第七步:通过流量查询我们可以了解到当前网络内流量最大的几个主机对应的IP地址信息,对他们的数据发送以及接收有一个清晰的了解,具体到数据包内容也可以通过软件查看。(如图8)
第八步:在流量矩阵中我们可以全面了解当前网络内各个主机的通讯情况,包括内网通讯以及外网通讯,所有主机之间的通讯在矩阵图中都以连线的形式存在。(如图9)
第九步:经过分析我们可以知道当前网络内哪些网络服务与应用最频繁,通过协议列表的排序可以将他们从多到少的进行排序。(如图10)
第十步:所有数据包的具体内容我们都可以通过双击的方法来详细查看,如果数据通讯以明文形式存在的话我们可以看到通讯双方的详细信息。关于通过sniffer类工具监控企业内网应用与流量的文章笔者也撰写过很多,感兴趣的读者参考之前我们的文章并自行研究即可。(如图11)
三、总结:
通过本文介绍的方法我们可以在无法设置镜像端口或者临时针对内网通讯做监控的条件下完成扫描工作,该方法实现的原理实际上是利用了假冒IP地址的办法来完成,将自己本机的IP地址设置为网关地址,这样内网所有设备也会将自己的通讯数据包发送到网关地址,从而让本机可以获取到这些数据。不过这种方法也存在着一定的不足,首先伪造IP地址会造成网络通讯速度缓慢,丢包现象发生概率会大大增加;其次修改IP后本机是无法顺利上网的,而设置镜像时本机也可以顺利上网,再次由于此方法是不得已而为之,所以与真正的设置镜像端口对内网进行监控所检测到的数据包数量会有一定的差别,相比正规方法而言捕获的数据包会少一些,会在一定程度上影响内网监控效果。所以说本方法只适合临时使用而不能拿来长期监控企业内网数据通讯。