【IT168 专稿】用网络协议分析工具侦测网络故障(上)一文中我们主要为各位IT168网络频道读者介绍了如何部署科来分析专家以及在核心设备上配置镜像端口的方法,同时还为各位简单介绍了一个通过科来分析专家巧妙监控员工QQ聊天的例子,今天我们继续化繁为简让科来分析专家替我们管理好企业内网。
用网络协议分析工具侦测网络故障(上)
http://net.it168.com/a2008/1017/208/000000208268.shtml
本文我们继续通过科来网络分析专家的分析系统来帮助更好的解决和处理网络实际问题,通过其自身的强大分析系统快速定位故障,在第一时间解决麻烦。
一,事半功倍监控MSN:
也许监控MSN聊天会侵犯员工隐私,但是在企业禁止聊天的情况下通过监控来管理来约束员工行为也是未尝不可的。由于MSN在传输时没有加密,所以说通过科来分析专家监控到的信息会更加全面,不光是MSN登录帐户可以清楚的获取就连MSN聊天内容也将一览无余。
第一步:打开科来分析专家,然后点“开始”按钮进行监控,如果内网中有MSN登录的话我们会在左侧看到TCP协议下的MSN选项,同时右边会记录所有与MSN通讯有关的数据包具体情况,包括数据包大小数量等,当然这些不是我们所关心的我们直接点右边窗口上方的“数据包”标签切换到具体内容。(如图1)
图1:
第二步:在“数据包”具体内容中我们一个个数据的查找,仔细查看会看到MSN在登录时发送与接收到的信息,从中可以看到MSN帐户softer26@hotmail.com的踪影,这个就是我们监控到的信息。
第三步:当有人使用MSN聊天时我们通过分析数据包可以查看到其通讯对象,聊天对象。(如图2)
图2:
第四步:同时对于聊天内容我们也可以直接查看到明文信息,不过这都需要我们仔细分析数据包从中过滤挑选有用信息。(如图3)
图3:
第五步:当然科来网络分析系统还为我们单独提供了一个MSN通讯组件,我们直接点右边区域上方的“日志”标签,在这里选择MSN通讯,这样我们就能够更加轻松更加直观的了解到当前MSN的登录情况以及通讯内容聊天信息了。(如图4)
图4:
比起之前的数据分析法后面的MSN通讯组件发更容易上手也比较简单,但是我们应该尽可能的掌握数据分析法,毕竟还有很多数据和网络应用科来分析系统并没有通过组件的形式提供给我们。必要时还是需要我们一个个数据包进行分析的。
小提示:
不光是MSN在通讯时以明文传输,就是我们平时访问登录FTP时用户名与密码也会以明文的形式传输的,因此在科来网络分析系统监控下FTP的地址,用户名,密码也将没有任何隐藏的可能。由于分析方法类似这里就不展开说明了。(如图5)
图5:
二,数据统计不求人快速导出帮你忙:
网络监控任务是艰巨的,很多时候我们都要面临很多数据包进行分析,如果依然一个个的查看一个个的对比难免为我们这些网络管理员带来太多的工作,实际上科来网络分析系统为我们提供了数据统计的功能,我们可以将监控到的数据包整理成TXT等格式的文档,然后通过搜索功能找到我们需要的数据。
第一步:当我们监听一段时间后要对监控到的数据包进行分析时会发现数据量非常大,一个个分析不太现实,例如笔者针对页面进行分析扫描登录SOHU邮箱的信息。这时我们可以通过导出功能将数据保存为TXT格式的文件,点右边窗口左上角的导出按钮,在导出文件窗口中选择导出格式,科来系统支持包括TXT,CSC,HTML在内的多种格式,笔者还是最喜欢TXT格式。(如图6)
图6:
第二步:接下来是选择导出内容,我们可以根据实际选择要到处的列名称。(如图7)
图7:
第三步:数据包按照选择列一个个的导出成TXT格式的文档,方便我们统筹管理与备案分析。(如图8)
图8:
第四步:之后我们直接通过TXT记事本文件的查找功能搜索sohu信息,我们就能够查到登录SOHU邮箱时使用的帐户信息了,在GET地址处看到了userid为softer@sohu.com。(如图9)
图9:
第五步:不同的邮箱登录的触发地址都各不相同,例如笔者单位使用的DOMINO系统在邮箱登录时是通过get /mail/ruanzheng.nsf地址来进入个人邮箱的,相应的用户名为ruanzheng。(如图10)
