聚生网管原理.docx
《聚生网管原理.docx》由会员分享,可在线阅读,更多相关《聚生网管原理.docx(20页珍藏版)》请在冰豆网上搜索。
聚生网管原理
真正的聚生网管原理大揭秘仅此一篇!
说起网管软件,就不能不提“聚生网管”,这款软件是国内最早的专业网管软件之一,目前国内做网管的几乎都知道,在前几年控制BT下载、限制聊天、限制带宽流量、限制局域网游戏等方面赫赫有名,现在在XX搜索“网管软件”,聚生网管也排在首页的最显著位置(广告除外),可以说,聚生网管在某种意义上已经成为国内网管软件的一个代名词。
聚生网管之所以出名,笔者以为主要是以下几个方面:
1、安装部署简单。
照聚生网管的安装说明,只需要将聚生网管系统安装在局域网一台电脑就可以控制整个局域网的上网行为,不需要像其他网管软件那样需要在交换机上做端口镜像,安装HUB集线器或代理服务器等,也不需要在被控制的电脑上安装客户端软件,不需要调整网络结构等等。
这种安装部署方式比较适合国内企事业单位网络管理的情况。
其实国内一般公司都没有专门的网管人员,一般是由单位的行政或管理人员兼任,这种情况下就需要比较简单、易用的网管软件。
聚生网管很好地满足了这些网管人员的需求,安装非常简单,功能界面一目了然,使用上点点鼠标就可以实现。
2、网络监控功能实用。
聚生网管控制迅雷下载、限制BT,限制上网带宽,控制局域网游戏,限制局域网聊天,限制网址浏览等功能是当前网络管理、网络监控所迫切需要的。
其实,上述这些网络限制功能一般的网管软件也都可以实现,但是都没有聚生网管做得好。
比如限制迅雷下载,一般的网管软件无法有效限制,而聚生网管可以完全禁用迅雷下载;比如限制电脑上网速度,一般的网管软件只能限制电脑一段时间的上网流量(类似于流量统计),而不能限制电脑实时的带宽。
而目前由于中国宽带运营商给国内企事业单位的出口带宽普遍较小,一般公司的带宽资源常常捉襟见肘,不够用。
而P2P软件占用带宽较为惊人,因此,必须有效控制P2P下载才可能从根本上解决单位带宽被P2P下载、P2P视频消耗殆尽的窘况;同时,即便控制了局域网P2P流量,也必须对局域网电脑上网带宽进行限制,防止个别人莫名其妙地占用较大的带宽而导致其他人上网速度慢、网络性能下降的情况。
3、聚生网管和国内其他网管软件不同的另一个重要方面就是,实行一次收费,永久使用,永久免费升级的策略。
这与国内其他网管软件一般只是升级一年不同,给用户感觉性价比很高。
从聚生网管这几年的升级来看,的确是给客户免费升级,给了用户切实的实惠。
笔者以为,聚生网管正是契合了当前国内企事业单位网络管理的执行者、网络管理的核心需求和网络管理的持久性等三个方面的需求,使得聚生网管在国内网管软件领域颇具竞争力,使得聚生网管系统上市不久就沉重打击了国内更早的网管软件,比如那些采用端口镜像、部署HUB集线器或代理服务器的网管软件,这些架构的网管软件由于其架构部署复杂、功能侧重点等方面已经越来越受到聚生网管的严重挤压,生存空间越来越小;同时,采用端口镜像、部署HUB集线器或代理服务器架构的网管软件由于无法有效监控P2P软件、禁止聊天软件、限制上网带宽而越来越无法满足用户的网络管理需要。
笔者的一个朋友曾经采购了一款这种架构的网管软件,想完全禁用BT下载,结果厂家的技术人员竟然告知将BT的网站全部封堵;想限制电脑的网速,结果这样的网管软件只能控制一天用了多少兆流量;想封堵QQ聊天、禁止玩QQ游戏,却让笔者的朋友去抓取QQ登录IP地址、QQ游戏的服务器IP和端口,然后在路由器里面过滤QQ和QQ游戏的登录IP地址和端口,差点让笔者的朋友吐血。
笔者今天并不是讨论国内网管软件的优劣,而是想和广大网友深入分析一下,聚生网管究竟采用何种原理,为何在国内如此大受欢迎呢?
