编者按:Sniffer(嗅探器)是黑客利器,但同时,它又是控制企业网络关键应用网络流量的至胜法宝。本篇是网管小孙的真实事件,讲述了小孙如何从无到有利用Sniffer去管理企业关键应用的过程。
Sniffer:控制企业关键应用网络流量?
老板发淫威 网管小孙陷网络管理困惑
绝处逢生:受指点获Snifer大法
陷困境:交换机网络如何部署Sniffer?
高手指点迷津:创建本地SPAN的关键
项目成功改造,技术学习路茫茫
【IT168 专稿】站在黑客的角度上,Sniffer(嗅探器)是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等。当然,如果站在网络管理员的角度上看,Sniffer则好似“重器在手,唯我独尊”,它可以作为能够捕获网络报文的设备,图1为Sniffer高级模式工作界面。(编者注:这里所指的Sniffer并非一家厂商的产品,而是指网络流量分析的一类网络技术手段。)
Sniffer:控制企业关键应用网络流量?
图1
Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。假设某网段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
在一个合理的网络中,Sniffer的存在对系统管理员是致关重要的,系统管理员通过Sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯牵涉到的各种协议,借助于Sniffer,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送的,而它又占用多少时间,或者主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
老板发淫威 网管小孙陷网络管理困惑
对于孙钰(某公司网络管理员,化名)来说,“不研究理论一样能做好网管”的格言一直是他吹嘘的内容。但公司接入Internet之后,有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点、甚至在公司网一上边拿着老板工资一边找工作等等。不仅仅消耗公司资源,更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。老板大发淫威胁迫之下,孙钰向QQ群里的哥们求援!
侥幸得到一位好心人的帮助,并耐心讲解如下:“而利用局域网网络监控软件这非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容(比如外贸企业的定单过程),对电脑的各种接口和设备实施全面管理和控制,上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制……”
绝处逢生:受指点获Snifer大法
“老哥给我个软件和文档吧!”孙钰感到这些实在废话一堆,于是不耐烦的请求。在得到了一份Sinffer软件和相关文档后,他基本上可以使用Sniffer监听内网信息了。其实这很简单,通过在网管机安装软件之后就可以将网卡设置成混杂模式的,在HUB组网的情况下,Sniffer工作非常正常。但随着交换机的成本和价格的大幅度降低,这家公司外包项目,实现了交换网络,孙钰发现自己的Sniffer表盘中指针不再出现摆动,有的时候就像一滴水掉进沙漠里,不见了。
打开QQ,老好人不在?留言2天仍不见其踪影,听着“我在佛前苦苦等了你一千年”的歌声,老好人终于上线。这次,孙钰耐性的请教了人家,并做好了笔记,内容总结如下:
监听模式普遍用于内部网络的监控管理,监听模式部署遇到的最大问题是部署与安装问题。早期以太网中,很多网络都通过共享式HUB(集线器)组建,这个模式是一个比较通用的方法,但由于HUB基本都是10M的,因此在网络性能上将很大限制,也意味丢包的危险。目前HUB几乎到了淘汰的命运,不适合大型网络环境,通过交换机接口镜像功能部署是最理想的方法。
陷困境:交换机网络如何部署Sniffer?
Sniffer就是这样一款经典工具,它在总线型网络,或者会所共享网络中的工作是顺畅的,你可能都不用搞懂HUB和网卡的工作原理就可以开始配置Sniffer,但在交换式网络中实现还是那么简单吗?
在交换以太网的环境下,两台工作站之间的通讯是不会被第三者侦听到的。因此,当部署一般的Sniffer工具后,就没有办法监听网络流量了,这该怎么办?小孙再次陷入困境。
在上述情况下,可能会需要进行这样的侦听,如:协议分析、流量分析、入侵检测。以孙钰公司购买的Cisco交换机为例,可以设置智能地捕获网络流量的交换接口分析工具(SPAN)和远程交换接口分析工具(RSPAN),有效地分析通过接口或VLAN的网络流量。
借助SPAN或RSPAN,可以将一个交换机的接口映像至另一个交换机接口,即发送流量的备份到该交换机或者其他交换机的另一个接口,这样,只需将分析或侦听设备连接至监控接口,即可实现对被监听接口的分析和侦听。由于SPAN采用复制(或镜像)源接口或源VLAN上的接收或发送(或两者都有的)流量到目的接口,因此,SPAN不影响源接口或VLAN的网络交换。事实上,除了SPAN或RSPAN会话所需的流量之外,目的接口不会接收或转发流量。
Cisco交换机的SPAN (Switched Port Analyzer交换接口分析器)特性,其它厂商称为“接口镜像”、“监控接口”功能。侦听的对象可以是一个或多个交换机接口,或者整个VLAN。如果要侦听的接口(源接口)或VLAN和连接监控工作站的接口(目标接口)在同一台交换机上,只需配置SPAN,如图2所示。
图2 同一台交换机上的SPAN
如果不在同一台交换机上,如图3所示,则需要配置RSPAN (Remote SPAN)。
图 3 不同交换机上的RSPAN
高手指点迷津:创建本地SPAN的关键
由于RSPAN必须借助RSPAN VLAN才能实现,因此,应该在网络中为RSPAN VLAN预留少量VLAN,并且不要将接口指定至这些VLAN。RSPAN的另一个特性是可以一个输出ACL应用到SRPAN通信,从而选择性地过滤或监控指定的数据包,在RSPAN源交换机上的RSPAN VLAN中应用这些ACL。相对于SPAN来说,RSPAN复杂很多,但庆幸的是孙钰公司的网络并不是那么复杂,只是升级了一台48口的交换机。孙钰翻阅了老好人发过来的所有文档,并利用晚上的游戏时间做了充分的试验。下面是他总结出来的文档,当然他心里十分明白这份文档是老好人的心血。