图10:
三,强大的统计与过滤功能:
科来分析系统有强大的统计与过滤功能,之前我用过的sniffer也具备这些功能,不过个人感觉科来分析系统在操作上更灵活毕竟是中文界面而且很多地方设计更符合国情。
第一步:平时我们在监控时可以通过查看右边的“图表”标签来了解当前环境下网络利用率,错误包的比例,广播组播包的比例等,这些图表对分析网络,测算网络是否有病毒或规划问题都是很有帮助的,我们可以了解到当前总带宽大小是否超负荷运转。(如图11)
图11:
第二步:另外通过主界面上方的过滤按钮我们可以针对某一种协议进行监听,不符合该协议的数据包将直接丢弃。可选择的协议可以自定义也可以直接使用默认的。(如图12)
图12:
第三步:例如笔者为了检测网络内ARP数据包来判断是否有ARP欺骗病毒,只需要将ARP协议添加到过滤表中,然后确定即可,这样科来分析系统会对接收到的所有数据包进行分析,符合ARP协议的收集并显示出来,不符合的直接丢弃。(如图13)
图13:
第四步:再次开始监控,我们会发现找到的数据包都是ARP协议的,这样可以更加方便的让我们根据实际需要去监听网络协议。(如图14)
图14:
第五步:同时科来分析系统为我们提供了大量宝贵的报表,我们可以根据实际监听结果直接分析出流量最大的前十IP等排行。(如图15)
图15:
第六步:日常我们这些网络管理员都会被ARP欺骗病毒所烦恼,科来分析系统特别对ARP数据包进行了概要解析,我们可以直接从概要处看到每个数据包实际的功能,非常直观。(如图16)
图16:
第七步:同时利用“矩阵”功能也可以让我们了解到当前网络内各个IP地址与内外网各个终端设备的通讯状况,这个IP矩阵或MAC地址矩阵可以让我们看出哪个地址流量最大,连接数最多,这些地址将成为病毒携带者的最可能人选。(如图17)
图17:
四,用科来让网络中流氓软件现身:
常在河边走哪能不湿鞋,我们的操作系统中很容易被安装了流氓软件或恶意插件,这些软件不光占用我们的系统资源还会侵犯我们宝贵的网络带宽,而我们同样可以利用科来分析系统让网络中的流氓软件现身。
第一步:首先让我们要监听的网络各个主机不要有任何网络操作网络访问,将不必须的程序都关闭,特别是网络程序和网络服务。
第二步:开启科来网络分析系统监听镜像端口,如果发现有数据包产生,那么马上分析数据包具体内容,例如笔者就发现在没有任何操作的情况下网络中出现了有主机在和p3pping.sogou.com这个地址进行通讯,因此怀疑这个主机上被安装了SOGOU恶意插件。(如图18)
图18:
第三步:同时笔者还发现有部分通讯的目的地址为pv.uitv.com,于是马上访问了这个站点,通过首页介绍我们知道uitv.com对应的是联合网视网站,那么这个流量应该就是由于有计算机安装了其在线播放的插件而产生的流量,这也应该归为一种恶意插件毕竟在不知不觉中产生了网络流量。(如图19)
图19:
五,附加小工具:
科来网络分析专家还为我们提供了几个非常有用的小工具,一个是科来MAC地址扫描器,通过他我们可以在网络没有问题的时候建立MAC地址与IP地址的对应关系,这样就可以最大限度的防止ARP欺骗病毒的爆发,即使造成影响也可以通过这个列表快速恢复。(如图20)
图20:
同时科来网络分析专家还提供了数据包生成器与数据包播放器,我们可以通过这两个工具来自己制造网络数据包并通过导入功能重新发送之前保存的数据包,还可以修改已经保存过的数据包然后再发送出去,总之这个功能很好,对于网络管理员来说可以通过这两个工具辅助数据包,例如ARP还原数据包,告知网络内各个机器真正的网关MAC地址是多少。(如图21)(如图22)
图21:
图22:
六,总结:
经过笔者几个月的测试科来网络分析专家的总体表现是非常不错的,从某种意义上讲他已经超过了sniffer,额外功能使用得当也能够让网络管理员省不少事。总之有一个好的网络工具作为帮手,网络管理也变得简单得多,以前很多问题不知从何下手,而今直接拿出该工具扫描即可轻松找到问题根源。当然由于篇幅关系笔者也仅仅介绍了几个实际案例,更多的功能还需要感兴趣的读者自行挖掘。