其实,从聚生网管的安装部署方式来看,我们不难看出这种部署方式绝非一般的网管软件部署方式,也就是我们常常说的ARP地址解析技术。
这种ARP技术是将局域网电脑的ARP表项中所存储的网关的IP对应的MAC地址表更改成聚生网管的控制机的MAC地址。
这样由于局域网电脑的报文是通过MAC地址传输的,因此经过聚生网管这种“主动引导”之后,局域网电脑发送的数据包就直接发送到聚生网管所在的电脑了,这样聚生网管系统就可以通过将网卡置于混杂模式而抓取局域网电脑的公网报文,然后根据其内置的过滤规则来对数据包进行过滤,然后再将数据包转发到真正的网关,从而达到对局域网电脑进行控制的目的。
毋庸置疑,这种通过ARP方式来控制局域网电脑的方法在早期的网管软件中应用都非常普遍,但是由于其他一些网管软件厂家这些对ARP技术的掌握和功能设计上存在缺陷,使得他们在使用ARP模式监控时常常导致内网电脑掉线,不得已很多网管软件被迫放弃了这种部署方式。
而聚生网管由于早期对ARP监控模式的开发和实践较早,对ARP技术的掌握也更为成熟。
因此聚生网管系统一般不会导致内网电脑掉线,再加上聚生网管在新版本中已经可以完全突破ARP防火墙进行监控,因此也没有理由放弃这种ARP监控模式。
因此,聚生网管一直没有放弃通过ARP方式监控,国内广大用户似乎也乐意接受这种监控模式。
公平地说,这种ARP方式进行的监控,如果应用得当,的确是一种很好的网络管理解决方案,尤其是可以不用调整网络结构,不需要在交换机做端口镜像,加装HUB集线器或代理服务器的方式,确实简化了网管人员的工作量和复杂性。
同时,这种监控模式由于只是抓取和过滤局域网电脑的上行报文,而对局域网电脑下行报文不抓取、不过滤、不拦截。
因此,考虑到局域网电脑的上行报文一般较小,下行报文是一般较大(比如用迅雷下载),因此这种监控方式也不会导致局域网电脑上网变慢、网络性能下降的情况;同时,由于很多网络应用,一般只需要打断其上行报文就可以完全禁止其报文传输,因此也没有必要将下行报文抓取、过滤和限制了。
比如,禁止迅雷的上传就可以完全禁止迅雷下载;禁止QQ的上行报文就可以完全阻断QQ登录。
但是,这种方式被一些不太懂技术的或者一些竞争对手说成是“ARP欺骗”,然后信誓旦旦地说这种监控模式会引发多少危害云云,就有点耸人听闻、贻笑大方了。
首先,无论怎么部署网管软件,前提是必须能抓取局域网电脑的上网报文,否则网络监控根本无从谈起,就像很多网管软件通过在交换机和路由器之间搭建“网络桥”(一般是通过双网卡或双网口)的方式进行监控一样;同时,由于这种“网络桥”的方式由于是局域网电脑上网的唯一出口,因此局域网电脑所有的上下行公网报文都会流经此网络桥,因此一旦网络桥所在的网络设备无法及时、高效处理这些报文(尤其下行的大量的P2P报文),将会导致网络丢包、延迟甚至崩溃,从而使得局域网电脑的网络通讯完全切断,导致内网大面积掉线。
因此,这种网络桥的部署方式容易引发单点故障、成为性能瓶颈,同时部署也较为复杂。
聚生网管的ARP方式也只不过是利用一种比较简单、快捷的方式来达到抓取局域网电脑上网报文,进而进行过滤和控制的目的,同时这种模式也省却了用户做端口镜像、部署HUB集线器或代理服务器的繁琐。
因此,这种模式从监控的方式来说无可厚非,甚至还节省了客户的工作量,为客户带来了诸多便捷;而从监控的实际效果上,可以完全屏蔽P2P下载、限制电脑聊天、禁止局域网电脑玩游戏、实时控制电脑网速、限制网址访问等等主流的网络控制功能。
因此,用最少的工作量实现最大的网络管理效果,网管人员没有理由拒绝。
其次,ARP报文只是互联网基础通讯协议的一种,是局域网电脑通讯、电脑上网的必需协议。
当前一些防火墙、路由器、交换机为了引导局域网电脑上网、防御ARP病毒等,也不断地、周期性地向局域网电脑广播ARP报文。
