监控模式与网卡驱动概要.docxVIP

外网监控和内网监控： 监视访问internet的行为和内容称为上网监控或外网监控（邮件、QQ、页面浏览）， 监视内部局域网的活动称为内网监控或本网监控（打印、拷贝、单机），内网管理的实现需要客户端支持。 监控模式两种分法： 旁路监控模式、串联监控模式 网关模式、旁路模式、网桥模式、旁听模式 旁路监控模式、串联监控模式 “旁路监控模式”一般是指通过交换机等网络设备的“端口镜像”功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口，所以形象的称之为“旁路监控”。 而串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控，由于监控设备做为网关或者网桥串联在网络中，所以称之为“串联监控模式”。 旁路监控和串联监控的优缺点 旁路模式的优点 旁路监控模式部署起来比较灵活方便，只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关、网桥或者代理服务器，所以需要对现有网络结构进行变动。 旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。而串联模式是串联在网络中的，那么所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。 旁路监控设备一旦故障或者停止运行，不会影响现有网络。而串联监控设备如果出现故障，会导致网络中断。 旁路模式的缺点 需要交换机或者路由支持“端口镜像”功能才可以实现监控。 旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。而串联模式不存在该问题。 串联模式的优点 利用系统自带的“网关”、“网桥”功能即可实现，不需要硬件设备的支持。 可以禁止UDP通讯数据包。 串联模式的缺点： 需要更改现有的网络结构。 与“旁路监控”相比较，“网关”、“网桥”的配置更加复杂些。 由于是串联模式，当局域网电脑台数多时，对网速有少许的影响。这个主要取决于电脑的硬件配置。 网关模式、旁路模式、网桥模式、旁听模式 网关模式：本机作为其他电脑的网关常用的是NAT存储转发方式；控制能力强、网络效率90%以上、设置最复杂但功能最全；适合大用户量环境、特别支持上网并发连接数限制、支持限制非监视电脑上网；但不支持多VLAN、不支持VPN。 此类软件有：ISA（银行金融）、anyrouter软网关 旁路模式：采用ARP欺骗方式虚拟网关、让其他计算机将数据发送到监控计算机。设置最简单、适合少于50个电脑局域网、非常容易上手立即可行；因此开始测试基本功能时可以先设置为：“旁路模式”（虚拟网关模式）,安装简单到网内任何一个电脑只要设置一个网关IP地址就可以了；不过该模式不适合大用户量环境，不适合多VLAN环境，不适合多出口环境，容易被干扰，网络效率为85%以上；因不能自相矛盾所以不适合禁止旁路的环境（比如路由绑定IP和MAC或被监视电脑安装了ARP火墙就将禁止旁路）; 此类软件有：P2P终结者、网络执行官、聚生网管 网桥模式：双网卡做成透明桥，桥工作在第二层，所以简单的理解为桥为一条网线。适应并支持目前几乎所有的各种复杂的网络环境、性能最好、维护简单、安装简便、网络效率98%以上可视为透明网线；如果多网段、多VLAN、多出口或VPN环境则一定需要采用网桥模式；适合超过一万台电脑的超级局域网；相比设置复杂的网关模式只缺了一个并发连接数限制（基本上用不到这个功能）； 此类软件有：Anyview网络警、百络网警、网络岗、activeall 旁听模式：该模式需要共享式的HUB或镜像交换机（所谓的镜像就是把交换机转为HUB），原理性决定了性能低同时不能限制UDP(旁路模式采用发送RST包的方式来断开TCP连接)也不能限制流量等功能。；采用镜像模式，一方面需要投资支持双向(监控和控制)的镜像交换机设备，另一方面需要专业的人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低网络性能； 此类软件有：超级嗅探狗、LaneCat网猫 获取数据包的技术 采用操作系统核心NDIS中间层驱动模式（WINDOWS系统） 公开免费接口pcap协议层驱动 PF_RING内核数据包捕获接口（NAPI） Anyview网络警和activewall采用NDIS中间层驱动，百络网警采用的是kercap内核技术、网络岗则采用winpcap技术 由于winpcap本身设计的天生弱点，所以在流量限制方面无法实现、阻断UDP也将导致网络中断、无法支持千M网络和无线网络、性能也必然很低；也无法实现NAT等更多的扩展功能，由于在协议层运行会被防火墙禁止；而NDIS中间层驱动模式由于在NDIS层位置驱动，因此性能效率非常高，更多功能也将成为可能；能够克服winpcap所有的弱点，但