网络监控工具的使用,本节就十个具体的工具来谈谈网络监控系统的使用。
1.NFR BackOfficer Friendly
NFR BackOfficer Friendly是Network Flight Recorder公司发布的一个用来监控Back Orifice的工具,它现有的最高版本为1.01版本(发布时间是1999年5月3日),可以运行在:Windows 95、Windows 98、Windows NT Server 4.0、Windows NT Workstation 4.0 v,此外,NFR公司还推出了Unix系统下的版本。这个工具可以设定的监听端口为:Back Orifice、FTP、Telnet、SMTP、HTTP、POP3、IMAP2。下面用实例介绍一下其功能。 如果你的微机上安装了NFR BackOfficer Friendly系统,当有人对于该计算机进行扫描的时候,NFR监控工具立即做出类似下面的报警。 这名试图入侵者在扫描了这台计算机后,发现该台机器的21口(FTP),23口(Telnet)都开着,他立刻Telnet这台机器,NFR可以在没有Telnet、FTP的条件下,模拟出Telnet,FTP的登录过程,而且在Telnet上去后,还给了入侵者试试密码的机会,请参看上面警报提示中的内容。
入侵者的尝试登录过程被我们完整地记录下来,但对于有些经验的入侵者而言,这种模拟还是很容易被识别出来,一是Telnet上去后没有任何提示,只是出现一个login,在输入密码后,出现passwd,输入密码后就可以发现输入的密码是明文的,而且它对错误登录没有次数限制,从这三点上就应该可以判断出这是一个“陷阱”了。
这种网络监控软件还可以有其他的一些用途,比如很多刚上网的人都喜欢去聊天室聊天,而且很想知道IP地址,一是可能想知道对方是从哪里来的,二是可能想用些工具踢踢人,但现在很多聊天室都屏蔽了可以看到聊天者IP的功能,这时你就可以试一试NFR的这个工具。
使用方法很简单,先看看你自己的IP(在Dos窗口下打winipcfg就行了),把你的NFR工具运行起来,监视好80口,然后跟你的聊天伙伴说:“嘿!这里有个主页不错,地址是xxx.xxx.xxx.xxx(你自己的IP),你来看看,只要他对这个IP有了任何的动作,NFR的监控就会立刻告诉你他的IP地址,当然这样你的IP也暴露了。当然看别人IP的方法还很多,这里讲的仅仅是就这个监控工具而言的。
2.支持SAP R/3电子商务管理的NAI的Sniffer 产品
NAI(美国网络联盟公司)是全球第五大独立软件公司,也是世界第一大的网络安全和管理的独立软件公司。其近日宣布了业界第一个SAP R/3应用管理解决方案,这是一个将网络分析和容量规划能力(capacity planning capabilities)完全集成的方案。
市场领先的Sniffer全面网络监视(Total Network Visibility)软件包现在提供了一个最先进的电子商务解决方案,它可以管理整个SAP R/3应用程序的生命周期,使其性能和可用性得到优化。这个可移植的分布式网络分析产品Sniffer软件包为用户增加了新的企业资源规划(ERP,Enterprise Resource Planning)应用程序管理能力,使得用户能够主动管理重要的业务应用程序和网络。这个新增的管理能力使得电子商务能够对整个应用程序生命周期实现全程管理,从配置到实时监控,分析以及排除故障,解决如储运损耗,流转变慢等导致依靠互联网运行的应用程序中断或性能下降之类的问题。
基于其在网络可用性解决方案的市场领导地位,NAI Sniffer软件包将具有对于Oracle、Sybase和微软的SQL服务器数据库应用程序的管理、监视和排除故障能力。现在Sniffer产品线可以管理通信流量和SAP R/3 ERP应用程序的端到端响应时间,帮助实现贯穿整个应用程序生命周期的最高性能和可用性。
Sniffer软件包是一种独一无二的集成方案,强大的网络分析、容量规划和应用程序管理能力使得它能够监视和保证SAP R/3端到端应用程序性能的最低限度,并且能够规划网络上现在和将来的利用。这些更新的目的就是支持电子商务,保证SAP R/3应用程序在整个网络的顺利配置、运行以及其可用性和性能都达到最佳。
3.Ttysnoop
在一般系统中最常见的问题是防止用户滥用服务器。相对而言,监视服务器标准资源(如磁盘空间、CPU使用率等)比较简单,但现在更常见的问题是网络带宽的滥用。网络监控系统中就有一些工具实现对于这些情况的监视。Ttysnoop就是这样的一个网络监控系统工具。如果你确实想监视用户正在做什么,就可以使用这个工具。ttysnoop可以让你监视并记录用户的操作。