笔者通过对H3C、Dlink公司路由器的验证,他们的路由器产品发包的速度默认是每个/2-4秒不等,个别品牌的路由器甚至一秒向整个局域网广播一次ARP报文。
而笔者研究聚生网管的ARP发包速度,默认为5秒每个,网管人员可以在一定条件下延长ARP报文的发包延时,比如设置10秒,甚至30秒发送一次。
因此,从发包力度和频率来说,聚生网管系统远远小于路由器、防火墙和交换机等主流网络设备的发包频率,因此对网络几乎没有任何影响。
此外,这些ARP报文相对于局域网动辄成千上万、难以估量的TCP、UDP报文来说,显得微乎其微,对网络不可能产生可以察觉的影响。
再其次,由于聚生网管的这种ARP报文是为了达到网络管理、网络控制的目的,因此总体来说这是一种种良性的ARP报文,是为了帮助网管人员以最简单、最直接的方式达到网络控制的目的。
因此,聚生网管的ARP机制与那些ARP木马、ARP攻击和ARP欺骗不同,后者的目的是直接搞垮局域网电脑的上网行为,是为了破坏局域网的正常通讯,达到某种罪恶的目的。
因此,聚生网管的ARP方式监控不能称之为ARP攻击或ARP欺骗。
相反,如果局域网真有ARP攻击、ARP欺骗等危害网络行为的发生时,聚生网管的ARP机制在一定程度上可以将这些ARP攻击行为的危害降到最低。
因为,这些ARP攻击木马在发作时会向局域网广播大量的、伪造的、虚假的ARP报文,以此来破坏局域网电脑的ARP表项里面所存储的正确的网关MAC地址;而这种情况下,如果开启了聚生网管系统就会向局域网广播聚生网管控制的MAC地址,从而及时更新局域网电脑的ARP表项,使得局域网电脑的网络报文发送到聚生网管控制机,而聚生网管会将数据包抓取、过滤之后转发到真正的网关,从而可以保证网络通讯的正常进行;同时,聚生网管系统还可以在一定条件下加大ARP发包的力度和频率,从而可以有力地对抗ARP攻击、ARP欺骗的危害网络的行为。
此外,聚生网管系统还提供了检测局域网ARP攻击、ARP欺骗行为的攻击源主机,可以精确定位局域网发动ARP攻击的电脑,并且还可以在一定条件下将攻击源主机完全隔离开局域网,使之无法与局域网其他电脑通讯,也无法上网,从而完全杜绝ARP攻击和ARP欺骗行为的肆虐,从根源上治理ARP攻击行为的发生。
最后,很多人担心这种模式部署聚生网管监控软件会影响网络性能,导致局域网网速变慢、网络性能下降,加剧网络丢包,其实这种担心毫无道理。
因为,一款网管软件性能的高低,一方面取决于软件自身的代码、逻辑架构和算法,另一方面也很大程度上取决于运行软件的硬件载体。
一个很烂的软件即便在IBM的大型服务器上也跑不出令人满意的性能,而一款各方面都优秀的网管软件,即便是在一个普通PC机上也能跑出令人满意的效果。
因此,从上面的分析我们可以得出,单纯从聚生网管的自身来看,由于其仅仅3兆的大小,同时采用C++编程语言,加上聚生网管多年来的架构整合、优化,综合性能已经非常优秀;同时,经过笔者的测试,在同样的网络环境下,运行聚生网管的硬件平台性能越高,聚生网管的运行效率也越高。
因此,聚生网管的运行性能如何很大程度上取决于硬件平台的性能,这一点,企事业单位在部署网管软件的时候要注意一下。
笔者的建议是,如果单位有空余的服务器,则最好用服务器来跑,一方面可以避免服务器资源闲置,另一方面也可以实现更高的网络监控性能,同时以后服务器性能不够了可以直接将聚生网管移植到一个更高的服务器平台上,升级维护较为简单、灵活。
同时,笔者也不建议购买硬件的网管系统,笔者的一个朋友来了一款硬件的网管系统,当时用的还可以,但是中途出现几次故障,维修花了好长时间,而且硬件升级也较为困难,厂家给出的报价也极为高昂,随着公司电脑数量的增多,现在已经明显感觉到对网络性能的影响了。
因此,从以上各种理由来看,聚生网管的ARP监控模式不是所谓的ARP攻击或ARP欺骗,而只是用了一种巧妙的办法来帮助网管人员达到网络管理的目的。
