1、内网流量管理与数据监控,丰台信息中心 阮征2009年1月,内网流量管理与数据监控的目的,内网各个主机之间的通讯都是通过数据包来完成的,在数据包中标识了通讯内容,通讯协议,发送源地址以及目的地址信息,我们可以通过分析这些数据来了解当前网络的运行情况,在第一时间排查故障.一些常见的病毒入侵,网络性能问题都可以通过分析数据包来发现故障源头.,通过监控工具捕获的数据包内容,能够顺利捕获内网通讯数据的前提,(1)支持数据捕获功能的以太网卡(有线或无线) (2)具备监控功能的软件sniffer类工具 (3)开启镜像端口实现数据全面监控,支持数据捕获功能的以太网卡(有线或无线),有线网卡方面: 现在主流计算
2、机相关网卡都具备数据捕获功能.无线网卡方面: 最好是基于Atheros及其兼容芯片的网卡,如果是其他芯片容易影响监控效果.(例如迅驰类),能够顺利捕获内网通讯数据的前提,(1)支持数据捕获功能的以太网卡(有线或无线) (2)具备监控功能的软件sniffer类工具 (3)开启镜像端口实现数据全面监控,具备监控功能的软件,Sniffer类工具有很多种,原理都大同小异,基本都是将通过网卡的数据复制一份进行分析.比较常用的工具有以下几种. (1)Sniffer pro-windows平台 (2)Ethereal- Windows平台+ Unix平台 (3)OmniPeek-Windows平台 (4)
3、Tcpdump-Unix平台 (5) snort-Unix平台 (6)科来网络分析系统-国产 Windows平台,Ethereal网络数据包分析工具,主要功能: 捕获信息包并且进行分析 监测网络故障 学习内部网络协议 主要特性: 支持Linux和windows系统 实时捕捉网络接口的数据包 支持与其他工具的数据的导入和导出 支持多种方式查找信息包 支持多种颜色显示不同类型的信息包,Ethereal,Sniffer Pro,Sniffer 软件是NAI 公司推出的功能强大的协议分析软件。利用Sniffer Pro 网络分析器的强大功能和特征,可以解决网络问题,创建一套合理的故障解决方法.,Sni
4、ffer Pro,Sniffer Pro,科来网络分析系统,科来网络分析系统是一个让网络管理者,能够在各种网络问题中,对症下药的网络管理方案,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。,科来网络分析系统,安装科来网络分析系统,跟随我一起安装 科来网络分析系统 6.9 技术交流版 授权用户: 阮征 公司名: 丰台信息中心 产品序列号: 26795-16811-19085-60050-59030-22161 产品授权号: 63127-30184-60321-23259-51000-24139-78124 下载地址: http
5、:/,能够顺利捕获内网通讯数据的前提,(1)支持数据捕获功能的以太网卡(有线或无线) (2)具备监控功能的软件sniffer类工具 (3)开启镜像端口实现数据全面监控,为什么需要设置镜像端口来监控,(1)不设置镜像端口能否监控到数据? (2)路由交换环境下镜像端口在哪儿设置? (3)如何设置镜像端口?,镜像端口的意义,(1)什么是镜像端口?端口镜像(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口. (2)不设置镜像端口我们能做什么?当我们没有设置镜像端口针对本地网卡进行监控时所能捕获的仅仅是本机流量以及网络中的广播数据包,组播数据包;而其他主机的通讯
6、数据包我们是无法获取的. (3)如何设置镜像端口? 对于交换式网络来说我们可以在交换机或路由器上设置镜像端口,指定交换机多个或所有端口镜像到一个端口,这样通过连接该端口并监控就可以捕获多个端口的总流量数据了.,华为3COM路由交换设备上配置端口镜像,首先我们来了解下如何在命令提示界面下针对端口镜像进行配置,我们选择的是华为3COM公司出品的路由交换设备,当然CISCO设备配置步骤类似,只是具体指令有所区别而已。第一步:首先我们访问路由交换设备的管理地址,通过正确的帐户名称与密码进入,使用super命令进入高级模式并通过sys进入配置模式。,华为3COM路由交换设备上配置端口镜像,第二步:我们使
7、用如下命令来添加端口镜像。 Quidway mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48,这个指令的意思就是建立一个镜像对应群组关系,我们命令为1,当然同一个路由交换设备他的不同mirroring-group是通过这个序号来区别的,接下来的inbound表示是传入方向的数据进行镜像,之后则是把Ethernet 3/1/48端口设置为Ethernet 3/1/1接口的镜像,通过监控Ethernet 3/1/48接口实现对流入Ethernet 3/1/1接口数据包的监视与统计。,华为3COM路由交换设备上配
8、置端口镜像,第三步:最后再通过SAVE或COPY run start等命令保存配置更改后就可以实现端口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接口来分析流入Ethernet 3/1/1接口的网络数据包。 小提示: 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的,我们可以通过“接口1 接口2 mirrored-to 镜像端口”命令来实现将多个端口对应一个镜像接口,另外还可以通过“接口1 to 接口8 mirrored-to 镜像端口”来实现将1到8这几个端口对应一个镜像接口的功能。,图形化界面下镜像端口的设置,当然除了CISCO与华为3C
