《内网流量管理与数据监控》由会员分享,可在线阅读,更多相关《内网流量管理与数据监控(42页珍藏版)》请在金锄头文库上搜索。
1、内网流量管理与数据监控丰台信息中心 阮征2009年1月内网流量管理与数据监控的目的内网各个主机之间的通讯都是通过数据 包来完成的,在数据包中标识了通讯内容,通讯 协议,发送源地址以及目的地址信息,我们可以 通过分析这些数据来了解当前网络的运行情 况,在第一时间排查故障.一些常见的病毒入侵 ,网络性能问题都可以通过分析数据包来发现 故障源头.通过监控工具捕获的数据包内容能够顺利捕获内网通讯数据的前提(1)支持数据捕获功能的以太网卡(有线 或无线)(2)具备监控功能的软件sniffer类工具(3)开启镜像端口实现数据全面监控支持数据捕获功能的以太网卡(有线或无线)有线网卡方面:现在主流计算机相关网
2、卡都具备数据捕获功能.无线网卡方面:最好是基于Atheros及其兼容芯片的网卡,如果 是其他芯片容易影响监控效果.(例如迅驰类)能够顺利捕获内网通讯数据的前提(1)支持数据捕获功能的以太网卡(有线 或无线)(2)具备监控功能的软件sniffer类工具(3)开启镜像端口实现数据全面监控具备监控功能的软件Sniffer类工具有很多种,原理都大同小异,基本都是将 通过网卡的数据复制一份进行分析.比较常用的工具 有以下几种.(1)Sniffer pro-windows平台(2)Ethereal- Windows平台+ Unix平台 (3)OmniPeek-Windows平台(4) Tcpdump-Un
3、ix平台 (5) snort-Unix平台 (6)科来网络分析系统-国产 Windows平台Ethereal网络数 据包分析工具主要功能: 捕获信息包并且进行分析 监测网络故障 学习内部网络协议 主要特性: 支持Linux和windows系统 实时捕捉网络接口的数据包 支持与其他工具的数据的导入和导出 支持多种方式查找信息包 支持多种颜色显示不同类型的信息包EtherealSniffer ProSniffer 软软件是NAI 公司推出的功能强 大的协议协议分析软软件。利用Sniffer Pro 网络络分析器的强大功 能和特征,可以解决网络问题络问题,创创建一套合 理的故障解决方法.Sniffe
4、r ProSniffer Pro科来网络分析系统科来网络分析系统是一个让网络管理者,能够在各种网络问题中, 对症下药的网络管理方案,它对网络中所有传输的数据进行检测、 分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性 能,增大网络可用性价值。 科来网络分析系统安装科来网络分析系统跟随我一起安装科来网络分析系统 6.9 技术交流版 授权用户: 阮征 公司名: 丰台信息中心 产品序列号: 26795-16811-19085- 60050-59030-22161 产品授权号: 63127-30184-60321- 23259-51000-24139-78124 下载地址: http:/能够
5、顺利捕获内网通讯数据的前提(1)支持数据捕获功能的以太网卡(有线 或无线)(2)具备监控功能的软件sniffer类工具(3)开启镜像端口实现数据全面监控为什么需要设置镜像端口来监控(1)不设置镜像端口能否监控到数据?(2)路由交换环境下镜像端口在哪儿设置?(3)如何设置镜像端口?镜像端口的意义(1)什么是镜像端口?端口镜像(port Mirroring)把交换机一个或多个端口( VLAN)的数据镜像到一个或多个端口.(2)不设置镜像端口我们能做什么?当我们没有设置镜像端口针对本地网卡进行监控时所能捕 获的仅仅是本机流量以及网络中的广播数据包,组播数据包;而其 他主机的通讯数据包我们是无法获取的
6、.(3)如何设置镜像端口?对于交换式网络来说我们可以在交换机或路由器上设置镜像端 口,指定交换机多个或所有端口镜像到一个端口,这样通过连接该 端口并监控就可以捕获多个端口的总流量数据了.华为3COM路由交换设备上配置端口镜像首先我们来了解下如何在命令提示界面下针对端口镜像进行配置,我们选择的是华为3COM 公司出品的路由交换设备,当然CISCO设备配置步骤类似,只是具体指令有所区别而已。第一步:首先我们访问路由交换设备的管理地址,通过正确的帐户名称与密码进入,使用super 命令进入高级模式并通过sys进入配置模式。华为3COM路由交换设备上配置端口镜像第二步:我们使用如下命令来添加端口镜像。
7、 Quidway mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48,这个指令的意思就是建立一个镜像对应群组关系,我们命令 为1,当然同一个路由交换设备他的不同mirroring-group是通过这个序号来区别 的,接下来的inbound表示是传入方向的数据进行镜像,之后则是把Ethernet 3/1/48端口设置为Ethernet 3/1/1接口的镜像,通过监控Ethernet 3/1/48接口 实现对流入Ethernet 3/1/1接口数据包的监视与统计。华为3COM路由交换设备上配置端口镜像第三步:最后
8、再通过SAVE或COPY run start等命令保存配置更改后就可以实现 端口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接 口来分析流入Ethernet 3/1/1接口的网络数据包。 小提示: 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的,我们可以通 过“接口1 接口2 mirrored-to 镜像端口”命令来实现将多个端口对应一个镜像接 口,另外还可以通过“接口1 to 接口8 mirrored-to 镜像端口”来实现将1到8这几 个端口对应一个镜像接口的功能。图形化界面下镜像端口的设置当然除了CISCO与华为3COM公司的产品外,
