|
|
| 摘要:局域网监控原理,WINPCAP缺陷,上网行为监控,网络监控实战部署,网络监控原理,员工上网管理,网络监控模式,内网监控软件,局域网监控方案 |
| |
局域网监控原理,WINPCAP缺陷,上网行为监控,网络监控实战部署 |
|
|
第四章 局域网监控原理
一、局域网抓包技术:
1、UNIX系统提供了标准的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
. BPF是一个核心态的组件,也是一个过滤器
. Network Tap接收所有的数据包
. Kernel Buffer,保存过滤器送过来的数据包
. User buffer,用户态上的数据包缓冲区
B、Libpcap(一个抓包工具库)支持BPF
. Libpcap是用户态的一个抓包工具
. Libpcap几乎是系统无关的
C、BPF是一种比较理想的抓包方案
. 在核心态,所以效率比较高,.但是,只有少数OS支持(主要是一些BSD操作系统)
2、Windows平台上通过驱动程序来获取数据包
(1)驱动程序
模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;
模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;
(2)WinPcap驱动标准接口(目前国产网络监控软件90%采用)
WINPCAP是目前免费的接口程序,支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;
二、免费接口WINPCAP的缺点:
网络监控软件目前市场上不少看花了眼,但其实90%产品是由于没有足够开发能力无法独立开发引擎驱动,这些低端产品都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10M共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;
WINPCAP的主要缺陷如下:
(1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;
(2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%;
(3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;
(4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLAN或VPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;
(5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;
小结:因此,通过以上分析我们知道了目前抓包的基本方法,以及市场上大部分产品因为没有足够能力开发引擎而只能采用免费的有很大缺陷的WINPCAP驱动接口来实现的事实;也明白了核心层驱动的优势,正因为如此卡巴7开始就采用了该技术了,以提供更好的功能性能;
三、上网监控部分4种常见工作模式:
网络监控或网络管理软件其实都是围绕以下4种方式运行:
1、网关模式:原理是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),分别可以作为单网卡方式和双网卡甚至多网卡方式,原始的PROXY模式目前基本淘汰了一般不再有人采用,目前常用的是NAT存储转发的方式;简单说有点像个路由器工作的方式;因此控制力极强,但由于存储转发的方式,性能多少有点损失;不过效率已经比较好了;缺陷是假如网关死了,全网就瘫痪了;
2、网桥模式:原理是双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失;WINPCAP本身并不支持该模式;该模式可以说是最理想的了,即使桥坏了,只要简单做个跳线就可以了,因为桥是透明的可以看成网线,即使桥坏了就可以理解为网线坏了换一条而已;支持多VLAN、无线、千M万M、以及VPN、多出口等等几乎所有的网络情况,原因很简单,因为透明桥嘛等于理解为那是网线而已;
3、旁路模式:原理是使用ARP技术建立虚拟网关,只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络;但只要条件该方式是最简单的部署以及最方便的安装设置;
4、旁听模式:原理是旁路监听,就如两个人电话边上有一个并机在听,因此效率就非常低了, 该模式需要采用共享式HUB或交换机镜像;可是如采用老式的共享式HUB将影响网络出口性能;如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低网络性能;而根本的问题是很功能就失去了;旁听模式原理性缺陷导致UDP阻断无法完美实现,也会严重损失网络带宽,同时无法实现比如流量限制等很多功能;一般来说,至少损失40%以上的网络性能;而WINPCAP就是采用该模式工作的,正因为如此无论是性能功能就根本上决定了天生的缺陷;
小结:以上我们谈到了局域网监控常见的抓包技术,以及核心层驱动的优势和潮流,以及WINPCAP的原理性根本缺陷;同时我们也说明了4个网络工作模式原理,而我们也明白了网桥模式是最理想的方式;每个网络环境可以权衡自己合适的工作模式,比如5用户就没有必要弄太复杂了,而500个电脑的网络当然就应选择网桥模式了;最适合自己的就是最好的,再次强调:真实测试才是硬道理;
第五章 引擎驱动是核心根源
我们刚才用了大量的篇幅来阐述驱动的原理,以及不同工作模式的原理和优势,之所谓这么罗嗦是因为引擎驱动是核心根源,说最通俗的话就是一个拖拉机的引擎无论如何包装都是无法变成宝马,而一只鸡蛋怎么也不会孵化出一只凤凰;非常清晰简单的道理;
一、免费国外引擎驱动接口WINPCAP缺点:
网络监控软件目前市场上不少看花了眼,但其实90%同类软件由于没有足够开发能力无法独立开发引擎驱动,这些低端软件都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;
WINPCAP的主要缺陷如下:
(1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;
(2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%;
(3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;
(4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLAN或VPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;
(5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;
二、核心层引擎驱动接口优势:
(1)目前没有免费的公开的该类接口驱动程序,基本都是各个厂家单独开发,比如卡巴斯基的,比如ANYVIEW(网络警)的,比如ACTIVEALL的等等;而这些公司因为有足够的开发能力,所以才能做出这样的引擎驱动接口;而这些接口程序没有一个是需要HUB或镜像交换机也不会要求你安装什么WINPCAP(你可以在你的控制面版的“添加/删除程序“中检查是否被强制安装了);
(2)由于是完全自主开发引擎驱动,并工作在非常低层,因此一般都会包含上网监控和内网监控所有功能结构体系的引擎驱动;驱动工作在ISO第2层下NDIS底层,直接和网卡硬件交往,C++代码编译后嵌入到WINDOWS核心驱动;
(3)由于自主开发并工作在超底层(在协议层之下),所以不接受火墙管理,提供更高的效率、性能、更多的功能支持;如和其他同类软件安装到同一个电脑其他软件将无法数据(因为核心层驱动工作在在更低层先捕获了);
(4)而由于工作在更低层,因此就需要采用定制压缩数据库,确保存储海量数据和RAID存储、即时数据、并加密确保数据安全;这样就更安全更快速的响应方式了;
(5)由于工作在核心层,所以克服了高层工作方式的WINPCAP所有缺点,支持UDP阻断、流量控制、支持集群环境、支持超过一万台的超级网络环境;支持无线、VPN、多VLAN、多网段、千M网络、多出口环境等;不需要HUB和镜像交换机等额外硬件;
小结:我们明白了引擎驱动才是最核心的技术,也是真正的技术主流;谁也不想刚购买就被淘汰或去使用淘汰的技术,谁也不想由于引擎驱动的根本原因而很多功能都无法用;而WINPCAP是免费的那还花了很多的钱去购买本来就免费的东西;我们也了解了核心层驱动的好处以及对将来更新更多功能的期待;
第六章 上网行为监控实战部署
本例以ANYVIEW(网络警)网络监控软件为实例:本章为ANYVIEW标准版部分;
部署环境:500用户、多VLAN、VPN;(采用网桥模式)
1、 安装引擎前准备
(1)下载软件:http://www.amoisoft.com/download.htm
(2)查看安装包里包含的基本说明
(3)准备一张网卡,一条网线,一个干净系统的电脑(考虑到电脑比较多,弄了个2G内存双核电脑、XP)
2、 部署网桥
(1)安装好新增加的网卡,然后电脑启动
(2)本地连接打开,同时选择两个网卡,点鼠标右键->桥接
