体流量实时监控统计-协议使用和分布统计-包尺寸分布统计

-错误信息统计：如CRC-主机流量实时监控统计-会话对流量实时监控统计

-历史抽样统计：如传输率、利用率强大的捕捉和解码能力-支持580多种协议解码-过滤器设置-实时告警功能-专家系统智能分析-可视化过滤

-配合sniffer reporter 生成报表

-应用智能分析：提供对应用交易处理时间、网络传输延时、应用智能分析提供对应用交易处理时间网络传输延时TCPTCP层数包重传等分析层数包重传等分析

3.1网络链路利用率

年份

某互联网链路6年间网络流量和利用率统计

流量大小（Mb/s）1.51191.91.992.212.863.172.874.25055.055.148.789.4110.6313.2615.52178117.8115.9224.8628.3728.7532

333348888824243232565664155155310310

链路带宽（Mb/s）

50.4063363.366.373.671.439.735.952.563163.164.336.639.233.241.427.731831.824.91618.39.310.3

平均利用率（%）

200520052005200520062006200620072007200720082008200820082009200920092009200920102010

网络链路利用率指段时间内网网络链路利用率指一段时间内网

络中实际网络流量同网络理论最大传输流量的比率。

网络链路利用率计算公式：网络总流量/（理论带宽×时间）不同网络类型采用不同的计算公式，此处只以以太网为例

网络链路利用率与网络服务质量络链路利率与络务质的关系变化，如右则表示例。从结果得知该链路的网络流量从151-321.5132增加了20多倍，但网络带多倍但网络带宽也从3-310增加了近100倍，可网络的利用率在不断下降。增加带宽带来利用的下降，从而使用服务质量得到提高例如高速公服务质量得到提高，例如高速公路，走的车少跑的就快，所享受的服务质量就越好！

3.2网络链路利用率对网络丢包和传输延迟的影响

网络链路利用率代表网络拥塞程度，由于网络流量有突发特性，所有高利用率将导致丢

包、大延时。

当需要传输的流量大于网络链路的传输能力时，此时形成传输瓶颈，网络设备会把数据

包放到传输队列等待，当数 …… 此处隐藏：1609字，全部文档内容请下载后查看。喜欢就下载吧 ……