网络监控软件原理剖析.ppt

《网络安全》 为什么要使用网络监控软件 目前很多企业配备了专门的网络管理人员管理企业所构建的网站，虽然管好了设备，但设备所带来的方便却降低了企业员工的工作效率（都用网络干别的事情去了），加大了商业信息泄露的风险（因为缺乏管理，客户资料很可能被自己人传送给竞争对手，成为对方的资源）。因此企业内部网络的管理，仅仅靠购买设备是不够的，仅仅建设网站也是不够的，只管理网络设备还是不够的，还需要把员工使用网络的内容做监控，把使用网络的行为管理起来。尤其是外贸企业、技术研发类企业（如软件开发、机械工程）、政府机关、银行、医院、部队等关键任务机构，对员工的上网监督管理必不可少。 网络监控软件主要目标 1、防止并追查重要资料、机密文件等外泄； 2、监督、审查、限制、规范网络使用行为； 3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为； 4、备份重要网络资源文件（比如业务邮件）； 5、监视QQ/MSN聊天记录内容和行为过程； 6、流量限制以及网站访问统计，用于分析员工使用网络情况； 网络监控软件的解决方案 按照运行原理区分为： 监听模式和网关模式两种 监听模式 ：①通过共享式HUB（集线器） ②通过镜像交换机 ③通过代理/网关服务器 网关模式：①内网监控 ②外网监控 sniffer 简介 Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 Sniffer的分类 Sniffer分为软件和硬件两种 软件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等，其优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。 硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较昂贵，但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 网络监听的目的 当一个黑客成功地攻陷了一台主机，并拿到了管理员权限，而且还想利用这台主机去攻击同一（物理）网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个Log文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。 如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 Sniffer的应用 （1）Sniffer可以帮助评估业务运行状态 （2）Sniffer能够帮助评估网络的性能 （3）Sniffer帮助快速定位故障 （4）Sniffer可以帮助排除潜在的威胁 （5）Sniffer可以做流量的趋势分析 （6）Sniffer可以做应用性能预测 Sniffer的工作原理 在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧： （1）帧的目标区域具有和本地网络接口相匹配的硬件地址。 （2）帧的目标区域具有“广播地址”。 而Sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种“混杂”模式时，该网卡具备“广播地址”，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。 Sniffer所要关心的内容 （1）口令 （2）金融帐号 （3）偷窥机密或敏感的信息数据 （4）窥探低级的协议信息。 Sniffer的工作环境 大多数的Sniffer至少能够分析下面的协议： （1）标准以太网 （2）TCP/IP （3）IPX （4）DECNet Snffier pro 介绍 监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer