你好,这里是网络技术联盟站。
9月5日发生的西北工业大学遭美国NSA网络攻击的事情大家相信在各种渠道都听说了,作为技术人员,你知道如何针对访问的流量进行分析,找到其发源地吗?
前提说明
当然了,国家怎么找到攻击源头的,我们不知道,因为既然是网络攻击,肯定不是普通意义上用到的技术,已经超出我们在看的各位的技术储备,本文要介绍的是一个简单的方法,不过也不是非常简单,很多人也没有使用过。
先直接给大家看下效果:
我们看到流量会直接以地图的形式展示出来,这个统计是通过大家都知道的wireshark抓包工具实现的,下面我们来详细的介绍一下如何使用。
WireShark/MaxMind
WireShark是一个家喻户晓的抓包工具,不多解释了,通过WireShark可以很轻松的去进行抓包分析,一般小的入侵也能通过WireShark去分析出来。
MaxMind,可以简单的看作是为IP地址提供位置数据的工具。
我们知道使用WireShark可以直接知道某个数据包的源目IP地址,但是绝大数时候,我们不会去一个ip地址一个ip地址去查属于哪个国家哪个城市,这个时候,很难直观去统计出或者看出数据包的来源地。
那么MaxMind结合WireShark就可以实现。
演示效果
首先我来演示效果:
第一步:打开WireShark并开启抓包。
第二步:先看下目前流量涉及哪些地区。
我们看到由于我目前是在中国,所以只有中国的点。
第二步:ping一下其他国家的ip。
14.102.132.1
2.58.252.1
41.71.0.1
先ping这三个国家的吧:
ping 14.102.132.1
ping 2.58.252.1
ping 41.71.0.1
由于是国外的站点,所以丢包正常哈。
我们再来看下WireShark抓到的包:
然后我们再来看下流量地图:
是不是很清晰看到了上面我们ping的三个国家的地址了,中间还有香港和新加坡的点是因为路由的问题,我用了代理。
和入侵事件绑定
想象一下,假如境外不法分子通过WireShark能够捕获的协议进行攻击你,恰好你的服务器也进行了抓包分析,这个时候结合这个工具就很容易的直观的追踪到大概是哪个国家哪个城市的服务器攻击你,可以节省很多时间。
WireShark如何集成MaxMind?
下载MaxMind
访问https://www.maxmind.com/en/accounts/762406/geoip/downloads进行下载以下三个文件:
首次下载需要先注册注册,有点麻烦,如果不想注册下载的,可以在本公众号【网络技术联盟站】后台回复” MaxMind“即可,我都下载好了。
解压相关文件
如果通过公众号下载的,这步可以省略。
我们将解压后的文件夹中,以.mmdb结尾的文件集中到某个文件夹中,这里我新建了一个名为MaxMind的文件夹:
WireShark集成MaxMind
打开WireShark,菜单栏点击【编辑】,点击【首选项】,点击【Name Resolution】:
拉到底,我们会看到【MaxMind database directories】,这里就是要设置我们刚刚新建的MaxMind文件夹:
点击【ok】,到此集成结束。
💡 总体来说,没啥难度,主要就是下载,这块下载地址比较难找,我也是找了半天才找到,还有就是需要注册,有时候网络访问还挺慢。
使用MaxMind的map功能
第一步:打开WireShark开启抓包:
第二步:点击菜单栏【统计】——>【端点】:
第三步:map
这里我们看到底部会有map功能,这个就是生成地图的按钮:
我们可以选择不同协议的map功能:
这里我们选择IPV4,选择在浏览器中打开:
这个时候你就看到了本地给你生成了一个html文件,相关流量的地图也就呈现出来了:
至此,使用MaxMind的map功能完成了。
总结
通过这次西北工业大学遭到美国攻击的事件,我们自己也要时刻保持警惕,将网络安全置为重中之重。本文下部分给大家介绍了地图化显示IP流量信息,使用的工具就是家喻户晓的WireShark抓包工具,集成MaxMind即可实现,大家看完本篇文章后也可以去试试哦。
希望本文对您有所帮助,最后感谢您的阅读,如果觉得文章对您有帮助,别忘了点赞👍、收藏⭐哦!有任何问题,欢迎在下方评论区与我讨论!!!