9、我们还经常会碰到不少中低端路由 交换产品,他们同样具备设置镜像端口的功能,而且这类设备在界面显示方面更加人 性化,配置都可以通过图形选择来完成,下面我们就以侠诺公司的FVR420v为例进行 介绍。 第一步:首先通过IE浏览器访问http:/192.168.0.200设备管理地址,输入正确的帐户 信息和密码进入.图形化界面下镜像端口的设置第二步:接下来我们在管理界面左边找到“端口管理”,我们会看 到所有端口状态以及他们属于的VLAN信息。在最上面我们会看到一个 选项,名为激活端口1为端口镜像,我们将此选项打上对勾即可。这样 端口1自动配置为镜像端口。图形化界面下镜像端口的设置第三步:确定保存修改
10、设置并退出,这时我们从“端 口管理”-“端口状态即时显示”中选择端口1,查看 其流过数据流量就会看到有惊人的变化,通过端口1 的数据流量迅速增加。这是因为该端口已经成为了 设备的镜像端口,所以流入各个以太网接口的正常 数据报文都会被设备复制成镜像报文并发送到以太 端口1这个镜像端口了。通过简单的图形化界面设置我们轻松实现了开启端 口1为镜像端口功能,从而保证在不影响网络传输性 能和稳定性的前提下实现对数据的管理和监控。使用科来网络分析系统监控内网启动软件后点“立即开始采集按钮”-网 络适配器标签-选择网卡.科来网络分析系统支持有线和无线网卡监 控,不过一次只能指定一个网卡进行监控.界面简介监控
11、标签实战1:资深网管教你如何教控内网流量观看老师演示视频录象实战2:忘记管理地址莫慌用sniffer巧解决观看老师演示视频录象实战3:ARP欺骗病毒巧排查扫描监控所有数据包,在左边查找数据包处按照协议来浏览,查看ARP信息,因为在学校 最容易出现的就是ARP欺骗蠕虫病毒了,而且这个学校的故障症状也是全学校计算机无法上网 ,很可能就是虚假网关造成的问题。在ARP数据包下笔者查看“诊断”标签下的信息,在这里看 到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP 欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包,目的地址是内网所有IP,所以 当该IP没有
12、对应活动主机时就会产生无应答的现象,这也是ARP欺骗病毒的一个显著特征。实战3:ARP欺骗病毒巧排查记录下太多的ARP请求数据包而没有得到应答计算机的源地址MAC地址,笔者 一共发现了有三台这样的计算机,MAC地址依次是 001e8c0218a3,001d60fca3da,001d60fca01c.接下来在左边找到这三个MAC地址 对应的主机,查看单个主机的流量信息,经过查询发现每个主机发送的数据包多以 ARP数据包为主,而且具体内容是告诉目的地址58.129.91.126这个IP地址对应的 MAC为上述三个MAC地址。实战3:ARP欺骗病毒巧排查58.129.91.126是这这个学校的网关地
13、址,由此我们们就可以判断出这这三 个机器发发送的是ARP欺骗骗数据包,让让其他主机混淆了主机的MAC地址信 息,将本来应该发应该发送到网关的数据包发发送给这给这三台计计算机,从而造成了 无法上网的问题问题。实战3:ARP欺骗病毒巧排查在正常上网的服务器上执行arp -a查询ARP缓存信息,发现58.129.91.126这个网关 地址对应的真正MAC地址应该是00e0fc297759,而不是上面提到的那三个MAC地址。确 定问题主机后笔者通过查询正确计算机的ARP缓存信息或者查询DHCP地址池中租约对应 关系又或者查看学校之前做的备案获取了这三个MAC地址对应的IP地址,将这三个地址 断网杀毒或
14、重新安装系统,之后学校网络恢复了正常。实战3:ARP欺骗病毒巧排查蠕虫病毒是学校最容易遇到的问题,笔者在实际工作过程 中接触的安全问题有90%都是来自于蠕虫病毒,针对ARP欺骗 蠕虫病毒来说我们应该防患于未燃,在网络正常时及时记录各 个机器的MAC地址,IP地址,主机及物理位置信息,并且通过 双向绑定(网关上绑定客户端MAC地址,客户端MAC地址绑定 网关MAC)来达到ARP欺骗的免疫,从而保证学校内网更加安 全。其他相关内容在实际使用过程中很多网络应用都是通过明 文传输数据的,这样我们就可以轻松通过sniffer 类工具获取实际传输内容.明文传输的协议有 telnet,msn,ftp等.即使
15、数据加密我们也可以通过 反破解方法在监控到密文后进行还原.如何发现sniffer嗅探(1)网络通讯数据包掉包率突然增加: 众所周知正常情况下TCP/IP协议的数据通讯是比较有保障的,所以平时ping或 者两点之间通讯掉包情况并不多见,不过当网络中存在使用sniffer类软件人员的 话网络通讯掉包率将反常,丢包现象比平时要高出很多,我们可以通过大包ping 的方法来检测,具体指令是ping IP地址 -l 10000,后面的10000代表着使用 10000bit的数据包ping目的地址,ping这样的命令会告诉你掉了百分几的包。 当然我们也可以通过一些网络软件看到信息包传送情况。如果网络中有人在
16、 Listen监听,那么信息包将无法每次都顺畅的传送到目的地,这主要是由于 sniffer拦截每个包所导致。 (2)网络带宽及流量出现异常。 由于sniffer会监控网络中的所有数据包,所以无形中网络数据包总量成倍的增长 ,因此当网络内部有人在使用sniffer时我们通过某些带宽控制器(通常是防火墙 所带),可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了 较大的带宽,这台机器就有可能在监听。在非高速带宽应用上,比如1M带宽以 下的网络出口,那么当网络中存在sniffer,你应该也可以察觉出网络通讯速度的 变化。 Sniffer监控数据的进阶处理(选学内容 )信息中心 阮征 2008年6月
