出於書本 Chapter 8. Network Infrastructure

網路分析儀 (Network Analyzers)

允許使用者透過網路以及分析儀的資料來達到網路最佳化、安全性以及除錯等目的。通常，網路分析儀具備的功能有

• 攔截所有的網路流量
• 將找到的內容解釋或解碼人可讀懂的格式
• 按照時間順序 (chronological order) 顯示內容

網路分析儀能在評估安全性以及回應安全性災害上幫助的有

• 檢視匿名的網路流量甚至是追蹤到入侵者 (intruder)
• 在安全性災害發生前，透過分析儀建立網路活動與性能的基準，比如像是有在使用的網路協定、使用量趨勢與 MAC address。

當網路上面有不尋常的現象發生，分析儀能夠幫助的有

• 追蹤以及隔絕惡意的網路使用
• 偵測惡意的木馬應用程式
• 監控與追蹤 DoS 攻擊

來自作者的使用提示

第一，為了要攔截所有的流量，分析儀必須連到以下其中一種設備

• 網路集線器 (hub)
• 網路交換器 上 Monitor/Span/mirror 的通訊埠 (port)
• 被施展 ARP 毒化 (ARP poisoning) 的網路交換器

第二，如果是想基於 網路型入侵偵測系統 (Network-based IDS) 的角度來看網路流量，可以將分析儀按照下圖來架設

恩...有點超出腦袋的理解範圍了，暫停五分鐘

無論從防火牆的內側還是外側連線

因為分析儀能攔截到的資訊實在是太多了，可以優先檢查有沒有下列的問題：

• 詭異的流量，像是不尋常數量的 ICMP 封包
• 網路使用行為，舉例像是 Email 或是一些 P2P 軟體
• 是不是正在被駭？像是大量流入的 UDP 或是 ICMP 請求等
• 詭異的 hostname，比如明明你的系統名稱是有規律的像是 Computer 1，Computer 2 ...等，突然有一台的名字是 GEEKz4evUR 就很明顯有問題
• 一些像是 SMTP、FTP、DNS 與 DHCP 等伺服器需要被注意，可能會有吃掉網路頻寬、為非法軟體提供服務或是存取自家網路主機的問題。
• 攻擊像是 /bin/rm, /bin/ls, echo 的應用程式，還有其他如使用 SQL query 與 Javascript injection 等攻擊應用程式的方式。

因應對策

網路分析儀可以是好朋友也是壞朋友，好的是能夠確保安全性策略是完全被遵守的，反之也有可能變成攻擊別人的工具。

透過實體的安全性來因應

• 請陌生人遠離機房
• 確認一些沒有人監管的區域，像是無人使用的大廳，沒有任何的正在連接的網路連線

蛤？還有分析儀偵測工具

指的就是前面有提到的 network-based 或是 host-based 的入侵偵測系統，展開的話相信絕對又是好幾個篇幅跑不掉，就到這裡為止吧。

夜又深了...網路攻擊果然是大魔王，明天來看 DoS 攻擊！