《内网流量管理与数据监控.pptVIP

内网流量管理与数据监控 内网流量管理与数据监控的目的 通过监控工具捕获的数据包内容 能够顺利捕获内网通讯数据的前提 支持数据捕获功能的以太网卡(有线或无线) 能够顺利捕获内网通讯数据的前提 具备监控功能的软件 Ethereal网络数据包分析工具 Ethereal Sniffer Pro Sniffer Pro Sniffer Pro 科来网络分析系统 科来网络分析系统 安装科来网络分析系统 能够顺利捕获内网通讯数据的前提 为什么需要设置镜像端口来监控 镜像端口的意义 华为3COM路由交换设备上配置端口镜像 华为3COM路由交换设备上配置端口镜像 华为3COM路由交换设备上配置端口镜像 图形化界面下镜像端口的设置 图形化界面下镜像端口的设置 图形化界面下镜像端口的设置 使用科来网络分析系统监控内网 界面简介 监控标签 实战1:资深网管教你如何教控内网流量 实战2:忘记管理地址莫慌用sniffer巧解决 实战3:ARP欺骗病毒巧排查 实战3:ARP欺骗病毒巧排查 实战3:ARP欺骗病毒巧排查 实战3:ARP欺骗病毒巧排查 实战3:ARP欺骗病毒巧排查 其他相关内容 如何发现sniffer嗅探 Sniffer监控数据的进阶处理(选学内容) 信息中心 阮征 2008年6月 记录下太多的ARP请求数据包而没有得到应答计算机的源地址——MAC地址，笔者一共发现了有三台这样的计算机，MAC地址依次是001e8c0218a3,001d60fca3da,001d60fca01c.接下来在左边找到这三个MAC地址对应的主机，查看单个主机的流量信息，经过查询发现每个主机发送的数据包多以ARP数据包为主，而且具体内容是告诉目的地址26这个IP地址对应的MAC为上述三个MAC地址。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 26是这个学校的网关地址，由此我们就可以判断出这三个机器发送的是ARP欺骗数据包，让其他主机混淆了主机的MAC地址信息，将本来应该发送到网关的数据包发送给这三台计算机，从而造成了无法上网的问题。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 在正常上网的服务器上执行arp -a查询ARP缓存信息，发现26这个网关地址对应的真正MAC地址应该是00e0fc297759，而不是上面提到的那三个MAC地址。确定问题主机后笔者通过查询正确计算机的ARP缓存信息或者查询DHCP地址池中租约对应关系又或者查看学校之前做的备案获取了这三个MAC地址对应的IP地址，将这三个地址断网杀毒或重新安装系统，之后学校网络恢复了正常。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 蠕虫病毒是学校最容易遇到的问题，笔者在实际工作过程中接触的安全问题有90%都是来自于蠕虫病毒，针对ARP欺骗蠕虫病毒来说我们应该防患于未燃，在网络正常时及时记录各个机器的MAC地址，IP地址，主机及物理位置信息，并且通过双向绑定（网关上绑定客户端MAC地址，客户端MAC地址绑定网关MAC）来达到ARP欺骗的免疫，从而保证学校内网更加安全。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 在实际使用过程中很多网络应用都是通过明文传输数据的,这样我们就可以轻松通过sniffer类工具获取实际传输内容.明文传输的协议有telnet,msn,ftp等.即使数据加密我们也可以通过反破解方法在监控到密文后进行还原. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. （1）网络通讯数据包掉包率突然增加： 众所周知正常情况下TCP/IP协议的数据通讯是比较有保障的，所以平时ping或者两点之间通讯掉包情况并不多见，不过当网络中存在使用sniffer类软件人员的话网络通讯掉包率将反常，丢包现象