1、企业网管员如何监控公司网络健康运行中国 IT 实验室收集整理 佚名 2008-2-26 (中国 IT 实验室-技术精英由此开始IT 技术专题)作为企业的网络管理员面临着诸多挑战:局域网异常流量、BT 下载、ARP 欺骗、非法浏览那么这一切都是谁干的呢?灵活应用网络监控软件就可以帮助我们找到造成这一切的罪魁祸首。下面我们以“科来网络分析软件”(下文简称科来)为例进行实例演示操作。1、谁占用了大量带宽?需求:速度是企业局域网的一个重要指标,企业网管经常遭遇局域网速度问题,比如文件共享太慢,不能打开网页,无法接收邮件等。当网络变得很慢时,我们经常都需要查看一下,是哪些 IP 在占用带宽。通过下面的演
2、示,可以让大家了解如何查找内网中带宽占用最大的主机 IP。操作:首先我们要对存在网速故障的网段进行抓包捕获。即把安装有监控软件的主机(笔记本),接入该网段交换机的中心节点上,打开监控软件,设置好抓包。抓包的时间不宜过短也不宜过长,根据情况,一般 20 分钟就可以了。抓包完毕后,我们停止数据捕获,对网络数据进行分析。进入科来软件的“端点视图”,在这里可以看到本网段所有的 MAC 或 IP 地址所对于的主机的的流量统计。通过图例既可以看到本地 MAC 地址,也可以看到非常多的外网 IP 地址。如果只想看 IP 地址,可以在左侧的窗格中点击“IP 端点”树,依次展开“本地子网”,在下面我们从括号中看
3、到:本地子网只包含(10.8.0.0/16)这一个 B 网段,而这个网段下,有 284 个节点,也就是说,这个网段中有 284 个 IP地址。在右侧的视图中我们可以看到:这个网段总流量是 1.529GB。“端点视图”是默认以总流量倒序显示,我们很容易看到流量最大的主机 IP。从上至下选择 10 行,这样,我们就找出了内网中,带宽占用最多的 10 个主机 IP。(图 1)2、谁在 BT 下载?需求:BT 下载是造成企业局域网网速缓慢的大敌,如果局域网中有人用 BT 下载会造成网速缓慢。我们常说的 BT,实质是一种点对点的通讯,使用的是BitTorrent 协议。在进行 BT 下载时,必须经过 B
4、T 对等协议的两次“握手”。如果内网中有人使用 BT 下载文件,则会大量占用网络资源,导致其它机器上网困难。如何找到到底是何人在用 BT 下载呢?利用网络分析软件从网络内的协议入手,则很容易找出谁在使用 BT 下载。操作:首先,我们进行数据包的捕获,方法和上面的类似。数据包捕获完成后,在软件的左窗格中选择“节点浏览器”,找到 BitTorrent 协议,它就是 BT 的协议。然后在右边的窗格中点击“协议”选项卡,在应用层中,我们很容易找到 BitTorrent 协议。我们也可定位到 BitTorrent 协议节点,找出这个节点下的主机。我们再看一下 BitTorrent 协议下有哪些端点。选择
5、 BitTorrent 协议选项,只需点击“端点”选项卡,就可以看到其端点。从这里我们可以看到,内网中有一个主机:192.168.1.128 非常可疑,但还是不能确定是否是 BT 下载的主机,我们要进行进一步的分析。(图 2)1 2 3 4 下一页 为了进一步证实这台主机的数据,是否真的在使用 BT 大量下载,我们可以再次定位到这台主机的 IP 端点。点击“矩阵”选项卡,从图中我们可以看到,和我们判断的一样,192.168.1.128 在与超过 1000 个的主机相连,大量占用资源。(图 3)当鼠标移动到该 IP 上时,会显示详细的通讯信息。(同时,与该 IP 相连的全部高亮红显示)从数据包的
6、收发情况看来,数据几乎差不多,这里我们就可以确定它就是进行 BT 下载的主机。因为,如果是扫描或攻击,数据包收发数量会相差甚远。(图 4)上一页 1 2 3 4 下一页 通过颜色就可以断定,因为在软件的默认设置中 BT 的颜色是蓝色(双向流量),而攻击、扫描等,则会是绿色(单向流量),我们可以通点击“矩阵选项”按钮在打开的窗口中看到。这就证实了我们的判断,至此我们就找到了 BT 下载者的主机。(图 5)3、谁在非法浏览?需求:由于对信息管理的加强,许多用户单位都需要自动记录员工最近 N 天的上网的记录。对网络应用层的数据进行重组后,则可以记录每个员工的网络行为,包括上网日志。这样的方式记录部署
7、简单,不需要在每台机器上安装客户端,数据集中、完整、效率高,适合各规模用户的上网日志审计工作。操作:使用科来网络分析系统,新建或者打开一个工程文件,只要运行,则会在“日志视图”中自动显示上网日志,如图所示。(图 6)上一页 1 2 3 4 下一页 如果需要记录到硬盘中,我们需要进入“日志设置”选项进行日志设置。如果要记录员工的上网记录,点击工具栏上的“日志设置”图标,就可打开“工程设置”窗口,点击“日志设置”选项卡,在左窗格中勾选“HTTP 日志”,在右边的“扩展日志”中进行设置。设置日志文件的文件名和保存位置。(图 7)文件分割间隔时间,和保留的天数。如图设置就可以记录 90 天的员工上网记
