网络监控软件原理.ppt

《网络监控软件原理.ppt》由会员分享，可在线阅读，更多相关《网络监控软件原理.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全网络安全第二章第二章 网络监控软件原理网络监控软件原理 2009网络安全与管理网络安全与管理为什么要使用网络监控软件为什么要使用网络监控软件 目前很多企业配备了专门的网络管理人员管理企目前很多企业配备了专门的网络管理人员管理企业所构建的网站，虽然管好了设备，但设备所带来的业所构建的网站，虽然管好了设备，但设备所带来的方便却降低了企业员工的工作效率（都用网络干别的方便却降低了企业员工的工作效率（都用网络干别的事情去了），加大了商业信息泄露的风险（因为缺乏事情去了），加大了商业信息泄露的风险（因为缺乏管理，客户资料很可能被自己人传送给竞争对手，成管理，客户资料很可能被自己人传送给竞争对手，

2、成为对方的资源）。因此企业内部网络的管理，仅仅靠为对方的资源）。因此企业内部网络的管理，仅仅靠购买设备是不够的，仅仅建设网站也是不够的，只管购买设备是不够的，仅仅建设网站也是不够的，只管理网络设备还是不够的，还需要把员工使用网络的内理网络设备还是不够的，还需要把员工使用网络的内容做监控，把使用网络的行为管理起来。尤其是外贸容做监控，把使用网络的行为管理起来。尤其是外贸企业、技术研发类企业（如软件开发、机械工程）、企业、技术研发类企业（如软件开发、机械工程）、政府机关、银行、医院、部队等关键任务机构，对员政府机关、银行、医院、部队等关键任务机构，对员工的上网监督管理必不可少。工的上网监督管理必不

3、可少。10:28:3222009网络安全与管理网络安全与管理网络监控软件主要目标网络监控软件主要目标 1 1、防止并追查重要资料、机密文件等外泄；、防止并追查重要资料、机密文件等外泄；2 2、监督、审查、限制、规范网络使用行为；、监督、审查、限制、规范网络使用行为；3 3、限制消耗资源的聊天、游戏、外发资料、限制消耗资源的聊天、游戏、外发资料、BTBT恶性下恶性下载和股票等行为；载和股票等行为；4 4、备份重要网络资源文件（比如业务邮件）；、备份重要网络资源文件（比如业务邮件）；5 5、监视、监视QQ/MSNQQ/MSN聊天记录内容和行为过程；聊天记录内容和行为过程；6 6、流量限制以及网站访

4、问统计，用于分析员工使用网、流量限制以及网站访问统计，用于分析员工使用网络情况；络情况；10:28:3232009网络安全与管理网络安全与管理 网络监控软件的解决方案网络监控软件的解决方案 按照运行原理区分为：按照运行原理区分为：监听模式和网关模式两种监听模式和网关模式两种监听模式监听模式：通过共享式通过共享式HUB（集线器）（集线器）通过镜像交换机通过镜像交换机 通过代理通过代理/网关服务器网关服务器 网关模式：网关模式：内网监控内网监控 外网监控外网监控10:28:3242009网络安全与管理网络安全与管理sniffer 简介简介 Sniffer Sniffer，中文可以翻译为嗅探器，是一

5、种基于被动，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。听模式，便可以将网上传输的源源不断的信息截获。SnifferSniffer技术常常被黑客们用来截获用户的口令，但技术常常被黑客们用来截获用

6、户的口令，但实际上实际上SnifferSniffer技术被广泛地应用于网络故障诊断、技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。协议分析、应用性能分析和网络安全保障等各个领域。借你一双借你一双”网络慧眼网络慧眼”10:28:3252009网络安全与管理网络安全与管理Sniffer的分类的分类 Sniffer分为软件和硬件两种分为软件和硬件两种 软件的软件的Sniffer有有 Sniffer Pro、Network Monitor、PacketBone等，其优点是易于安装部署，易于学习等，其优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上

7、所有使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和的传输，某些情况下也就无法真正了解网络的故障和运行情况。运行情况。硬件的硬件的Sniffer通常称为协议分析仪，一般都是商业通常称为协议分析仪，一般都是商业性的，价格也比较昂贵，但会具备支持各类扩展的链性的，价格也比较昂贵，但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。路捕获能力以及高性能的数据实时捕获分析的功能。10:28:3262009网络安全与管理网络安全与管理网络监听的目的网络监听的目的 当一个黑客成功地攻陷了一台主机，并拿到了管理员当一个黑客成功地攻陷了一台主机，并

