<IMG src="http://www.net130.com/CMS/Files/Uploadimages/matrix3.GIF">

我们注意到这台机器向公网发出大量的ICMP包，那是在作什么？（同学们：在ping)

对！PING采用ICMP协议，ping可以用来扫描，也可以用来攻击。

扫描就是看那一台机器活着，接着扫描端口，在攻击，所以扫描是攻击主机的前奏。

另外，还可以用ping 来冲击路由器，或占用带宽，是一种DOS攻击。

大家看这个过程更像哪一种类型。

（同学们：扫描，DOS攻击）

一般情况下，扫描会是比较连续的地址，我们看这个地址并不连续，我们先排除扫描，当然不是绝对的，也有比较聪明的扫描。

有同学说，这是DOS攻击，那是冲击路由器，还是占用带宽？

（同学们：冲击路由器）

嘿，这次比较统一，我也觉得他在冲击路由器，我们看，他的目标地址基本不在一个网段，这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。所以对路由器有一定冲击。

一般来说，如果他想占用带宽的话，会发大包，我们发现，包的长度不大，并且一秒钟才发10几个包，所以对贷款冲击不大。

或许大家会觉得这没秒10几个包对路由器冲击也不大呀。大家想像一下，如果有很多机器在作这个操作，那影响就会很大。

大家自己在找一找，是否还有其他机器在作同类事情。

（同学们找出7台这样的机器）

好大家找出7台这样的机器，怎么找出来的？有同学用钢材的办法，有同学用过滤，都市好办法。

现在假设在你们的网络中出现这样的情况，我们发现了异常，接下来怎么做？

（同学们：找到这台机器）

然后呢？

我们可以看看这台机器的任务管理器，看看有什么不常见的进程，把他去掉，看是否解决。在看其他的机器，是否有类似的特征。

这是我的一个学员发给我的，当时他发现这7台机器都有一个特殊的进程，但是他的防病毒软件没有查出来。他手工解决了。

这很好说明用Sniffer可以比防病毒软件更快发现病毒，因为防病毒软件是后知后觉得，什么意思？防病毒软件必须有相应的特征才能查病毒。而Sniffer通过流量可以发现一些特征，一些异常。

但是有一点，我们不能拿Sniffer当防病毒软件用，那不是他的特长，同时也太低沽Sniffer的功能了（同学们笑）

好我们在看看扫描是怎么一回事，大家看这个trace file（范老师在演示，我就不写了）

先是ARP扫描，再端口扫描，接下来就是攻击了。

（编者：接着我们做了一个游戏，范老师让大家用Sniffer攻击他的机器，结果1台机器就把他的机器搞死了，这个就不细说了）

<IMG src="http://www.net130.com/CMS/Files/Uploadimages/art4.GIF">



本新闻共2页,当前在第1页 1 2