(3)多出来一个微型桥,设置这个桥如下:
属性->输入固定本桥IP地址,默认网关设置外部DNS(一句话让本机能上网)
3、 连机测试
按照如下方式把桥连接到实际网络:
路由或火墙->网桥电脑->3层核心交换机->其他交换机或电脑
正常情况下,整个网络应继续能访问网络,如不能上网检查网线是否接对,网桥是否正确;注意哦,这个时候和网络监控软件都还无关哦(因为都还没有安装嘛),应该你原来的所有的一切都一样(上面和下面都不需要多余的改动的)
4、 安装网络监控软件
如以上已经正常了,那就开始安装软件啦,这个大家都会,首先安装ANYVIEW(网络警).exe,选择最大的磁盘分区,然后就开始一直下一步了,所有提示选择允许总是允许就OK了;
建议不要安装到C盘,一是因为监控软件数据很多的C盘可能不够,另外是维护的考虑,回头对纯系统做GHOST,维护就简单了;
5、 设置软件
(1)进入控制台界面,设置工作模式为网桥模式
(2)进入设置,你会看到有两个127.0.0.1的网卡(一个是外网卡,一个是内网卡),因为你做了桥接了,所以就只能显示给你127.0.0.1这样的地址了,这里选择其中一个(不是这个就是另外那个了),如设置正确,你就可以看到多个在线用户的流量和实时日志了;那么你回头要做的事情就是找厂家打开全用户测试了;
6、 实际测试
如以上都完成,那么你就可以开始设置规则测试了,ANYVIEW视图部分的所有的功能都将可以用了,以下讲内网监控:INTRAVIEW部分的部署;
7、其他说明:
假如你安装的是卡巴7以上这样的核心驱动杀病毒软件,你需要重新启动一下引擎电脑才会看到流量的;另外WIN2000是不带网桥功能的其他都可;还有就是你要先做网桥才可以安装软件;还有就是因为本例是多VLAN环境,所以需要把用户模式设置为IP模式而不是默认的MAC模式哦(因为多VLAN是3层交换机一个子接口的MAC对应了一堆的不同的IP哦)
第七章 内网行为监控实战部署
本例以ANYVIEW(网络警)网络监控软件为实例:本章为INTRAVIEW标准版部分
如以上已经完成,那么剩余的就很简单了,具体步骤如下:
1、 准备工作
(1)准备软件:方法1把安装包里的工作站.exe复制U盘,等下到每个电脑运行一下;方法2就是建立一个共享目录,等下每个电脑可以访问到这个目录就可以安装了;
(2)本机如运行了火墙(XP本身火墙不需要额外设置),那么你要设置你引擎本机的火墙,规则如下:允许11901-11905端口通讯,允许引擎的ARSERVER.exe等;
道理很简单,因为等下工作站要和引擎服务器通讯,不然工作站无法把数据送上来;
2、 记下你引擎本机桥的IP地址
因为你等下安装工作站的时候,需要输入这个IP地址,告诉工作站应把数据送到哪个哪个引擎服务器地址,你现在也明白了为什么刚才要设置引擎固定的IP地址了;
3、 开始部署工作站
现在开始安装工作站了,到每个电脑运行一下工作站.exe,输入引擎的IP地址,所有的提示选择允许、总是允许、同样规则执行、不再提示、增加到信任模块,就可以了
4、 运行测试
现在回到你的引擎服务管理电脑,你在控制台就可以自动看到屏幕、聊天记录、硬件资产管理等INTRAVIEW内网监控的功能了;其他功能测试不再展开说明; |
|
|
时间: 2014-9-24 16:22:00 作者: AnyView(网络警)网络监控软件 点击:
|
相关资讯:
[ 网络监控软件在企业网管中应用实践] 局域网上网管理策略,防止滥用互联网,控制员工上网,规范员工上网行为[ 网络监控软件在企业网管中应用实践] 员工上网引发局域网监控管理问题,呼唤网络监管软件,员工上网监控行为管理[ 网络监控软件在企业网管中应用实践] 企业级上网行为管理方案,电信级局域网监控软件方案,局域网信息安全管理系统[ 网络监控软件在企业网管中应用实践] 简化局域网网络安全,局域网网络监控,局域网管理方案,最佳安全应用软件[ 网络监控软件在企业网管中应用实践] 选择有效上网行为管理系统,对员工实施上网行为管理[ 网络监控软件在企业网管中应用实践] 局域网监控软件和文件加密软件防范信息泄露和关键数据泄密,上网行为管理[ 局域网监控软件相关之网络关键技术] 局域网管理项目经验谈:校园网局域网方案剖析,校园网监控管理[ 网络监控软件在企业网管中应用实践] 实用为先:企业内网安全管理经验谈,防范网络攻击,网络安全技术方案[ 网络监控软件在企业网管中应用实践] 局域网内网管理,部署上网行为管理软件,内网监控系统降低人力成本独门密招[ 网络监控软件在企业网管中应用实践] 如何对员工进行上网行为管理和内网信息安全管理,员工非工作上网行为监控 |
|
|
|
闽公网安备 35021102001278号