8、拿到了管理员权限，而且还想利用这台主机去攻击同一（物理）网权限，而且还想利用这台主机去攻击同一（物理）网段上的其他主机时，他就会在这台主机上安装段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个把它存到一个Log文件中去。通常设置的这些条件是文件中去。通常设置的这些条件是包含字包含字“username”或或“password”的包，这样的包的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客里面通常有

9、黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。截获得了某台主机的密码，他就会立刻进入这台主机。如果如果Sniffer运行在路由器上或有路由功能的主机上，运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。据包都要经过路由器。10:28:3272009网络安全与管理网络安全与管理Sniffer的应用的应用（1）Sniffer可以帮助评估业务运行状态可以帮助评估业务运行状态（2）Sniffer能够帮助评估网络的性能能够帮助评估网络的性能（3）Sniffer帮助快速定

10、位故障帮助快速定位故障（4）Sniffer可以帮助排除潜在的威胁可以帮助排除潜在的威胁（5）Sniffer可以做流量的趋势分析可以做流量的趋势分析（6）Sniffer可以做应用性能预测可以做应用性能预测 10:28:3282009网络安全与管理网络安全与管理Sniffer的工作原理的工作原理 在正常情况下，一个合法的网络接口应该只响应这样在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：的两种数据帧：（1）帧的目标区域具有和本地网络接口相匹配的硬件）帧的目标区域具有和本地网络接口相匹配的硬件地址。地址。（2）帧的目标区域具有）帧的目标区域具有“广播地址广播地址”。而而Sniffer就

11、是一种能将本地网卡状态设成混杂状态的就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种软件，当网卡处于这种“混杂混杂”模式时，该网卡具备模式时，该网卡具备“广播地址广播地址”，它对所有遭遇到的每一个帧都产生一，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。的每一个报文包。10:28:3292009网络安全与管理网络安全与管理Sniffer所要关心的内容所要关心的内容（1）口令）口令（2）金融帐号）金融帐号（3）偷窥机密或敏感的信息数据）偷窥机密或敏感的信息数据（4）窥探低级的协议信息。）窥探低

12、级的协议信息。10:28:32102009网络安全与管理网络安全与管理Sniffer的工作环境的工作环境 大多数的大多数的Sniffer至少能够分析下面的协议：至少能够分析下面的协议：（1）标准以太网）标准以太网（2）TCP/IP（3）IPX（4）DECNet 10:28:32112009网络安全与管理网络安全与管理Snffier pro Snffier pro 介绍介绍 监控目的：通过监控目的：通过Sniffer ProSniffer Pro实时监控，及时发实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、

13、网吧网络环境中，网非正常行为）。对于很多企业、网吧网络环境中，网关（关（路由路由、代理等）自身不具备流量监控、查询功能，、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。本文将是一个很好的解决方案。Sniffer ProSniffer Pro强大的强大的实用功能还包括：网内任意终端流量实时查询、网内实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量终端与终端之间流量实时查询、终端流量TOPTOP排行、排行、异常告警等。同时，我们将数据包捕获后，通过异常告警等。同时，我们将数据包捕获后，通过Sniffer ProSniffer Pro的专家分析系

14、统帮助我们更进一步分析的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。数据包，以助更好的分析、解决网络异常问题。10:28:32122009网络安全与管理网络安全与管理网络拓扑网络拓扑 10:28:32132009网络安全与管理网络安全与管理步骤一：配置交换机端口镜像步骤一：配置交换机端口镜像 1.1.什么是端口镜像什么是端口镜像?把交换机一个或多个端口（把交换机一个或多个端口（VLANVLAN）的数据镜像到一个或多个端）的数据镜像到一个或多个端口的方法。口的方法。2.2.为什么需要端口镜像为什么需要端口镜像?交换机的工作原理与交换机的工作原理与HUBHUB有很大的

15、不同，有很大的不同，HUBHUB组建的网络数据交组建的网络数据交换都是通过广播方式进行的，而交换机组建的网络是根据交换换都是通过广播方式进行的，而交换机组建的网络是根据交换机内部机内部CAMCAM表（通常也称表（通常也称IP-MACIP-MAC表）进行数据转发，因此需要表）进行数据转发，因此需要通过配置交换机来把一个或多个端口（通过配置交换机来把一个或多个端口（VLANVLAN）的数据转发到某）的数据转发到某一个端口来实现对网络的监听。一个端口来实现对网络的监听。10:28:32142009网络安全与管理网络安全与管理端口监控配置端口监控配置例：例：fa0/2fa0/2接口监控接口监控fa0/

