1、使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 sniffer分为软件和硬件两种,软件的sniffer有 Sniffer Pro、Network Monitor、PacketBone等,其优点是易于安装部署,易于学习使
2、用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的sniffer通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 基于以太网络嗅探的sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用sniffer来窃听到其他人的通信内容的。sniffer网络分析仪是一个网络故障、性能和安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极大地简化了发现和解
3、决网络问题的过程,广泛适用于Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等网络。network traffic analysis:网络流量分析,网络流量分析器bitSaver (又称应用流量管理器,带宽管理器或QoS设备)早在2000年就已经出现了,最早是美国的Packteer公司研发。但是由于网络带宽问题还没有显著,所以企业IT部门对带宽的重视程度还不够,随着各种网络新技术的应用以及网络多媒体技术的发展,网络带宽紧缺的问题越来越明显。尤其是2005年来,P
4、2P应用更是对带宽的管理带来了严重威胁,所以带宽管理器的市场在近3年来得到了很大的发展。据不完全统计,这个市场已经超过了近25亿美元。中国的带宽管理市场从2004年才开始逐渐受到重视,2007年中国带宽管理市场份额也在2亿人民币,预计中国带宽管理市场将以20%以上的速度增长。而具有带宽管理设备提供商的除了国外Packteer、Allot公司外,国内的北京英智兴达,畅讯科技等厂商,国外厂商带宽管理设备还没有实现界面的本地化,都是以授权代理的形式进入中国;国内的厂商在经历了3到4年的产品研发攻坚,产品才日益稳定,市场、技术、产品的竞争将在2008年展开。带宽管理器的基本功能非常简单,就是根据应用和
5、用户进行带宽的分配与监控。由于是七层的网络管理设备,所以网络管理人员无需具备较高的网络知识就能直接对应用和用户进行带宽的分配,这在一定程度上降低了网络管理人员的投入。虽然功能很简单,但是能够实现的各种应用却很多,只是大部分用户对带宽管理的应用没有得到很好的认识。国外的带宽管理设备昂贵,且不支持中文展示所以Packteer和Allot的应用主要集中在电信和金融,国内的北京英智兴达等厂商虽然在教育、政府、能源与医疗行业有所斩获,但是产品系列才成型一年,所以在市场应用的推广各厂商没有过多投入,导致用户对带宽管理的应用处于初级阶段。在电信和金融领域带宽应用主要表现在SLA(服务等级协议)上,通过带宽管
6、理设备给不同等级的用户提供不同等级的带宽服务,从而保障核心客户的投资回报率。在教育、政府等应用,带宽管理器主要应用集中在对P2P的管理方面,尤其是BT的管理。同时带宽管理设备也开始作为视频会议的QoS的保障设备出现。由于P2P等应用的客户端不断升级,所以只有具有自主研发的国内产品才能实现快速根据新版本推出管理策略,在这个应用上国际厂商不具有优势。当然作为带宽管理器,还具有更多的应用方式。如以下的应用:一、网络应用透明度问题,通过带宽管理器可以让以前未知的网络应用的状况能够详细查看。二、防范突发的流量激增和未知应用的攻击,如DoS攻击等,保障网络安全。三、评估核心应用的价值,通过对核心应用流量的
7、监查,了解核心应用的使用率与效率。四、保证关键应用(如:CRM、VPN、无线网络、视频会议、VoIP、等)所需的带宽,保证任何时候关键应用不受阻 五、准确评估网络的负载能力以及新应用上线对整体网络应用的影响,保证客户的IT投资合理性。六、实现按照用户的等级提供不同的网络资源配给,保障客户核心用户的网络价值。七、降低网络管理人员的重复操作,并提供应用的量化数据,便于管理层根据应用状况做出决策。这些应用只是在一些具体案例中出现,大部分用户还没有将带宽管理与自身的网络管理进行有效的融合。应用的前景很大。netflow:NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处
8、理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。(1)用sniffer软件捕获网卡进出的数据包;(2)使用网络流量监控/识别/分析软件。Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。Wireshark捕捉包:使用打开捕捉接口对话框,浏览可用的本地网络接口:捕捉选项:Conversatons:endpoints:IO graphs:flow graphs:3.试验体会:学会
9、了如何使用工具统计和分析网络流量。判断异常流量流向因为目前多数网络设备只提供物理端口入流量的NetFlow数据,所以采集异常流量NetFlow数据之前,首先要判断异常流量的流向,进而选择合适的物理端口去采集数据。流量监控管理软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助我们发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。目前最常用的流量监控工具是免费软件MRTG,下图为利用MRTG监测到的网络异常流量实例,可以看出被监测设备端口在当天4:00至9:30之间产生了几十Mbps的异常流量,造成了该端口的拥塞(峰值流量被拉平)。如果能够将流量监测部
10、署到全网,这样在类似异常流量发生时,就能迅速找到异常流量的源或目标接入设备端口,便于快速定位异常流量流向。有些异常流量发生时并不体现为大流量的产生,这种情况下,我们也可以综合异常流量发生时的其它现象判断其流向,如设备端口的包转发速率、网络时延、丢包率、网络设备的CPU利用率变化等因素。采集分析NetFlow数据判断异常流量的流向后,就可以选择合适的网络设备端口,实施Neflow配置,采集该端口入流量的NetFlow数据。以下是在Cisco GSR路由器GigabitEthernet10/0端口上打开NetFlow的配置实例:ip flow-export source Loopback0 ip
11、flow-export destination *.*.*.61 9995 ip flow-sampling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通过该配置把流入到GigabitEthernet10/0的NetFlow数据送到NetFlow采集器*.*.*.61,该实例中采用sampled模式,采样间隔为100:1。处理异常流量的方法(1)切断连接 在能够确定异常流量源地址且该源地址设备可控的情况下,切断异常流量源设备的物理连接是最直接的解决办法。(2)过滤 采用A
12、CL(Access Control List)过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在消耗网络设备系统资源的副作用,下例为利用ACL过滤UDP 1434端口的实例:access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 此过滤针对蠕虫王病毒(SQL Slammer),但同时也过滤了针对SQL Server的正常访问,如果要保证对SQL Server的正常访问,还可以根据病毒流数据包的大小特征实施更细化的过滤策略(本文略)。(3)静态空路由过滤 能确定异常流量目
13、标地址的情况下,可以用静态路由把异常流量的目标地址指向空(Null),这种过滤几乎不消耗路由器系统资源,但同时也过滤了对目标地址的正常访问,配置实例如下:ip route 205.*.*.2 255.255.255.255 Null 0 对于多路由器的网络,还需增加相关动态路由配置,保证过滤在全网生效。(4)异常流量限定 利用路由器CAR功能,可以将异常流量限定在一定的范围,这种过滤也存在消耗路由器系统资源的副作用,以下为利用CAR限制UDP 1434端口流量的配置实例:Router# (config) access-list 150 deny udp any any eq 1434 Router# (config) access-list 150 permit ip any any Router# (config) interface fastEthernet 0/0 Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop 此配置限定UDP 1434端口的流量为8Kbps。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1