讓網(wǎng)管員更靈敏

1、讓網(wǎng)管員更靈敏企業(yè)的運營越來越離不開網(wǎng)絡，因此需要網(wǎng)絡必須保 持良好的狀態(tài)，這也對網(wǎng)絡管理人員提出了更高的要求。網(wǎng) 絡管理人員必須能夠及時發(fā)現(xiàn)網(wǎng)絡出現(xiàn)的各種問題。此外， 目前對網(wǎng)絡的攻擊日益增加，網(wǎng)絡管理人員對此也要保持高 度的警惕。網(wǎng)管的好助手Sniffer 網(wǎng)絡分析儀是一個排除網(wǎng)絡故障和對網(wǎng)絡性能進 行有效管理的可靠工具，它能夠自動幫助網(wǎng)絡專業(yè)人員維護 網(wǎng)絡，查找故障，協(xié)助擴展多拓樸結(jié)構(gòu)、多協(xié)議的網(wǎng)絡，簡 化了發(fā)現(xiàn)及解決網(wǎng)絡問題的過程。對于在中小企業(yè)局域網(wǎng)，或者校園網(wǎng)環(huán)境下，往往沒有 條件或者還沒有配置 Sniffer 網(wǎng)絡分析儀、 IDS 等一系列軟、 硬件網(wǎng)絡安全管理工具，是否就無法實

2、現(xiàn)既高效又廉價的安 全解決方案呢？我們在自己校園局域網(wǎng)環(huán)境下，通過運用 Sniffer Portable 軟件實現(xiàn)了快速準確分析網(wǎng)絡故障的目標， 并且也運用這一方法多次緩解了沖擊波和震蕩波等蠕蟲病 毒對網(wǎng)絡通信安全的沖擊。計算機網(wǎng)絡是共享通信通道的，共享意味著計算機能夠接收到發(fā)送給其他計算機的信息。捕獲在網(wǎng)絡中傳輸?shù)臄?shù)據(jù) 信息就稱為 Sniffing （嗅探）。通常在局域網(wǎng)環(huán)境中，我們都 是通過交換環(huán)境的網(wǎng)關(guān)上網(wǎng)的，在交換環(huán)境中使用IRIS、NetXray 或者 NAI Sniffer、 ARPSniffer 一類的嗅探工具除了抓 到自己的包以外，是不能看到其他主機的網(wǎng)絡通信的。黑客 通常利用

3、ARP欺騙的方式來實現(xiàn)捕捉交換網(wǎng)絡中其他用戶的 通信信息。但是我們進行嗅探的目的是通過系統(tǒng)管理員的身 份合理管理網(wǎng)絡，分析和預測網(wǎng)絡故障。美國網(wǎng)絡聯(lián)盟公司（ Network Associates, Inc. ）的 Sniffer 能夠自動地幫助網(wǎng)絡管理人員維護網(wǎng)絡，查找故障，協(xié)助擴 展多拓撲結(jié)構(gòu)、多協(xié)議的網(wǎng)絡，從而有效簡化了發(fā)現(xiàn)及解決 網(wǎng)絡問題的過程。 Sniffer 技術(shù)解決方案包括以下 2 款主要產(chǎn) 品：Sniffer Portable （便攜式分析套件）、Sniffer Distributed （分 布式分析套件） 。此外還有 Sniffer Reporter、Sniffer Wirel

4、ess、 Sniffer Voice、Sniffer Mobile 和 Sniffer Pulse 等。Sniffer 的功能 非常多，包括幫助用戶在建網(wǎng)前，分析網(wǎng)絡帶寬的需求，確 定相應的網(wǎng)絡設備購買計劃，對網(wǎng)絡的日常管理與監(jiān)控，尋 找網(wǎng)絡故障點并排除故障。應用方便 網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中 的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)絡的調(diào)制解調(diào)器之間等。目前最常見的交換機在第三層（網(wǎng)絡層） ，根據(jù)數(shù)據(jù)包目標地址 進行轉(zhuǎn)發(fā)，而不太采取集線器的廣播方式，從理論上講，通 過交換設備對網(wǎng)絡進行分段后， Sniffer 將無法透過邊界而窺 探另一邊的數(shù)據(jù)包。所以，在多網(wǎng)段以太網(wǎng)環(huán)境下簡單地放

5、 置一個嗅探器將不會起到什么作用。將嗅探器放置于被攻擊 主機（終端、服務器或者交換設備）或網(wǎng)絡附近，這樣將捕 獲到很多非正常數(shù)據(jù)包，可以用于尋找攻擊源。還有一個比 較好的方法就是放在網(wǎng)關(guān)上。 Sniffer 設置在路由器，或有路 由器功能的主機上，就能對大量的數(shù)據(jù)進行監(jiān)控。1觀察網(wǎng)絡的運行 例如，在我們的主交換機上進行如下配置，提供一個鏡 像端口，對局域網(wǎng)數(shù)據(jù)通信進行監(jiān)聽：并通過在鏡像端口架設一臺安裝了 Sniffer 的主機， 源源 不斷進行偵聽局域網(wǎng)和網(wǎng)關(guān)的數(shù)據(jù)流，并且進行分析和記錄。 運行 Sniffer 后，啟用監(jiān)視器的矩陣模式 （ Monitor Matrix ）， 并查看當前局域網(wǎng)

6、IP傳輸?shù)貓D（Traffic Map），這樣就可以對 一段時間內(nèi)的局域網(wǎng)內(nèi)部和對外數(shù)據(jù)流進行圖形化統(tǒng)計。根據(jù)圖 1，我們可以對一段時間內(nèi)的局域網(wǎng)內(nèi)部和對外 數(shù)據(jù)進行圖形化統(tǒng)計。圖 1 直觀地反映了在選擇監(jiān)視器的矩 陣模式下，局域網(wǎng)目前激活的連接情況，以及分別以IP地址、MAC地址及IPX進行監(jiān)聽的實時傳輸?shù)貓D。正常局域網(wǎng)連接狀態(tài)是離散和不規(guī)律的，每一個連接的響應時間也是不一致。 這說明目前網(wǎng)絡通信的狀態(tài)是正常穩(wěn)定的，沒有異常連接或 者異常流量產(chǎn)生，局域網(wǎng)出口也比較暢通。2檢查對網(wǎng)絡的攻擊圖 2 反映了局域網(wǎng)有異常主機發(fā)起攻擊性連接的狀態(tài)。 可以看出，明顯地在局域網(wǎng)有用戶發(fā)送大量異常數(shù)據(jù)掃描遠

7、程主機，并且侵占了局域網(wǎng)出口帶寬，造成局域網(wǎng)對外通信 中斷或者時斷時續(xù)，外網(wǎng)進入的流量和進程幾乎完全阻斷。 隨后，我們切換至 Outline 模式，讀取這臺主機的數(shù)據(jù)包類 型及大小。在偵聽到的 2000 個點對點會話連接中，一臺主機在十 余秒時間內(nèi)發(fā)起了 999 個連接請求，掃描互聯(lián)網(wǎng)。隨后，我 們切換至 Outline 模式，讀取這臺主機的數(shù)據(jù)包類型及大小。雙擊 Host1 進行按源地址排序， 在偵聽到的 2000 個點對 點會話連接中，一臺主機在十余秒時間內(nèi)發(fā)起了999 個連接線程，掃描互聯(lián)網(wǎng)。直觀的反映出這臺主機在不停發(fā)送大小 為 132 字節(jié)的數(shù)據(jù)，目的地址特征是隨機生成的相連地址，

8、遠程主機幾乎都沒有回應。這時就可以明確知道造成局域網(wǎng) 緩慢的原因，是由于這臺主機蠕蟲病毒發(fā)作，這一癥狀和感 染沖擊波及變種蠕蟲一致。為了進一步確定異常流量和連接的特征，又用 Sniffer 的 Capture 功能進行了抓包，選擇“停 止并捕獲” (Stop and Display),并將數(shù)據(jù)包進行解碼分析， 發(fā)現(xiàn)異常主機啟動一個攻擊傳播線程，不斷的隨機生成攻擊 地址，嘗試連接至其他主機的135端口( DCOM RPC漏洞)，這些請求在傳播過程中產(chǎn)生大量的數(shù)據(jù)包，使得網(wǎng)絡路由器 和交換機陷于癱瘓。以上偵聽和分析消耗時間不到半分鐘，就已經(jīng)找到局域 網(wǎng)數(shù)千臺主機之中一臺造成網(wǎng)絡擁塞的主機地址了。這

9、種分 析方式，遠遠優(yōu)于交換機或者路由器所提供的數(shù)據(jù)分析統(tǒng)計 功能，例如著名廠商的路由器統(tǒng)計的數(shù)據(jù)，就沒有這種方式 直觀高效，也不能做到快速保存事件日志。在實踐過程中，我們還成功查獲了多次局域網(wǎng)用戶使用 黑客軟件攻擊事件。當有局域網(wǎng)異常情況發(fā)生，在無法及時 趕到現(xiàn)場分析判斷故障時，我們首先采用 Sniffer pro 進行偵 聽。對于當時異常的連接和數(shù)據(jù)包進行記錄，均能夠及時發(fā) 現(xiàn)攻擊源和確定攻擊方式，為快速有效排查網(wǎng)絡故障起到了 決定性作用。這種方法，也幫助我們成功發(fā)現(xiàn)了一種木馬程 序變種在局域網(wǎng)擴散傳播的事件，并且提取了該木馬程序的 源文件及找到了清除的方法。Sniffer 在解決局域網(wǎng)安全問題和規(guī)劃網(wǎng)絡設計、測試硬 件和軟件環(huán)境等方面還有很多應用。 Sniffer 不僅能通過對流 量的異常分析，發(fā)