Cómo utilizar la captura de paquetes Wirehark para analizar el protocolo ftp

¿Eres administrador de red? ¿Alguna vez ha tenido esta experiencia? Una mañana, de repente, descubrió que el rendimiento de la red disminuyó drásticamente, los servicios de red no se podían proporcionar normalmente, el acceso al servidor era extremadamente lento o incluso inaccesible, los indicadores del puerto del conmutador de red parpadeaban locamente y la salida de la red del enrutador siempre estaba encendida. Con carga completa, la CPU del enrutador alcanzó el 100% de carga... El fenómeno reapareció y se reinició a los pocos minutos.

¿Cuál es el problema? ¿Está roto el equipo? Es imposible que varios dispositivos tengan problemas al mismo tiempo. Debe haber algunos archivos de datos de tráfico grandes que ocupan los recursos del equipo de red. ¿Qué son? ¿Cómo verlos? En este punto, los administradores de red experimentados pensarán en utilizar herramientas de captura de paquetes LAN para analizarlos.

Debes haber oído hablar de Code Red, Nimda, Shockwave y Shockwave; todos ellos son famosos ciberasesinos. Son ellos quienes crean todos los males mencionados anteriormente. Llegan con fuerza, obstruyendo la red, infectando hosts y haciendo miserables a los administradores de red. Cuando aparece un virus de red, ¿cómo podemos descubrir a tiempo el host infectado? Basado en las características de los virus de red que escanean direcciones de red, el siguiente autor presenta un método muy práctico: utilizar herramientas de captura de paquetes para encontrar la fuente del virus.

1. Instale el capturador de paquetes. El propósito es utilizarlo para analizar el contenido de los paquetes de red. No es difícil encontrar versiones gratuitas o de prueba de herramientas de captura de paquetes. Utilicé una herramienta de captura de paquetes llamada SpyNet 3.12, que es muy pequeña y rápida. Una vez instalado, tenemos un host de captura de paquetes. Puede utilizar SpyNet para configurar el tipo de captura de paquetes, por ejemplo, si desea capturar paquetes IP o paquetes ARP, y también configurar parámetros de filtrado más detallados según la dirección de destino.

2 Configurar el enrutamiento de red. ¿Su enrutador tiene una puerta de enlace predeterminada? Si es así, ¿hacia dónde apunta? Apuntar la puerta de enlace predeterminada a otro enrutador durante un brote de virus es peligroso (a menos que desee desactivar ese enrutador). En algunas redes empresariales, generalmente solo apunta a la ruta dentro del segmento de dirección de red, no a la ruta predeterminada, por lo que la ruta predeterminada debe apuntar al host de captura de paquetes (si no muere, ¿quién lo hará?). el rendimiento de este host es mejor ser mayor, de lo contrario será fácil que el virus lo mate). De esta manera, la mayoría de los escaneos emitidos por esos hosts de virus se enviarán a su puerta automáticamente. O asigne la salida de la red al host de captura de paquetes para que se analicen todos los paquetes de red a los que se accede externamente.

3. Inicie la captura de paquetes. Ahora que el host de captura está configurado y los paquetes se han enviado a través de la red, echemos un vistazo a lo que realmente se transmite a través de la red. Abra SpyNet y haga clic en Capturar. Verá que se muestran muchos datos, estos son los paquetes capturados (en la foto).

La ventana principal de la figura muestra los paquetes capturados. Enumera el número de secuencia, la hora, la dirección MAC de origen-destino, la dirección IP de origen-destino, el tipo de protocolo y el número de puerto de origen-destino del paquete capturado. No es difícil ver que el host con la dirección IP 10.32.20.71 envió solicitudes de acceso a una gran cantidad de hosts diferentes en un corto período de tiempo, y el puerto de destino era el 445.

4. Encuentra el host infectado. Según los paquetes capturados, el host 10.32.20.71 parece sospechoso. Primero, veamos la dirección IP de destino. ¿Existen estas direcciones en nuestra red? Es posible que estos segmentos no existan en la red. En segundo lugar, en circunstancias normales, ¿es posible que el host de acceso inicie tantas solicitudes de acceso en un período de tiempo tan corto? ¿Es normal emitir decenas o incluso cientos de solicitudes de conexión en un milisegundo? Obviamente, debe haber algún problema con este host 10.32.20.71. Nuestro diagnóstico se confirmó aún más al comprender que el protocolo Microsoft-DS es vulnerable a ataques de denegación de servicio, conectándose al puerto 445. Esto facilita encontrar la dirección IP del host infectado. Todo lo que queda por hacer es parchear el sistema operativo del host para eliminar el virus.

Ahora que hemos capturado el paquete de virus, echemos un vistazo al contenido binario descodificado del paquete:

Estos paquetes tienen 62 bytes de longitud cada uno.

Los primeros 12 bytes del paquete incluyen la información de la dirección de la MAC de destino y la MAC de origen, y los 2 bytes siguientes indican el tipo de paquete, donde 0800 representa el formato del paquete IP y 0806 representa el formato del paquete ARP. Los siguientes 20 bytes son el encabezado IP encapsulado, que incluye las direcciones IP de origen y destino, el número de versión de IP y otra información. Los 28 bytes restantes encapsulan el encabezado TCP, que incluye los puertos de origen y destino, información del estado del enlace TCP, etc. Esto constituye un paquete de 62 bytes. Se puede ver que, aparte de estos datos del encabezado, este paquete no lleva ninguna otra carga útil, por lo que es un paquete vacío que solicita la sincronización del puerto TCP 445, es decir, el host del virus está escaneando el puerto 445. Una vez que un host infectado se sincroniza con el puerto 445 de un host desprotegido, aprovecha las vulnerabilidades del sistema para propagar la infección.