16、10fa0/10接口的步骤如下接口的步骤如下:Switch#configure terminalSwitch#configure terminal!进入全局配置模式进入全局配置模式Switch(config)#monitor session 1 source interface Switch(config)#monitor session 1 source interface fastEthernet 0/10 bothfastEthernet 0/10 both!设置被监控口设置被监控口Switch(config)#monitor session 1 destination Switch(c

17、onfig)#monitor session 1 destination interface fastEthernet 0/2interface fastEthernet 0/2!设置监控口设置监控口Switch(config)#endSwitch(config)#endSwitch#wr Switch#wr Switch#show monitor session 1!Switch#show monitor session 1!查看当前配置查看当前配置 Switch(config)#no monitor session 1 Switch(config)#no monitor session 1

18、 !清除当前配置清除当前配置 10:28:32152009网络安全与管理网络安全与管理SnifferSniffer软件的功能软件的功能功能功能 实时监视网络活动实时监视网络活动 采集单个工作站、对话或网络任何部分详细的利用采集单个工作站、对话或网络任何部分详细的利用率和错误统计数据率和错误统计数据 保存历史利用率和错误信息，以进行原始分析保存历史利用率和错误信息，以进行原始分析 生成实时的警报生成实时的警报 检测到故障时通知网络管理员检测到故障时通知网络管理员 捕获捕获网络通信量以进行详细的数据包分析网络通信量以进行详细的数据包分析 接收专家系统对网络通信口的分析接收专家系统对网络通信口的分析

19、 用有效的工具探索网络，以模拟通信量、测量响应用有效的工具探索网络，以模拟通信量、测量响应时间、排除故障时间、排除故障10:28:32162009网络安全与管理网络安全与管理可在运行以下各项的网段中使用可在运行以下各项的网段中使用以太网以太网千兆位以太网千兆位以太网快速以太网快速以太网无线无线LAN(802.11b)LAN(802.11b)令牌环令牌环ATMATMwanwan10:28:32172009网络安全与管理网络安全与管理使用前的准备使用前的准备 任意捕 获条件 编辑 协议捕 获编辑 缓冲区 编辑 基本捕获条件 链路层捕获 IP 层捕获 数据流 方向 链路层捕获 地址条件 任意捕 获条

20、件 编辑 协议捕 获编辑 缓冲区 编辑 基本捕获条件 链路层捕获 IP 层捕获 数据流 方向 链路层捕获 地址条件 10:28:32182009网络安全与管理网络安全与管理 定义希望捕获的协议的数据包定义希望捕获的协议的数据包 10:28:32192009网络安全与管理网络安全与管理定义捕获数据包的缓冲区定义捕获数据包的缓冲区 10:28:32202009网络安全与管理网络安全与管理需将定义的过滤规则应用于捕获中需将定义的过滤规则应用于捕获中需将定义的过滤规则应用于捕获中需将定义的过滤规则应用于捕获中 10:28:32212009网络安全与管理网络安全与管理捕获数据包时观察到的信息捕获数据包时

21、观察到的信息 10:28:32222009网络安全与管理网络安全与管理Dashboard Dashboard（仪表板）（仪表板）:可以实时统计每秒钟接收到的包的数量、可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。及带宽的利用率等。Host TableHost Table：可以查看通信量最大的前：可以查看通信量最大的前1010位主机。位主机。Matrix:Matrix:通过连线，可以形象的看到不同主机之间的通信（图形）。通过连线，可以形象的看到不同主机之间的通信（图形）。App

22、lication ResponseTime:Application ResponseTime:可以了解到不同主机通信的最小、可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。最大、平均响应时间方面的信息。History Samples:History Samples:可以看到历史数据抽样出来的统计值。可以看到历史数据抽样出来的统计值。Protocol distribution:Protocol distribution:可以实时观察到数据流中不同协议的分可以实时观察到数据流中不同协议的分布情况布情况Switch:Switch:可以获取（可以获取（ciscocisco）交换机的状态信息

