【IT168 专稿】作为企业的网络管理员都知道维护企业内网各个网络通讯与应用的重要,然而在实际使用过程中总有这样或那样的员工恶意使用下载工具或者访问限制站点,病毒以及黑客入侵等问题也无时不刻困扰着网络管理者。就笔者多年维护经验最好的办法就是通过sniffer类工具检测内网数据通讯,快速定位问题主机。而今天笔者要为各位介绍的则是另类使用sniffer类工具的办法,通过此方法可以让我们更加灵活更加不受限制的监控企业内网通讯。
一,使用sniffer类工具的前提条件:
有一定经验的网络管理员都知道在我们使用sniffer类工具对内网进行监控时如果只在本机上开启工具执行嗅探的话,我们能够捕获到的仅仅是本机网卡的相关流量,这里的数据主要包括本机通讯数据包以及网络内的广播通讯数据包,当然如果幸运的话可以获取部分组播数据包。
从捕获的数据包数量和准确度来说单机sniffer监控效果都非常不好,毕竟我们要针对的是企业内网进行检测而不仅仅只针对广播数据包。要想提高sniffer监控的效果我们需要在路由交换设备上设置相应端口为镜像端口,而且这个镜像端口要作为企业外网出口端口的镜像,从而针对所有数据包进行复制后转发到该端口。之后我们再将监控设备(计算机)连接到此镜像端口上就可以接收到和企业外网出口端口一样的数据流量了,自然获取了企业内网所有员工计算机的数据通讯信息以及所有组播广播数据包。
总的来说要想能够最大限度的实现监控功能,我们需要在企业内网设置镜像端口,否则单网卡模式下只能够接收到很少量的数据信息。(如图1)