8、录了。4、如何收集数据包?需求:数据包是网络中传输的原始数据,记录数据包,就象网络录像一样,当我们要追朔过去的一个网络事件,可以将记录的数据包文件重新播放一次,这样便能重现网络事件,通过网络分析,进而找到问题的根本原因,所以数据包的自动保存非常重要,在科来软件中保存数据报的操作非常简单。操作:我们新建或者打开现有的一个工程,点击工具栏的“设置”按钮,进入数据包保存设置。勾选“自动保存数据包文件”选项,设置文件保存的文件夹、文件名、文件分割间隔、选择保留最近的文件数即可。(图 8)总结:网络分析软件非常多,灵活使用这些软件可以帮助管理员解决一些比较棘手的网络问题。上一页 1 2 3 4十大网络管
9、理员的网络工具软件推荐月光博客 月光博客 2008-6-1 当网站发展到一定的规模,站长就应该开始考虑要为网站托管服务器。通常情况下服务器会被放到电信或网通的机房,网站管理员通过远程来管理服务器。在网站服务器进行托管时,需要安装一些常用的服务器上运行的软件,才能更为有效地管理这台远程服务器,今天我就根据我自己的管理经验,推荐十个有用的服务器工具软件,供大家参考和分享。Arp 防火墙Arp Firewall - 现在托管服务器必须安装的第一个软件就是 Arp 防火墙,没办法啊,中国这网络环境,不安装 Arp 防火墙就等着被人挂木马了。现在免费的 Arp 防火墙主要有两款,一个是奇虎的 360 A
10、rp 防火墙,一个是金山 Arp防火墙。远程桌面连接Remote Desktop - 远程桌面连接(以前称为“终端服务客户端”)主要是用于对远程托管的服务器进行远程管理,使用非常方便,就如同操作本地电脑一样方便。远程服务器端必须要先安装“远程桌面连接”的服务器端程序,然后客户端就可以通过远程桌面来管理服务器了。FTP 服务和客户端FileZilla - 将客户端的文件上传到服务器上,最常用的软件就是 FTP 了,微软的 IIS 自带了一个简单的 FTP 服务器软件,如果觉得不好用,服务器上也可以安装免费的 FileZilla 服务器软件,客户端可以使用免费的 FileZilla Client,
11、支持多线程上传文件。硬件检测CPU-Z - CPU-Z 是一款免费的系统检测工具,可以检测 CPU、主板、内存、系统等各种硬件设备的信息。它支持的 CPU 种类相当全面,软件的启动速度及检测速度都很快。另外,它还能检测主板和内存的相关信息,其中就有我们常用的内存双通道检测功能。远程管理服务器的时候,使用这个软件可以对服务器的硬件信息一清二楚。流量监控DU Meter - DU Meter 是一个简单易用的网络流量监视工具,图形化的界面显示非常直观,可以实时监测服务器的上传和下载的网速,同时还有流量统计功能。可以分析出日流量、周流量、月流量等累计统计数据。不过遗憾的是这个软件不是免费的。端口监控
12、TcpView - TcpViews 是一款免费的端口和线程监控工具,可以列出当前所有 TCP 和 UDP 端口的进程清单,包括本地和远程地址的 TCP 连接,其实和系统命令 netstat 类似,不过是 GUI 界面的,使用方便,占用资源少,默认字体在中文环境下很小,需要手动修改。在服务器上运行的话,默认刷新时间不要用默认的 1 秒。进程监控Process Explorer - Process Explorer 是一款免费的进程监视工具,功能比 Windows 自带的任务管理器要强大的多,不仅可以监视、暂停、终止进程,还可以查看进程调用的 DLL 文件,是预防病毒、查杀木马的好帮手。日志分析
13、WebLog Expert - 虽然 Google Analytics 是一款强大的免费的网站分析服务,但必须加入统计代码才能使用,WebLog Expert 则可以直接分析网站的访问日志文件,通过日志文件分析出网站的站点访问者、活动统计、文件访问量、搜索引擎、浏览器、操作系统和错误页面等等众多的统计信息,是网络监测的好助手。这个软件本身不免费,不过其另一个版本 WebLog Expert Lite 是免费的。1 2 下一页 日志搜索WinHex - WinHex 是一款速度很快的文件编辑器。打开数百兆的大型文件速度飞快,使用 WinHex 可以轻松打开服务器上的大型日志文件,并对其进行关键字
14、搜索,效果非常好,是我见到的速度最快的文本编辑搜索软件,总体来说是一款非常不错的 16 进制编辑器。代码编辑Notepad+ - Notepad+是一个免费开源的源程序代码、HTML 网页代码编辑工具,支持多达数十种常见源代码或脚本的语法,包括C,C+,Java,C#,XML,HTML,PHP,Javascript,RC resource file,makefile,ASCII,doxygen,ini file,batch file,ASP ,VB/VBS,SQL,Objective-C,CSS,Pascal,Perl,Python,Lua 等,功能非常强大。在服务器上安装后可以直接修改网站上的源程序代码。好了,以上就是月光博客总结的十个常用的服务器工具软件,在服务器上使用这些工具软件,定能使得服务器维护变得更为方便简单,如果你还知道什么其他的服务器工具软件,请留言告诉我。上一页 1 2