同时,这种监控模式不需要调整网络结构,不需要加装网络设备,不需要安装客户端,也不会导致网络性能的降低,也没有什么网络风险。
因此,这种监控模式能够满足国内大部分中小型企事业单位网络管理、网络监控的需要。
再加上,聚生网管已经完全突破各种ARP防火墙进行无缝监控,因此,聚生网管可能会继续保留这种通过ARP方式监控的功能。
但是,也许聚生网管研发团队和市场部门已经注意到用户的担心,以及竞争对手一次次利用ARP向聚生网管发难,聚生网管在2008年推出了带有更多监控模式的新版本,集成了“网关模式、网桥模式、旁路模式、监视模式”等主流网管软件所采用的部署方式。
同时,针对三层交换机大规模网络监控的需要,聚生网管在2011年推出了“创新直连”监控模式,通过在三层交换机的一个特定的VLAN部署聚生网管,就可以完全实现对三层交换机所有VLAN电脑上网行为的全面监控,遥遥领先国内同类网管软件单纯的“串接”、“桥接”模式,部署更为快捷、简单,风险也更小,综合性能更高。
聚生网管在监控模式的变革和创新,使得聚生网管以一种更正派的网管软件形象出现,同时也极大地增强了聚生网管在大规模网络环境中的竞争优势。
综上所述,从聚生网管在国内广大网管人员中的知名度,聚生网管的各项网络限制功能,聚生网管的部署和使用等等方面。
我们不难看出,聚生网管很好地切合了国内网管人员的知识水平、企事业单位的网络管理需要。
聚生网管的成功也给国内广大网管软件厂家一个很好的启迪,我们预祝聚生网管系统能够再接再厉,继续为中国广大企事业单位作出更好的网管软件产品。
Nmap在实战中的高级用法-im404
时间2014-03-0114:
25:
00 博客园-所有随笔区原文
Nmap提供了四项基本功能(主机发现、端口扫描、服务与版本侦测、OS侦测)及丰富的脚本库。
Nmap既能应用于简单的网络信息扫描,也能用在高级、复杂、特定的环境中:
例如扫描互联网上大量的主机;绕开防火墙/IDS/IPS;扫描Web站点;扫描路由器等等。
简要回顾Nmap简单的扫描方式:
1全面扫描:
nmap-T4-Atargetip
2
3主机发现:
nmap-T4-sntargetip
4
5端口扫描:
nmap-T4targetip
6
7服务扫描:
nmap-T4-sVtargetip
8
9操作系统扫描:
nmap-T4-Otargetip
上述的扫描方式能满足一般的信息搜集需求。
而若想利用Nmap探索出特定的场景中更详细的信息,则需仔细地设计Nmap命令行参数,以便精确地控制Nmap的扫描行为。
下面列举比较实用的高级应用场景和技巧。
1Namp高级选项
1.1 查看本地路由与接口
Nmap中提供了–iflist选项来查看本地主机的接口信息与路由信息。
当遇到无法达到目标主机或想选择从多块网卡中某一特定网卡访问目标主机时,可以查看nmap–iflist中提供的网络接口信息。
nmap–iflist
1.2 指定网口与IP地址
在Nmap可指定用哪个网口发送数据,-e选项。
接口的详细信息可以参考–iflist选项输出结果。
示例:
nmap-eeth0targetip
Nmap也可以显式地指定发送的源端IP地址。
使用-S选项,nmap将用指定的spoofip作为源端IP来发送探测包。
另外可以使用Decoy(诱骗)方式来掩盖真实的扫描地址,例如-Dip1,ip2,ip3,ip4,ME,这样就会产生多个虚假的ip同时对目标机进行探测,其中ME代表本机的真实地址,这样对方的防火墙不容易识别出是扫描者的身份。
nmap-T4-F-n-Pn-D192.168.1.100,192.168.1.101,192.168.1.102,ME192.168.1.1
1.3 定制探测包
Nmap提供–scanflags选项,用户可以对需要发送的TCP探测包的标志位进行完全的控制。
