论文部分内容阅读
【摘 要】随着网络化在企业和单位中的推进,网络管理就成为网络应用的重要组成部分。通常情况下网络管理者因为设备地理位置的分散,而往往又需要集中的对设备运行情况进行集中管理,会造成管理难度的增大。当网络出现异常情况的时候不容易定位判别。不过就根本上来说,网络的运行状况最终都要以数据和流量的形式体现出来。因此,对数据和流量的捕获分析就成为网络管理中的一个重要方面,通常将这种对流量和数据进行分析的行为称之为“网络分析”。
【关键词】流量;niffer;网络分析;ethereal;嗅探
引言
网络应用中问题和故障的发现和解决,依赖于网络管理工作的进行程度,一个好的网络管理系统和方法对网络问题和故障的发现、定位、排查,解决起到至关重要的作用。本文将就数据包和流量的获取以及分析两个方面来论述,来说明其在当前网络管理中的应用意义。
一、网络分析和网络分析的部署
本文中所讲的网络分析,协议分析,数据分析,流量分析。在很多地方具有一致性,因为网络中的流量由具体数据包组成,而数据分析和协议分析也只是从不同的层面来看待数据包,一个数据从应用层开始封装到由物理层发送,期间要加上各个层次的标记和控制信息,因为不同的协议构成不同的数据格式。就分析而言,是由流量到单个数据,由应用层到物理层(封装)或由物理层到应用层(解封)。
流量分析工具可以分为软件和硬件两类产品,软件需要运行于监测计算机上,而硬件则是一台专门的设备。其获取流量和数据的方式有两种:SPAN和TAP。
1.SPAN,switch port Analysis(交换机端口镜像)就是把交换机某个端口或者多个端口的流量COPY到另一个指定的端口,然后在这个端口上接协议分析系统。可以是装有协议分析工具的PC机,也可以是专门的分析硬件设备。
“端口镜像”方式需要管理员对检测链路的交换机进行配置,而且每个厂商的交换机端口镜像配置方式有所不同,需要参考具体的产品技术手册。
2.TAP是Test Access Port 的缩写,称为“网络监测接口盒”或分路器,有铜缆的,有光纤的。TAP工作在OSI 模型的第一层,它被动地监听网络流量,对原数据流不造成任何影响,因此可监听全双工链路双向访问的所有网络流量(包括错误包)。
二、“嗅探”SNIFFER方式获得流量和数据
嗅探SNIFFER的原理
以太网(ethernet)从介质访问控制角度可以分为共享式LAN和交换式LAN两种。简单来说,共享式LAN由HUB之类的设备构成。网络中的数据包以广播的方式传送,从一台工作站发出的数据包,可以被同一个网络的所有工作站接收到。工作站的网卡根据数据包中的目的地址来决定是接受还是丢弃这个数据包,这种数据传输就为我们“嗅探”数据提供了可能性。
随着交换设备的使用,交换式以太网取代了原有的纯共享的以太网络。网络中的数据包传递不再是单纯的广播方式,可分为单播,组播与广播。因此交换式以太网的“嗅探”就比在共享环境下要难一些。但基本的原理也是将检测工作站网卡置于“混杂模式”以获得目的地址不是自己的数据包。问题是如何在交换环境下让发送到其他工作站上的数据包也流向监测工作站来,这个是“嗅探”成功的前提。
要做到监测工作站能获取到所有的流量有两种方式:一是对交换机进行镜像端口的配置,二是对交换机进行攻击。当然第二类行为在网络管理中是一种入侵行为,除开其合法性。在技术层面来讲,对“嗅探”数据包是十分有效的,其中最典型的就是ARP欺骗与攻击,与MAC地址攻击等,它们的相同之处都在于通过攻击手段来获取数据。
三、网络分析工具举例
下面以ethereal为例,简单介绍下它是如何查看与分析数据包的。Ethereal 是免费的网络协议检测程序,可以用来监视所有在网络上被传送的包,并分析其内容的,支持Unix,Windows。让经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯,方便查看、监控TCP session动态等等。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。目前ethereal提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格昂贵的sniffer。
