网络监控软件原理.ppt

1、网络安全,第二章 网络监控软件原理,10:28:32,2,为什么要使用网络监控软件,目前很多企业配备了专门的网络管理人员管理企业所构建的网站，虽然管好了设备，但设备所带来的方便却降低了企业员工的工作效率（都用网络干别的事情去了），加大了商业信息泄露的风险（因为缺乏管理，客户资料很可能被自己人传送给竞争对手，成为对方的资源）。因此企业内部网络的管理，仅仅靠购买设备是不够的，仅仅建设网站也是不够的，只管理网络设备还是不够的，还需要把员工使用网络的内容做监控，把使用网络的行为管理起来。尤其是外贸企业、技术研发类企业（如软件开发、机械工程）、政府机关、银行、医院、部队等关键任务机构，对员工的上网监督管

2、理必不可少。,10:28:32,3,网络监控软件主要目标,1、防止并追查重要资料、机密文件等外泄； 2、监督、审查、限制、规范网络使用行为； 3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为； 4、备份重要网络资源文件（比如业务邮件）； 5、监视QQ/MSN聊天记录内容和行为过程； 6、流量限制以及网站访问统计，用于分析员工使用网络情况；,10:28:32,4,网络监控软件的解决方案,按照运行原理区分为：监听模式和网关模式两种 监听模式 ：通过共享式HUB（集线器） 通过镜像交换机 通过代理/网关服务器 网关模式：内网监控外网监控,10:28:32,5,sniffer 简介,S

3、niffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。,借你一双”网络慧眼”,10:28:32,6,Sniffer的分类,Sniffer分为软件和硬件两种软件的Sniffer有 Sniffer Pro、Network Mo

4、nitor、PacketBone等，其优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较昂贵，但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。,10:28:32,7,网络监听的目的,当一个黑客成功地攻陷了一台主机，并拿到了管理员权限，而且还想利用这台主机去攻击同一（物理）网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个Lo

5、g文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。,10:28:32,8,Sniffer的应用,（1）Sniffer可以帮助评估业务运行状态 （2）Sniffer能够帮助评估网络的性能 （3）Sniffer帮助快速定位故障 （4）Sniffer可以帮助排除潜在的威胁 （5）Sniffer可以做流量的趋势分析 （6）Sniffer可以做应用性

6、能预测,10:28:32,9,Sniffer的工作原理,在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧： （1）帧的目标区域具有和本地网络接口相匹配的硬件地址。 （2）帧的目标区域具有“广播地址”。 而Sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种“混杂”模式时，该网卡具备“广播地址”，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。,10:28:32,10,Sniffer所要关心的内容,（1）口令 （2）金融帐号 （3）偷窥机密或敏感的信息数据 （4）窥探低级的协议信息。,10:28:32,11,Sniffe

7、r的工作环境,大多数的Sniffer至少能够分析下面的协议： （1）标准以太网 （2）TCP/IP （3）IPX （4）DECNet,10:28:32,12,Snffier pro 介绍,监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家

8、分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。,10:28:32,13,网络拓扑,10:28:32,14,步骤一：配置交换机端口镜像,1.什么是端口镜像? 把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。 2.为什么需要端口镜像 ? 交换机的工作原理与HUB有很大的不同，HUB组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部CAM表（通常也称IP-MAC表）进行数据转发，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。,10:28:32,15,端口监控配置,例：fa0/2接口监

9、控fa0/10接口的步骤如下: Switch# configure terminal !进入全局配置模式 Switch(config)# monitor session 1 source interface fastEthernet 0/10 both !设置被监控口 Switch(config)# monitor session 1 destination interface fastEthernet 0/2 !设置监控口 Switch(config)# end Switch#wr Switch# show monitor session 1 !查看当前配置 Switch(config)#

10、no monitor session 1 !清除当前配置,10:28:32,16,Sniffer软件的功能,功能实时监视网络活动采集单个工作站、对话或网络任何部分详细的利用率和错误统计数据保存历史利用率和错误信息，以进行原始分析生成实时的警报检测到故障时通知网络管理员捕获网络通信量以进行详细的数据包分析接收专家系统对网络通信口的分析用有效的工具探索网络，以模拟通信量、测量响应时间、排除故障,10:28:32,17,可在运行以下各项的网段中使用,以太网 千兆位以太网 快速以太网 无线LAN (802.11b) 令牌环 ATM wan,10:28:32,18,使用前的准备,10:28:32,19,

11、定义希望捕获的协议的数据包,10:28:32,20,定义捕获数据包的缓冲区,10:28:32,21,需将定义的过滤规则应用于捕获中,10:28:32,22,捕获数据包时观察到的信息,10:28:32,23,Dashboard （仪表板）:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。 Host Table：可以查看通信量最大的前10位主机。 Matrix:通过连线，可以形象的看到不同主机之间的通信（图形）。 Application ResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。 Histor

12、y Samples:可以看到历史数据抽样出来的统计值。 Protocol distribution:可以实时观察到数据流中不同协议的分布情况Switch:可以获取（cisco）交换机的状态信息,10:28:32,24,捕获数据包后的分析工作,10:28:32,25,Expert:这是sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出非常有价值的诊断信息。 Decode:对每个数据包进行解码，可以看到整个包的结构及从链路层到应用层的信息，事实上，sniffer的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实

13、践经验上提出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结症所在。 sniffer同样提供解码后的数据包过滤显示。要对包进行显示过滤需切换到Decode模式。 Display definefilter，定义过滤规则。 Display selectfilter,应用过滤规则 。,10:28:32,26,网路岗工具介绍,网路岗软件通过旁路对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件、发现安全隐患，并对网络活动的相关信息进行存储、分析和协议还原。该产品可监视企业内部员工是否将公司机密资料通过因特网外传到竞争对手的手中。网路岗软件可以监控的内容包括：监控邮件内容

14、和附件（包括Web邮件监控）、监控聊天内容、监控上网网站、监控FTP外传文件、监控Telnet命令、监控上网流量；IP过滤、端口过滤、网页过滤、封堵聊天游戏；限制外发资料邮件大小；限制网络流量；IP-MAC绑定；截取屏幕等。,10:28:32,27,网路岗对上网的监控能做到什么程度,（1）让某人只能在规定时间上网，且只能上指定的网站。 （2）让某人只能在哪个网站上收发邮件，只能收发哪类的邮箱。 （3）谁什么时候通过什么软件发送了什么邮件或通过哪个网站发了什么软件，邮件的内容和附件是什么，以及附件在发送者电脑的具体位置。 （4）规定某人只能发送多大的邮件。 （5）规定某些人只能发送到哪些目标邮箱。 （6）轻松抓取指定人的电脑屏幕。 （7）所有机器在一天内各时间段的上网流量。 （8）某台机器哪些外部端口不能用，或只能通过哪些端口和外界联系。,10:28:32,28,网路岗安装方式,网路岗在代理服务器上的安装拓扑,10:28:32,29,网路岗在HUB的一个端口上的安装,10:28:32,30,网路岗在交换机的镜像端口上的安装拓扑,10:28:32,31,网路岗在网络桥上的安装拓扑,