可以使用数字或符号指定TCP标志位:
URG, ACK, PSH,RST, SYN,and FIN。
例如,
nmap-sX-T4–scanflagsURGACKPSHRSTSYNFINtargetip
此命令设置全部的TCP标志位为1,可以用于某些特殊场景的探测。
另外使用–ip-options可以定制IP包的options字段。
使用-S指定虚假的IP地址,-D指定一组诱骗IP地址(ME代表真实地址)。
-e指定发送探测包的网络接口,-g(–source-port)指定源端口,-f指定使用IP分片方式发送探测包,–spoof-mac指定使用欺骗的MAC地址。
–ttl指定生存时间。
2扫描防火墙
防火墙在今天网络安全中扮演着重要的角色,如果能对防火墙系统进行详细的探测,那么绕开防火墙或渗透防火墙就更加容易。
所以,此处讲解利用Nmap获取防火墙基本信息典型的用法。
为了获取防火墙全面的信息,需尽可能多地结合不同扫描方式来探测其状态。
在设计命令行参数时,可以综合网络环境来微调时序参数,以便加快扫描速度。
SYN扫描
首先可以利用基本的SYN扫描方式探测其端口开放状态。
nmap -sS -T4www.91ri.org
扫描输出为:
1All997portsarefiltered
2
3PORTSTATESERVICE
4
580/tcpopenhttp
6
7113/tcpclosedauth
8
9507/tcpopencrs
我们可以看到SYN方式探测到3个端口开放,而有997个端口被过滤。
Nmap默认扫描只扫描1000个最可能开放的端口,如果想扫描全部的端口.
使用命令nmap-sS-T4 -p- www.91ri.org
FIN扫描
然后可以利用FIN扫描方式探测防火墙状态。
FIN扫描方式用于识别端口是否关闭,收到RST回复说明该端口关闭,否则说明是open或filtered状态。
nmap -sF -T4www.91ri.org
1PORTSTATESERVICE
2
37/tcpopen|filteredecho
4
59/tcpopen|filtereddiscard
6
711/tcpopen|filteredsystat
8
913/tcpopen|filtereddaytime
10
1123/tcpopen|filteredtelnet
12
1325/tcpopen|filteredsmtp
14
1537/tcpopen|filteredtime
16
1779/tcpopen|filteredfinger
18
1980/tcpopen|filteredhttp
20
21更多端口,此处省略
ACK扫描
然后利用ACK扫描判断端口是否被过滤。
针对ACK探测包,未被过滤的端口(无论打开、关闭)会回复RST包。
nmap -sA -T4www.91ri.org
扫描输出为:
1Notshown:
997unfilteredports
2
3PORTSTATESERVICE
4
5135/tcpfilteredmsrpc
6
71434/tcpfilteredms-sql-m
8
932777/tcpfilteredsometimes-rpc17
从结果可以997个端口是未被过滤的(unfiltered),而3个(135/1434/32777)被过滤了。
所以,将ACK与FIN扫描的结果结合分析,我们可以找到很多开放的端口。
例如7号端口,FIN中得出的状态是:
open或filtered,从ACK中得出的状态是unfiltered,那么该端口只能是open的。
Window扫描
当然也可以利用Window扫描方式,得出一些端口信息,可以与之前扫描分析的结果相互补充。
Window扫描方式只对某些TCPIP协议栈才有效。
