【IT168 专稿】继上期,我们推出“网友问答:如何解决企业无线网络连接难疾”文章后,得到大家的高度关注。本期,我们锁定网络流量分析这块。众所周知,sniffer类工具是监控流量的有效工具,但它同时又可能是“非法偷窥者”工具,我们该怎么办呢?
网友提问:
IT168的专家你们好,我是一名小公司的网络管理员,最近我怀疑网络中有人在通过sniffer类工具对内网通讯数据进行扫描,一方面员工的通讯隐私受到了侵害,另一方面这种监控很大程度影响了网络通讯效率,使内网速度变得很慢。由于我们没有对员工计算机进行监控,所以我也无法将这个罪魁祸首找出来。我想询问的是有没有好办法可以快速定位网络中的偷窥者呢?希望IT168的专家能告诉我,现在员工们天天抱怨上网慢。
IT168解答:
以往我们这些网络管理员可以通过sniffer类工具管理内网,发现内网流量出现的异常现象。不过随着计算机和安全工具的普及,学会使用sniffer类工具变得不再困难,很多监控工具做的也很傻瓜化。因此一些企业就出现了这位读者遇到的问题。那么面对网络中的非法偷窥者与监控者我们该如何解决呢?下面笔者就从个人经验出发为这位读者支上两招。
(1)流量查看法:
我们可以通过流量来分析从而快速定位有问题的非法偷窥者,众所周知当我们将sniffer类工具安装到本机并开始监控后,我们将频繁接收内网数据包,相比没有安装sniffer类工具的客户端来说在接收数据包方面会明显多出不少。因此我们可以在网关开启镜像端口然后找一个内网流量管理软件对内网所有客户端的流量进行监控。一般来说流量明显高的客户端很可能开启了sniffer类工具进行扫描。
不过在实际定位过程中很可能将在使用BT下载的客户端也误判为使用sniffer者,这里笔者再告诉各位读者一个技巧。如果是在使用BT进行下载的话应该是上传与下载流量都大同时连接数也会很大。而如果仅仅是使用了sniffer进行监控扫描的话应该是接收到的数据量比较大,发送出去的并不多,而且连接数不会有很多。因此结合流量总量以及连接数两个因素权衡后可以快速定位网络中的真正偷窥者。
(2)工具查看法:
当然除了通过流量查看法来定位网络中的真正偷窥者外,我们还可以利用工具更准确的判断。笔者使用的是名为Cain4.7的软件。他是一个内网扫描工具,不过他有一个特色那就是可以通过标志符来判断目的客户端网卡的监听模式。有点经验的读者都知道如果我们安装了sniffer类工具,那么网卡在监听时模式是改变的,实际上网卡是工作在混杂模式下。这样我们就可以通过判断网卡监听模式的办法来判断该机器是否在执行sniffer监听。此方法在笔者实际应用中效果很好,解决了不少实际问题。下面我们来看看具体实现办法。
第一步:下载Cain4.7并解压缩,然后是安装该程序,一路下一步很简单,这里就不详细介绍了。(如图1)
第二步:接下来驱动Cain扫描网卡后选择要扫描的IP地址段或MAC地址段,设置完毕后点OK按钮。(如图2)
第三步:在sniffer标签下我们可以看到扫描到的所有客户端信息,同时在右边能够看到对应的*号字符,有的是B31下有*,有的是B16下有*。(如图3)
小提示:
各个B数字标签对应的实际上是不同的ARP包应答数据包,通过应答数据包的不同来区分到不同的列中。
第四步:如果网卡不是工作在混杂模式下(未sniffer监控)的话将显示B16下有*,如果网卡工作在混杂模式下进行监听的话,那么在B31下将出现*。这样我们就能够判断出到底哪台机器在通过sniffer扫描监听内网。例如图三中的192.168.1.135那台设备就在进行监听。
实际上这个工具实现此功能的原理就是对于那些没有处于sniffer监听状态的主机在回答数据包时会使用16位ARP广播测试B16数据包,相反处于监听的话,网卡处于混杂模式,他们将回答32位ARP测试B31类型的数据包。
总结——本文通过两个方法介绍了如何快速定位内网中在进行sniffer非法监听的客户端信息,就个人感觉而言第二种工具法判断起来更加准确,第一种方法存在一定的误报可能,不过该方法不需要借助相关的软件来实现,操作上更灵活些。希望通过本文的方法可以帮助这位读者解决实际问题,让内网速度恢复正常。