通过像ethereal这样的协议分析工具,我们可以对接收到的数据包进行解析,还原和再造。这样的分析工具常用的还有很多,他们功能强弱不一,部署应用不同,但根本目的都是对协议,数据包的分析。
四、流量分析举例
流量的获取可以通过协议分析工具或者是专门的流量分析工具来获取,这两类工具的侧重和功能各不相同,下面就sniffer pro里的monitor工具来说明流量分析与统计。
协议分析软件也可以用来检测网络中的流量情况,且依此来检测网络的运行情况和判断异常,以sniffer pro为例。先运行sniffer pro 中的工具 matrix(矩阵)
Matrix,矩阵,也就是主机会话情况,很多时候用其来发现病毒,也用来评估网络状况,和异常流量。通常情况下一下子就满了,大多数网络中都是这样的。按一下暂停,然后来分析看那一台主机的连接数最多按右建选zoom,放大。注意到某台机器向公网发出大量的ICMP包,PING采用ICMP协议,ping可以用来扫描,也可以用来攻击。扫描可以发现处于运行状态的主机,接着扫描端口,然后寻找漏洞攻击,所以扫描是攻击主机的前奏。另外,还可以用ping 来冲击路由器,或占用带宽,是一种DOS攻击。一般情况下,扫描会是比较连续的地址,这个地址并不连续,先排除扫描,当然不是绝对的。
因此假设在网络中出现这样的情况,我们发现了异常,先要找到这台机器,然后我们可以查看这台机器的任务管理器,看看有什么不常见的进程,把他去掉,看是否解决。再看其他的机器,是否有类似的特征。
五、结语
网络管理中,流量与数据是运行情况的最终体现。通过数据与流量的分析我们可以得出网络的运行情况以及出现异常时候的分析定位。两者是不可分割的,这些信息纷繁复杂,在提供大量参考依据的同时,也为我们提出了一个新的问题,即如何分布的获取和集中的分析这些信息。分布与集中正是网络管理的一大主题,这也是我们需要考虑和研究的地方,如何得到最广泛的数据,又如何集中的统计分析,得出真实的原因,并据此得到处理结果和解决方法。
参考文献
[1]网络攻击操作和交换机防范措施及安全配置手册 锐捷产品测试中心
[2]TCP/IP详解 W. Richard Stevens
[3]协议分析软件的部署示意 iammin
[4]分析工具的使用 协议分析网
【关键词】流量;niffer;网络分析;ethereal;嗅探
引言
网络应用中问题和故障的发现和解决,依赖于网络管理工作的进行程度,一个好的网络管理系统和方法对网络问题和故障的发现、定位、排查,解决起到至关重要的作用。本文将就数据包和流量的获取以及分析两个方面来论述,来说明其在当前网络管理中的应用意义。
一、网络分析和网络分析的部署
本文中所讲的网络分析,协议分析,数据分析,流量分析。在很多地方具有一致性,因为网络中的流量由具体数据包组成,而数据分析和协议分析也只是从不同的层面来看待数据包,一个数据从应用层开始封装到由物理层发送,期间要加上各个层次的标记和控制信息,因为不同的协议构成不同的数据格式。就分析而言,是由流量到单个数据,由应用层到物理层(封装)或由物理层到应用层(解封)。
流量分析工具可以分为软件和硬件两类产品,软件需要运行于监测计算机上,而硬件则是一台专门的设备。其获取流量和数据的方式有两种:SPAN和TAP。
1.SPAN,switch port Analysis(交换机端口镜像)就是把交换机某个端口或者多个端口的流量COPY到另一个指定的端口,然后在这个端口上接协议分析系统。可以是装有协议分析工具的PC机,也可以是专门的分析硬件设备。
“端口镜像”方式需要管理员对检测链路的交换机进行配置,而且每个厂商的交换机端口镜像配置方式有所不同,需要参考具体的产品技术手册。
2.TAP是Test Access Port 的缩写,称为“网络监测接口盒”或分路器,有铜缆的,有光纤的。TAP工作在OSI 模型的第一层,它被动地监听网络流量,对原数据流不造成任何影响,因此可监听全双工链路双向访问的所有网络流量(包括错误包)。
二、“嗅探”SNIFFER方式获得流量和数据
嗅探SNIFFER的原理