window扫描原理与ACK类似,发送ACK包探测目标端口,对回复的RST包中的Windowsize进行解析。
在某些TCPIP协议栈实现中,关闭的端口在RST中会将Windowsize设置为0;而开放的端口将Windowsize设置成非0的值。
nmap -sW -p- -T4www.91ri.org
输出结果:
1PORTSTATESERVICE
2
37/tcpopenecho
4
59/tcpopendiscard
6
711/tcpopensystat
8
913/tcpopendaytime
10
11更多端口,此处省略
在采用多种方式获取出防火墙状态后,可以进一步进行应用程序与版本侦测及OS侦测。
3扫描路由器
Nmap内部维护了一份系统与设备的数据库(nmap-os-db),能够识别数千种不同系统与设备。
所以,可以用来扫描主流的路由器设备。
3.1 扫描思科路由器
nmap-p1-25,80,512-515,2001,4001,6001,900110.20.0.1/16
思科路由器会在上述端口中运行了常见的服务。
列举出上述端口开放的主机,可以定位到路由器设备可能的IP地址及端口状态。
3.2 扫描路由器TFTP
nmap–sU–p69–nvvtarget
大多数的路由器都支持TFTP协议(简单文件传输协议),该协议常用于备份和恢复路由器的配置文件,运行在UDP69端口上。
使用上述命令可以探测出路由器是否开放TFTP。
3.3 扫描路由器操作系统
与通用PC扫描方式类似,使用-O选项扫描路由器的操作系统。
-F用于快速扫描最可能开放的100个端口,并根据端口扫描结果进一步做OS的指纹分析。
nmap-O-F-n192.168.1.1
4扫描互联网
Nmap内部的设计非常强大灵活,既能扫描单个主机、小型的局域网,也可以扫描成千上万台主机从中发掘用户关注的信息。
扫描大量主机,需要对扫描时序等参数进行仔细的优化。
4.1 发现互联网上web服务器
nmap-iR100000-sS-PS80-p80-oGnmap.txt
随机地产生10万个IP地址,对其80端口进行扫描。
将扫描结果以greppable(可用grep命令提取)格式输出到nmap.txt文件。
可以使用grep命令从输出文件提取关心的细节信息。
4.2 统计互联网主机基本数据
Nmap的创始人Fyodor在2008年的BlackHat大会发表一篇演讲,讲的是如何使用Nmap来扫描互联网(Nmap:
Scanning the Internet),资料地址:
http:
//nmap.org/presentations/BHDC08/ 。
Fyodor进行互联网扫描的初衷是统计出网络经验数据并用之优化Nmap的性能。
例如,根据统计出每个端口开放的概率,优先扫描常见端口,以节省用户的时间。
产生随机IP地址
产生100万个随机的IP地址,并将之保存到文件中,方便后续扫描时作为参数输入。
nmap -iR 1200000 -sL -n | grep ”not scanned” | awk ’{print $2}’ | sort -n | uniq >!
tp; head-25000000 tp >!
tcp-allports-1M-IPs; rm tp
上述命令含义:
随机生成1200000个IP地址(-iR120000),并进行列表扫描(-sL,列举出IP地址,不进行真正的扫描),不进行dns解析操作(-n),这样将产生Nmap列表扫描的结果。
在此结果中搜出未扫描的行(grep“notscanned”),打印出每一行的第二列内容(awk‘{print$2}’,也就是IP地址),然后对获取到的IP地址进行排序(sort-n),然后剔除重复IP地址,将结果保存到临时文件tp,再取出前
升级会员 