【IT168 专稿】继上期,我们推出“网友问答:如何解决企业无线网络连接难疾”文章后,得到大家的高度关注。本期,我们锁定网络流量分析这块。众所周知,sniffer类工具是监控流量的有效工具,但它同时又可能是“非法偷窥者”工具,我们该怎么办呢?
网友提问:
IT168的专家你们好,我是一名小公司的网络管理员,最近我怀疑网络中有人在通过sniffer类工具对内网通讯数据进行扫描,一方面员工的通讯隐私受到了侵害,另一方面这种监控很大程度影响了网络通讯效率,使内网速度变得很慢。由于我们没有对员工计算机进行监控,所以我也无法将这个罪魁祸首找出来。我想询问的是有没有好办法可以快速定位网络中的偷窥者呢?希望IT168的专家能告诉我,现在员工们天天抱怨上网慢。
IT168解答:
以往我们这些网络管理员可以通过sniffer类工具管理内网,发现内网流量出现的异常现象。不过随着计算机和安全工具的普及,学会使用sniffer类工具变得不再困难,很多监控工具做的也很傻瓜化。因此一些企业就出现了这位读者遇到的问题。那么面对网络中的非法偷窥者与监控者我们该如何解决呢?下面笔者就从个人经验出发为这位读者支上两招。
(1)流量查看法:
我们可以通过流量来分析从而快速定位有问题的非法偷窥者,众所周知当我们将sniffer类工具安装到本机并开始监控后,我们将频繁接收内网数据包,相比没有安装sniffer类工具的客户端来说在接收数据包方面会明显多出不少。因此我们可以在网关开启镜像端口然后找一个内网流量管理软件对内网所有客户端的流量进行监控。一般来说流量明显高的客户端很可能开启了sniffer类工具进行扫描。
不过在实际定位过程中很可能将在使用BT下载的客户端也误判为使用sniffer者,这里笔者再告诉各位读者一个技巧。如果是在使用BT进行下载的话应该是上传与下载流量都大同时连接数也会很大。而如果仅仅是使用了sniffer进行监控扫描的话应该是接收到的数据量比较大,发送出去的并不多,而且连接数不会有很多。因此结合流量总量以及连接数两个因素权衡后可以快速定位网络中的真正偷窥者。