四,用科来网络分析系统管理内网——监控QQ:
很多中小企业都禁止员工在工作时间登录QQ聊天,所以作为网络管理员就要对QQ使用明察秋毫,我们的科来网络分析系统可以帮助我们找到谁在偷偷使用QQ,而且还能够发现偷用者的QQ号码,即使他使用了代理服务器我们也能够把他查出来,因为监控时使用的是特征码协议标头比对的方式。
第一步:打开科来网络分析系统,选择监控数据大小后点“开始”,这时我们能够看到随着时间的推进在左边区域监控到的数据包越来越多,如果发现internet地址处有诸如szx.tencent.com的话就说明网络内有人尝试登录QQ,因为这系列地址都是QQ的登录服务器域名。(如图8)
图8:
第二步:同时我们通过按协议浏览来查看监控到的数据包,一般来说QQ登录与通讯都是在UDP协议下的,当然有些人为了躲避UDP协议的监控或者企业本来就封锁了UDP协议通讯的话,QQ登录会在UDP无法使用的情况尝试TCP登录。不管通过哪种协议我们都可以在按协议浏览中找到专门的QQ选项。(如图9)
图9:
第三步:查看QQ选项下的具体信息,包括登陆数据包,通讯数据包,发送信息数据包,接收信息数据包以及保持活动数据包等。笔者也使用过sniffer,他并没有针对QQ的数据包进行统计和收集,所以说在这个方面科来网络分析系统走在了前面,毕竟他是国内的产品更加符合国情。笔者通过分析登录数据包的概要直接找到了偷偷摸摸使用QQ聊天的QQ号码。(如图10)
图10:
第四步:不过由于QQ在安全方面做的比较好,所以要分析接收到的数据以及发送走的数据具体内容是不实际的,我们看到的都是QQ加密过的通讯数据。(如图11)
图11:
第五步:当员工取消QQ登录时我们的科来分析系统也能够捕捉到对应的操作,数据包中提示“用户离线”。(如图12)
图12:
通过科来网络分析系统笔者成功的发现了在内网中偷偷使用QQ的员工,并且利用扫描到的QQ号码快速定位了员工身份,有了科来的帮忙员工们再也不敢利用工作时间上网聊天了,企业运行效率大大提高。