Wireshark分析网络封包

　　接下来就是找出发送这些非法报文的源头，即潜藏在服务器群中的“内鬼”。但是由于服务器群中服务器数量众多，普通查找会费时费力，所以就需要借助Wireshark这款免费开源但又功能强大的网络协议解析软件，同时还需要交换设备通过端口镜像技术把待查端口的流量镜像到监控端口，以供Wireshark分析。

　　首先将服务器区汇聚交换设备进行端口镜像设置，配置如下：

　　[Server Switch] mirroring-group 1 local
　　/*建立本地镜像组＊/
　　[Server Switch] mirroring-group 1 mirroring-port g 2/0/1both
　　/*设置被监控的源端口，并将该端口双向数据流进行镜像复制，如果能确定需监控的是哪一方向的数据流，可设置单向数据流，减轻侦测压力；如果是源端口接收的数据流，则设置inbound，如果是发送数据，则设置为outbound＊/
　　[Server Switch] mirroring-group 1 monitor-port g 4/0/46
　　/*设置监控端口，源端口的镜像数据流副本将会发送至此端口，这样Wireshark就可以进行数据分析＊/

　　设置好服务器区汇聚交换设备的端口镜像，就可以将安装Wireshark软件的计算机用网线和设置好的监控端口连接起来，开始抓取与分析数据(如图4所示)。

图4 Wireshark抓取源端口网络数据包

图5 网卡选取列表

　　打开网卡选择列表(如图5所示)，从中选择与监控端口连接的网卡。

　　点击对应网卡前的“Start”按钮，开始抓取源端口的网络数据包。

　　结合图3中的异常会话里的IP地址a.a.a.X，很容易就能确定发送异常会话的服务器的物理网卡地址。

　　开启URPF功能，抓捕“内鬼”

　　由于断网的情况还在继续，必须马上将网络环境恢复正常，而后处理问题服务器。

　　开启服务器区汇聚交换设备的URPF功能，将DoS攻击消灭于端口：

　　[Server Switch] ip urpf strict
　　/*开启交换设备的URPF功能＊/

　　设置完毕后，断网情况消失了，接下来就是清算潜藏在服务器群中的“内鬼”。

　　本文是根据校园网的实际情况，针对一起由DoS攻击造成的网络事件，介绍了网络管理人员在网络故障的情况下利用交换设备的既有功能端口镜像做辅助，调用网络协议分析软件Wireshark进行解包分析，同时与URPF技术相结合，既快速抑制网络动荡，又准确定位故障根源，从而为高校的网络攻击事件提供一个安全有效的故障排除模式。

　　（作者单位为天津科技大学信息化建设与管理办公室）