需要在交换机上创建一个SPAN会话,指定源接口或者目的接口,并且在目的接口为一个网络安全设备启用流量控制。下表是创建本地SPAN会话并配置流量的步骤:
startup-config保存当前配置为了避免频繁搔扰,老好人干脆将限制到指定VLAN的SPAN源流量的步骤也给了他。下表是指定过滤VLAN步骤。
|
步骤
|
命令
|
解释
|
|
1
|
Switch#configure terminal
|
进入全局配置模式
|
|
2
|
Switch (config) # no monitor session {session_number |all |local |remote}
|
在对话中移除所有存在的SPAN配置
|
|
3
|
Switch (config) # monitor session session_number source {interface interface-id |vlan vlan-id} [, |-] [both |rx |tx]
|
指定SPAN会话和源接口(被监视接口)
|
|
4
|
Switch (config) # monitor session session_number destination{interface interface-id [,| -] [encapsulation replicate] [ingress{dot1q vlan vlan-id | isl |untagged vlan vlan-id |vlan vlan-id}]}
|
指定SPAN会话、目的接口、封装包和VLAN封装
|
|
5
|
Switch (config-if) # end
|
返回特权EXEC模式
|
|
6
|
Switch # show monitor [session session_number]
Switch # show running-config
|
校验配置
|
|
7
|
Switch # copy running-config startup-config
|
保存当前配置
|
为了避免频繁搔扰,老好人干脆将限制到指定VLAN的SPAN源流量的步骤也给了他。下表是指定过滤VLAN步骤。
|
步骤
|
命令
|
解释
|
|
1
|
Switch#configure terminal
|
进入全局配置模式。
|
|
2
|
Switch (config) # no monitor session {session_number |all |local |remote}
|
在对话中移除所有存在的SPAN配置。
|
|
3
|
Switch (config) # monitor session session_numbersource interface interface-id
|
指定源接口的特性和SPAN会话。
|
|
4
|
Switch (config) # monitor session session_number filter vlan vlan-id [,|-]
|
限制到指定VLAN的SPAN源流量。
|
|
5
|
Switch (config) # monitor session session_number destination {interface interface-id [,|-] [encapsulation replicate]}
|
指定SPAN会话和目的接口(监视接口)
|
|
6
|
Switch (config-if) # end
|
返回特权EXEC模式。
|
|
7
|
Switch # show monitor [session session_number]
Switch # show running-config
|
校验配置。
|
|
8
|
Switch # copy running-config startup-config
|
保存当前配置。
|
群里面的很多初级网管都很关注这件事,老好人干脆将自己网络中的配置用QQ抓图的方式敲到群里面,以下是一个综合例子,将用到前面所提到的各种命令。监控Trunk接口FastEtheraet4/10上的双向数据流(在该接口上承载着VLANl~ VLANl005的数据流),只监控其中VLAN10中的数据流,接口FastEthernet4/15为目的接口。具体配置方法如下:
Switch(config)# monitor session 1 source interface fastethernet 4/10
Switch(config)# monitor session 1 filter vlan 10
Switch(config)# monitor session 1 destination interface fastethernet 4/15
Switch(config)# no monitor session 1
Switch# show monitor session 2
提示:在配置镜像接口(SPAN)过程中,还应考虑到数据流量过大时,设备的处理速度及接口数据缓存的大小,要尽量减少被监控数据包的丢失。
项目成功改造,技术学习路茫茫
这家公司Cisco交换机具备SPAN功能。其中fa0/2接口连接装有Sniffer的服务器,fa0/1接口连接PC机,fa0/3接口连接路由器,fa0/4接口连接文件服务器,其他端口也都是PC机,可以按照fa0/1的配置就可以了,只要保证原来的Sniffer还能正常进行抓取分析即可,如图4所示。
图 4 配置Sniffer
配置命令非常简单,执行之后就可以打开Sniffer软件,原来在HUB环境下的使用此时也可以正常了。
Switch(config)#interface fa0/2
Switch(config-if)#port monitor fa0/1
Switch(config-if)#port monitor fa0/3
Switch(config-if)#port monitor fa0/4
记得孙钰在完成项目之后的很长一段时间没有出现在我的QQ上,群里也很多人问他的去向,我估计他用Sinffer工具配合TCP/IP宝典学习呢吧,我们还是先不要打扰他了。