23、）交换机的状态信息 10:28:32232009网络安全与管理网络安全与管理捕获数据包后的分析工作捕获数据包后的分析工作 10:28:32242009网络安全与管理网络安全与管理Expert:Expert:这是这是sniffersniffer提供的专家模式，系统自身根据捕获的数据包提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中从链路层到应用层进行分类并作出诊断。其中diagnosesdiagnoses提出非常提出非常有价值的诊断信息。有价值的诊断信息。Decode:Decode:对每个数据包进行解码，可以看到整个包的结构及从链路对每个数据包进行解码，可以看到整

24、个包的结构及从链路层到应用层的信息，事实上，层到应用层的信息，事实上，sniffersniffer的使用中大部分的时间都花的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实践经验上提费在这上面的分析，同时也对使用者在网络的理论及实践经验上提出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结症所在。症所在。sniffersniffer同样提供解码后的数据包过滤显示。要对包进行显示过滤同样提供解码后的数据包过滤显示。要对包进行显示过滤需切换到需切换到DecodeDecode模式。模式。Display defin

25、efilterDisplay definefilter，定义过滤规则。，定义过滤规则。Display selectfilter,Display selectfilter,应用过滤规则应用过滤规则 。10:28:32252009网络安全与管理网络安全与管理网路岗工具介绍网路岗工具介绍 网路岗软件通过旁路对网络数据流进行采集、分析和网路岗软件通过旁路对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件、识别，实时监视网络系统的运行状态，记录网络事件、发现安全隐患，并对网络活动的相关信息进行存储、发现安全隐患，并对网络活动的相关信息进行存储、分析和协议还原。该产品可监视企业内部

26、员工是否将分析和协议还原。该产品可监视企业内部员工是否将公司机密资料通过因特网外传到竞争对手的手中。公司机密资料通过因特网外传到竞争对手的手中。网路岗软件可以监控的内容包括：监控邮件内容和附网路岗软件可以监控的内容包括：监控邮件内容和附件（包括件（包括Web邮件监控）、监控聊天内容、监控上网邮件监控）、监控聊天内容、监控上网网站、监控网站、监控FTP外传文件、监控外传文件、监控Telnet命令、监控上命令、监控上网流量；网流量；IP过滤、端口过滤、网页过滤、封堵聊天游过滤、端口过滤、网页过滤、封堵聊天游戏；限制外发资料邮件大小；限制网络流量；戏；限制外发资料邮件大小；限制网络流量；IP-MAC

27、绑定；截取屏幕等。绑定；截取屏幕等。10:28:32262009网络安全与管理网络安全与管理网路岗对上网的监控能做到什么程度网路岗对上网的监控能做到什么程度（1）让某人只能在规定时间上网，且只能上指定的网站。）让某人只能在规定时间上网，且只能上指定的网站。（2）让某人只能在哪个网站上收发邮件，只能收发哪类）让某人只能在哪个网站上收发邮件，只能收发哪类的邮箱。的邮箱。（3）谁什么时候通过什么软件发送了什么邮件或通过哪）谁什么时候通过什么软件发送了什么邮件或通过哪个网站发了什么软件，邮件的内容和附件是什么，以及个网站发了什么软件，邮件的内容和附件是什么，以及附件在发送者电脑的具体位置。附件在发送者

28、电脑的具体位置。（4）规定某人只能发送多大的邮件。）规定某人只能发送多大的邮件。（5）规定某些人只能发送到哪些目标邮箱。）规定某些人只能发送到哪些目标邮箱。（6）轻松抓取指定人的电脑屏幕。）轻松抓取指定人的电脑屏幕。（7）所有机器在一天内各时间段的上网流量。）所有机器在一天内各时间段的上网流量。（8）某台机器哪些外部端口不能用，或只能通过哪些端）某台机器哪些外部端口不能用，或只能通过哪些端口和外界联系。口和外界联系。10:28:32272009网络安全与管理网络安全与管理网路岗安装方式网路岗安装方式 网路网路岗岗在代理服在代理服务务器上的安装拓扑器上的安装拓扑10:28:32282009网络安全与管理网络安全与管理网路岗在网路岗在HUB的一个端口上的安装的一个端口上的安装 10:28:32292009网络安全与管理网络安全与管理网路岗在交换机的镜像端口上的安装拓扑网路岗在交换机的镜像端口上的安装拓扑 10:28:32302009网络安全与管理网络安全与管理网路岗在网络桥上的安装拓扑网路岗在网络桥上的安装拓扑 10:28:3231