9、OM公司的产品外,我们还经常会碰到不少中低端路由交换产品,他们同样具备设置镜像端口的功能,而且这类设备在界面显示方面更加人性化,配置都可以通过图形选择来完成,下面我们就以侠诺公司的FVR420v为例进行介绍。 第一步:首先通过IE浏览器访问http:/192.168.0.200设备管理地址,输入正确的帐户信息和密码进入.,图形化界面下镜像端口的设置,第二步:接下来我们在管理界面左边找到“端口管理”,我们会看到所有端口状态以及他们属于的VLAN信息。在最上面我们会看到一个选项,名为激活端口1为端口镜像,我们将此选项打上对勾即可。这样端口1自动配置为镜像端口。,图形化界面下镜像端口的设置,第三步:
10、确定保存修改设置并退出,这时我们从“端口管理”-“端口状态即时显示”中选择端口1,查看其流过数据流量就会看到有惊人的变化,通过端口1的数据流量迅速增加。这是因为该端口已经成为了设备的镜像端口,所以流入各个以太网接口的正常数据报文都会被设备复制成镜像报文并发送到以太端口1这个镜像端口了。通过简单的图形化界面设置我们轻松实现了开启端口1为镜像端口功能,从而保证在不影响网络传输性能和稳定性的前提下实现对数据的管理和监控。,使用科来网络分析系统监控内网,启动软件后点“立即开始采集按钮”-网络适配器标签-选择网卡.科来网络分析系统支持有线和无线网卡监控,不过一次只能指定一个网卡进行监控.,界面简介,监控
11、标签,实战1:资深网管教你如何教控内网流量,观看老师演示视频录象,实战2:忘记管理地址莫慌用sniffer巧解决,观看老师演示视频录象,实战3:ARP欺骗病毒巧排查,扫描监控所有数据包,在左边查找数据包处按照协议来浏览,查看ARP信息,因为在学校最容易出现的就是ARP欺骗蠕虫病毒了,而且这个学校的故障症状也是全学校计算机无法上网,很可能就是虚假网关造成的问题。在ARP数据包下笔者查看“诊断”标签下的信息,在这里看到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包,目的地址是内网所有IP,所以当该IP没
12、有对应活动主机时就会产生无应答的现象,这也是ARP欺骗病毒的一个显著特征。,实战3:ARP欺骗病毒巧排查,记录下太多的ARP请求数据包而没有得到应答计算机的源地址MAC地址,笔者一共发现了有三台这样的计算机,MAC地址依次是001e8c0218a3,001d60fca3da,001d60fca01c.接下来在左边找到这三个MAC地址对应的主机,查看单个主机的流量信息,经过查询发现每个主机发送的数据包多以ARP数据包为主,而且具体内容是告诉目的地址58.129.91.126这个IP地址对应的MAC为上述三个MAC地址。,实战3:ARP欺骗病毒巧排查,58.129.91.126是这个学校的网关地址
13、,由此我们就可以判断出这三个机器发送的是ARP欺骗数据包,让其他主机混淆了主机的MAC地址信息,将本来应该发送到网关的数据包发送给这三台计算机,从而造成了无法上网的问题。,实战3:ARP欺骗病毒巧排查,在正常上网的服务器上执行arp -a查询ARP缓存信息,发现58.129.91.126这个网关地址对应的真正MAC地址应该是00e0fc297759,而不是上面提到的那三个MAC地址。确定问题主机后笔者通过查询正确计算机的ARP缓存信息或者查询DHCP地址池中租约对应关系又或者查看学校之前做的备案获取了这三个MAC地址对应的IP地址,将这三个地址断网杀毒或重新安装系统,之后学校网络恢复了正常。,
14、实战3:ARP欺骗病毒巧排查,蠕虫病毒是学校最容易遇到的问题,笔者在实际工作过程中接触的安全问题有90%都是来自于蠕虫病毒,针对ARP欺骗蠕虫病毒来说我们应该防患于未燃,在网络正常时及时记录各个机器的MAC地址,IP地址,主机及物理位置信息,并且通过双向绑定(网关上绑定客户端MAC地址,客户端MAC地址绑定网关MAC)来达到ARP欺骗的免疫,从而保证学校内网更加安全。,其他相关内容,在实际使用过程中很多网络应用都是通过明文传输数据的,这样我们就可以轻松通过sniffer类工具获取实际传输内容.明文传输的协议有telnet,msn,ftp等.即使数据加密我们也可以通过反破解方法在监控到密文后进行
15、还原.,如何发现sniffer嗅探,(1)网络通讯数据包掉包率突然增加: 众所周知正常情况下TCP/IP协议的数据通讯是比较有保障的,所以平时ping或者两点之间通讯掉包情况并不多见,不过当网络中存在使用sniffer类软件人员的话网络通讯掉包率将反常,丢包现象比平时要高出很多,我们可以通过大包ping的方法来检测,具体指令是ping IP地址 -l 10000,后面的10000代表着使用10000bit的数据包ping目的地址,ping这样的命令会告诉你掉了百分几的包。当然我们也可以通过一些网络软件看到信息包传送情况。如果网络中有人在Listen监听,那么信息包将无法每次都顺畅的传送到目的地,这主要是由于sniffer拦截每个包所导致。 (2)网络带宽及流量出现异常。 由于sniffer会监控网络中的所有数据包,所以无形中网络数据包总量成倍的增长,因此当网络内部有人在使用sniffer时我们通过某些带宽控制器(通常是防火墙所带),可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。在非高速带宽应用上,比如1M带宽以下的网络出口,那么当网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。,Sniffer监控数据的进阶处理(选学内容),信息中心 阮征 2008年6月,