以太网(ethernet)从介质访问控制角度可以分为共享式LAN和交换式LAN两种。简单来说,共享式LAN由HUB之类的设备构成。网络中的数据包以广播的方式传送,从一台工作站发出的数据包,可以被同一个网络的所有工作站接收到。工作站的网卡根据数据包中的目的地址来决定是接受还是丢弃这个数据包,这种数据传输就为我们“嗅探”数据提供了可能性。
随着交换设备的使用,交换式以太网取代了原有的纯共享的以太网络。网络中的数据包传递不再是单纯的广播方式,可分为单播,组播与广播。因此交换式以太网的“嗅探”就比在共享环境下要难一些。但基本的原理也是将检测工作站网卡置于“混杂模式”以获得目的地址不是自己的数据包。问题是如何在交换环境下让发送到其他工作站上的数据包也流向监测工作站来,这个是“嗅探”成功的前提。
要做到监测工作站能获取到所有的流量有两种方式:一是对交换机进行镜像端口的配置,二是对交换机进行攻击。当然第二类行为在网络管理中是一种入侵行为,除开其合法性。在技术层面来讲,对“嗅探”数据包是十分有效的,其中最典型的就是ARP欺骗与攻击,与MAC地址攻击等,它们的相同之处都在于通过攻击手段来获取数据。
三、网络分析工具举例
下面以ethereal为例,简单介绍下它是如何查看与分析数据包的。Ethereal 是免费的网络协议检测程序,可以用来监视所有在网络上被传送的包,并分析其内容的,支持Unix,Windows。让经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯,方便查看、监控TCP session动态等等。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。目前ethereal提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格昂贵的sniffer。
通过像ethereal这样的协议分析工具,我们可以对接收到的数据包进行解析,还原和再造。这样的分析工具常用的还有很多,他们功能强弱不一,部署应用不同,但根本目的都是对协议,数据包的分析。
四、流量分析举例
流量的获取可以通过协议分析工具或者是专门的流量分析工具来获取,这两类工具的侧重和功能各不相同,下面就sniffer pro里的monitor工具来说明流量分析与统计。
协议分析软件也可以用来检测网络中的流量情况,且依此来检测网络的运行情况和判断异常,以sniffer pro为例。先运行sniffer pro 中的工具 matrix(矩阵)
Matrix,矩阵,也就是主机会话情况,很多时候用其来发现病毒,也用来评估网络状况,和异常流量。通常情况下一下子就满了,大多数网络中都是这样的。按一下暂停,然后来分析看那一台主机的连接数最多按右建选zoom,放大。注意到某台机器向公网发出大量的ICMP包,PING采用ICMP协议,ping可以用来扫描,也可以用来攻击。扫描可以发现处于运行状态的主机,接着扫描端口,然后寻找漏洞攻击,所以扫描是攻击主机的前奏。另外,还可以用ping 来冲击路由器,或占用带宽,是一种DOS攻击。一般情况下,扫描会是比较连续的地址,这个地址并不连续,先排除扫描,当然不是绝对的。
因此假设在网络中出现这样的情况,我们发现了异常,先要找到这台机器,然后我们可以查看这台机器的任务管理器,看看有什么不常见的进程,把他去掉,看是否解决。再看其他的机器,是否有类似的特征。
五、结语
网络管理中,流量与数据是运行情况的最终体现。通过数据与流量的分析我们可以得出网络的运行情况以及出现异常时候的分析定位。两者是不可分割的,这些信息纷繁复杂,在提供大量参考依据的同时,也为我们提出了一个新的问题,即如何分布的获取和集中的分析这些信息。分布与集中正是网络管理的一大主题,这也是我们需要考虑和研究的地方,如何得到最广泛的数据,又如何集中的统计分析,得出真实的原因,并据此得到处理结果和解决方法。
参考文献
[1]网络攻击操作和交换机防范措施及安全配置手册 锐捷产品测试中心
[2]TCP/IP详解 W. Richard Stevens
[3]协议分析软件的部署示意 iammin
[4]分析工具的使用 协议分析网