使用 ntop 跟 Wireshark 来侦测网路异常流量

最新推荐文章于 2025-03-22 11:01:34 发布
最新推荐文章于 2025-03-22 11:01:34 发布
阅读量2.7k 收藏 1
点赞数
文章标签: windows suse linux filter 跨平台 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ystuan/article/details/5058285
版权
本文介绍了如何通过三个步骤检测网络异常流量的来源。首先,找到一个所有流量都经过的节点,如设置镜像端口或使用集线器。其次,安装并使用ntop监控流量,找出异常IP。最后,利用Wireshark,通过过滤特定IP查看详细封包内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(2009/12/4发表于台湾乐多日志)

常常看到 iT邦帮忙 有网友在问如何找出网路异常流量的来源,一时手痒回了一篇三步骤抓出网路异常流量的ip ,决定搬回来网志放着。又,下文中提到的在MS Windows安装、使用 ntop 跟在(SUSE Studio 客制化的 openSUSE 11.1 )Linux 环境下使用 ntop ,我都简单实做一次了(算是PoC, Proof of Concept),将会陆续发表

第一步骤:找出一个所有封包会经过的节点
既 然要监控流量,就要找一个点,是相关流量都会经过的。不然现在都是 switch 的环境,虽然 Wireshark 跨平台,很多作业系统都可以装,妳高高兴兴的装好,打开看到一堆封包,正在 嗨 的时候,才发现那些封包都是本机跟别人的流量,别台机器的流量都被 switch 区隔开啦!(看到少量别台机器的封包也先别急着高兴,应该都是 broadcast 之类的)

所以如果环境有 switch ,就需要开一个 mirror port,把装好 Wireshark 的电脑插上那个 port 。

不然,如果环境可以串一个 dumb hub 也行,这样所有的流量都会经过这个 hub ,把那台装好 Wireshark 的机器也插上去,就可以监控所有

最低0.47元/天 解锁文章
ystuan
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
网络安全·Wireshark取流量
不忘初心,护天下安全!
04-10 6981
一、Wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件
使用 wireshark 高效,准确地鉴别出入站的恶意流量
Rodney443220的专栏
02-12 9175
转载 http://shayi1983.blog.51cto.com/4681835/1598656 这篇博文实际上是 http://shayi1983.blog.51cto.com/4681835/1558161 的继续,讲解一些实用的数据包分析技巧,帮助安全架构师们迅速,准确地定位那些恶意的数据包; 在分秒必争的安全突发事件与安全取证工作中,这些高效的方法显得
wireshark取网络数据包
qq_46359931的博客
11-20 1779
目录疯狂聊天程序分析wireshark抓包参考 疯狂聊天程序分析 疯狂聊天程序采用UDP协议,端口号为电脑自身空余端口号。 UDP是传输层的协议,功能即为在IP的数据报服务之上增加了最基本的服务:复用和分用以及差错检测。 UDP提供不可靠服务,具有TCP所没有的优势:UDP无连接,UDP没有拥塞控制等。 wireshark抓包 打开wireshark,在关闭除wlan外所有网卡后,两电脑打开疯狂聊天程序,发送消息: 电脑cmd打开终端以命令ipconfig/all 查询自己电脑的ip地址 在wiresha
Wireshark实战:5大黑客攻击流量特征曝光!附抓包过滤秘籍
最新发布
shejizuopin的博客
03-22 438
某金融企业应用本文方案后,成功检测到隐藏在TLS加密中的C2通信,阻止了一起价值800万美元的APT攻击。每周运行一次全流量健康检查对新上线业务进行72小时重点监控参与CTF比赛提升流量分析能力立即行动将文中过滤语法加入您的Wireshark配置,使用Lua脚本实现7×24自动化监控!遇到特殊攻击场景?评论区留下pcap样本,作者亲自进行流量分析!
Wireshark数据分析IP
1stPeak's Blog
04-29 9613
一、打开wireshark,有线上网就选本地网卡,无线上网就选无线网卡(我用的是wifi,所以我选择WLAN) 二、ctrl+F,按下图方式配好数据 三、用电脑QQ向对方发起QQ电话,随后取消(目前版本,对方可以不接听,照样可以获取到) 四、点击第二步图中的查找按钮 五、查看本机WLAN的IP 发现本机IP为100.64.54.49,所以目标IP为223.104.145.241 六、定位...
如何使用Wireshark捕获,过滤和检查数据包
cum44153的博客
09-26 3361
Wireshark, a network analysis tool formerly known as Ethereal, captures packets in real time and display them in human-readable format. Wireshark includes filters, color coding, and other features tha...
在MS Windows上安装、使用 ntopWireshark侦测网路异常流量
帝国反抗君 - PowerOp
12-22 3837
(2009/12/7发表于台湾乐多日志)(本篇着重在安装及简单使用,关于基本概念,请参见前一篇使用 ntopWireshark侦测网路异常流量ntop 这个自由软体,官方没有提供编译好的 MS Windows 版本,自己编译我也不会,建议去下载 NTop_XTRA 这个由 OPENXTRA 公司编译好的版本 NTop_XTRA_3_18_0.exe,虽然有点旧
ntop流量分析
12-27
它能够帮助网络管理员深入了解网络活动,识别潜在的问题,如带宽瓶颈、异常流量模式以及网络安全威胁。ntop 支持多种操作系统,包括 Linux、FreeBSD、Mac OS X 和 Windows。 在开发过程中,ntop 的一个重要功能是其...
inet_ntop使用_如何使用ntop工具监视网络流量和统计信息?
cunjiu9486的博客
10-07 965
inet_ntop使用ntop is network traffic and statistic monitoring tool. ntopprovides similar philosophy to top command. There is also web based gui which makes it elegant to use. ntop packages are provided ...
Redhat5下完整指南:搭建与使用ntop监控网络流量
本文档详细介绍了在Redhat5系统中搭建ntop服务的步骤,ntop是一款强大的网络流量监控工具,能够提供网络性能的实时视图。以下是搭建ntop服务的关键知识点: 一、系统支持 在安装ntop之前,确保Redhat5系统已经安装...
利用Wireshark抓包找出局域网内ARP异常主机
发量堪忧
06-29 1942
找出局域网内发出最多ARP请求的中毒或者异常主机
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 2146
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
NTOP——精确监控网络流量的新生力量
gxj022的专栏
09-06 1124
【转自】 http://smallbizit.ctocio.com.cn/tips/31/6240031.shtml 监控网络流量常用MRTG这个工具,这里介绍另一个工具—NTOP。用NTOP显示网络的使用情况比MRTG更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。 NTOP的功能 NTOP主要提供以下一些功能: ◆ 自动从网络中识别有用的信息; ◆ 将截获的数据包转
网络流量监控工具与分析NtopNtopng
Insane_linux的专栏
07-26 3090
Ntop工具NtopNtop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。Ntop甚至可以列出每个节点计算机的网络带宽利用率。Ntop工作方式 1. 命令行界面 2. web界面Ntop的功能 1. 可以自动从网络中获取有用的信息 2. 可以将获取的数据包信息转化为可识别的格式 3. 可以记录网络的通信时间和过程 4. 发现网络环境中的通信 5
wireshark流量分析--巧用过滤
D-R0s1的博客
09-17 6921
       流量分析在CTF的杂项中占着很重要的一个部分,其实流量分析一般来讲也有一些小的技巧,在拿到流量包的时候,可以先利用过滤规则,过滤一波例如key,ctf,flag。这在ctf中将会是一个十分可以提高效率的工作。 现在咱们使用一道流量分析的目来具体感受一下,首先,过滤一波,http contains”flag” 一过滤,果真能过滤出来东西,过滤出来以后一个一个追踪流, 当追...
Wireshark 如何捕获网络流量数据包
weixin_33739523的博客
09-02 2321
转自:http://www.4hou.com/web/7465.html?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io 导语:在本文中,您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到,Wireshark如何捕获不同的网络流量数据包,用于打开和关闭端口。 ...
Wireshark进阶之网络问题案例分析
Mi1k7ea
10-24 9354
本文假定的基础是阅读者会使用Wireshark了,这里就对一些应用的场景以及一些不正常的网络环境来进行分析的案例~ 这里先列一下筛选器的语法: 过滤语法: 限定词 例子 Type host、net、port Dir src、dst Protocol ether、ip、tcp、udp、http、ftp 逻辑运算符:&&
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值