4.UserIPAcct
可以通过UserIPAcct监视每个用户的带宽使用情况。该软件包含了内核的补丁程序,可设置规则(方法与防火墙类似)以监视某个用户程序发送或接收的数据流量。然而它并不能统计在PPP连接上的数据量,因为数据发送或接收是PPP守护进程而不是用户管理的。这个工具非常适用于提供shell的服务器。下载地址:http://zaheer.grid9.net/useripacct/
5.Sysmon 0.83
Sysmon是一种能够提供精确的、高性能网络监控的工具。目前支持的协议有SMTP、IMAP、HTTP、TCP、UDP、NNTP和PING。该工具可用于公共域,使得该域中任何用户都可以使用它。据称该工具能够提供比Rower、Nocmon、Whatsup、Big Brother等同类工具好的多的性能和检测能力。适用平台:BSDI,Digital UNIX/Alpha,FreeBSD,HP-UX,Linux,NetBSD,SCO and Solaris,下载地址:ftp://puck.nether.net/pub/jared/sysmon-0.83.tar.gz
6.Antisniffer
antisniffer是一个安全监视工具,用来监测网络内的主机的网卡是否处于混杂模式,以识别是否该主机正在运行Sniffer程序。针对Win 95/98/NT的版本下载地址:http://www.l0pht.com/antisniff/dist/as-102.zip,针对Solaris和OpenBSD的版本的下载地址为: http://www.l0pht.com/antisniff/dist/anti_sniff_researchv1-1.tar.gz
7.Network Spy 1.6
Network Spy是一个针对windows 95/98/NT/2000的网络分析工具,它可以捕获并解码通过本地或远端以太网适配器的IP协议包。它还包括:bandwidth监视器、ARP监视器和包生成器。bandwidth 监视器监视你网络的流量,ARP监视器监听ARP请求和回应。适用平台:Windows 2000, Windows 95/98 and Windows NT,下载地址:http://network-spy.com/netspy.php
8.SocketWatcher
SocketWatcher 是一个类似lsof的SGI工具。适用平台:IRIX。下载地址:ftp://ftp.sgi.com/sgi/sockwatch/
9. Anyview(网络警)网络监控软件,下载地址:http://www.amoisoft.com
AnyView(网络警)网络监控软件是一款国内目前最专业的企业级的网络监控软件产品。包含局域网上网监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、禁止聊天工具文件传输、屏幕监视和录象、USB等硬件禁止、应用软件限制、窗口和文件监控、打印监控、ARP火墙、消息发布、日志报警、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、文件自动备份功能、支持MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录等功能;软件专业版包含用于上网监控的AnyView(网络警)标准版和用于本网监控的INTRAVIEW(内网监控)标准版;默认5用户15天专业版测试;Webmail发送监视支持:yahoo.com.cn、yahoo.cn、163.com、126.com、qq.com、foxmail.com、hotmail.com、sina.com、sohu.com、tom.com、263、yeah.net、china.com、vip.sina.com、2008.sina.com、live.cn 、188.com 、21cn、sogou.com
10.lsof_4.55 Lsof是一个非常强大的unix诊断工具。它可以列出当前系统正在运行进程所打开的所有文件的信息。他可以指出哪些进行正在进行网络连接以及使用什么端口。 下载地址为:ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
|