内网流量管理与数据监控

能够顺利捕获内网通讯数据的前提
(1)
数据 获功 线)
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
为什么需要设置镜像端口来监控
(1) 设 (2) (3)
镜
口
监控 口
数据? 哪儿设 ?
交换环境 镜 设 镜像端口?
镜像端口的意义
(1)
么
镜
口?
端口镜像（port Mirroring)把交换机一个或多个端口（VLA N）的数据镜像到一个或多个端口. (2)不设置镜像端口我们能做什么? 当我们没有设置镜像端口针对本地网卡进行监控时所能捕 获的仅仅是本机流量以及网络中的广播数据包,组播数据包;而其 他主机的通讯数据包我们是无法获取的. (3)如何设置镜像端口? 对 交换 网络来说 们可 交换机 设 镜 口, 交换机 个 口镜 个 口,这样 过连 该 口并监控 可 获 个 口 总 数据 .
华为3COM路由交换设备上配置端口镜像
首先我们来了解下如何在命令提示界面下针对端口镜像进行配置，我们选择的是华为3COM 首先我们来了解下如何在命令提示界面下针对端口镜像进行配置，我们选择的是华为3COM 公司出品的路由交换设备，当然CISCO设备配置步骤类似，只是具体指令有所区别而已。 CISCO设备配置步骤类似 公司出品的路由交换设备，当然CISCO设备配置步骤类似，只是具体指令有所区别而已。 第一步：首先我们访问路由交换设备的管理地址，通过正确的帐户名称与密码进入，使用super 第一步：首先我们访问路由交换设备的管理地址，通过正确的帐户名称与密码进入，使用super 命令进入高级模式并通过sys进入配置模式。 sys进入配置模式 命令进入高级模式并通过sys进入配置模式。
华为3COM路由交换设备上配置端口镜像
• • 第二步：我们使用如下命令来添加端口镜像。 第二步：我们使用如下命令来添加端口镜像。 mirroringmirrored[Quidway] mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48，这个指令的意思就是建立一个镜像对应群组关系，我们命令为1 3/1/48，这个指令的意思就是建立一个镜像对应群组关系，我们命令为1，当然同 一个路由交换设备他的不同mirroring group是通过这个序号来区别的 mirroring是通过这个序号来区别的， 一个路由交换设备他的不同mirroring-group是通过这个序号来区别的，接下来的 inbound表示是传入方向的数据进行镜像 之后则是把Ethernet 3/1/48端口设置 表示是传入方向的数据进行镜像， inbound表示是传入方向的数据进行镜像，之后则是把Ethernet 3/1/48端口设置 3/1/1接口的镜像 通过监控Ethernet 3/1/48接口实现对流入 接口的镜像， 接口实现对流入Ethern 为Ethernet 3/1/1接口的镜像，通过监控Ethernet 3/1/48接口实现对流入Ethern 3/1/1接口数据包的监视与统计 接口数据包的监视与统计。 et 3/1/1接口数据包的监视与统计。
华为3COM路由交换设备上配置端口镜像
•
• •
第三步：最后再通过SAVE或 start等命令保存配置更改后就可以实现端 第三步：最后再通过SAVE或COPY run start等命令保存配置更改后就可以实现端 SAVE 口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接口 sniffer工具连接到 口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接口 来分析流入Ethernet 3/1/1接口的网络数据包 接口的网络数据包。 来分析流入Ethernet 3/1/1接口的网络数据包。 小提示： 小提示： 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的， 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的，我们可以通 接口1 接口2 mirrored- 镜像端口” 过“接口1 接口2 mirrored-to 镜像端口”命令来实现将多个端口对应一个镜像 接口，另外还可以通过“接口1 接口8 mirrored- 镜像端口”来实现将1 接口，另外还可以通过“接口1 to 接口8 mirrored-to 镜像端口”来实现将1到8 这几个端口对应一个镜像接口的功能。 这几个端口对应一个镜像接口的功能。
图形化界面下镜像端口的设置
第二步：接下来我们在管理界面左边找到“端口管理” 第二步：接下来我们在管理界面左边找到“端口管理”，我 们会看到所有端口状态以及他们属于的VLAN信息。 VLAN信息 们会看到所有端口状态以及他们属于的VLAN信息。在最上面我们会看 到一个选项，名为激活端口1为端口镜像，我们将此选项打上对勾即可。 到一个选项，名为激活端口1为端口镜像，我们将此选项打上对勾即可。 这样端口1自动配置为镜像端口。 这样端口1自动配置为镜像端口。
Ethereal
Sniffer Pro
Sniffer 软件 NAI 公 功 强 协议 软件。 Sniffer Pro 网络 强 功 决网络问题， ，可 决网络问题，创建 故 决 .
Sniffer Pro
Sniffer Pro
源自文库
科来网络分析系统
科来网络 系统 对 药 网络管 、诊断，帮 ， 网络可
实战3:ARP欺骗病毒巧排查
记录下太多的ARP请求数据包而没有得到应答计算机的源地址——MAC地址，笔者 一共发现了有三台这样的计算机，MAC地址依次是001e8c0218a3,001d60fca3da, 001d60fca01c.接下来在左边找到这三个MAC地址对应的主机，查看单个主机的流 量信息，经过查询发现每个主机发送的数据包多以ARP数据包为主，而且具体内容 是告诉目的地址58.129.91.126这个IP地址对应的MAC为上述三个MAC地址。
(1)
数据 获功 线)
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
支持数据捕获功能的以太网卡(有线或无线)
线网 现 计
: 机 关网 具备数据 获功 .
线网
: Atheros 兼 响监控 果.( 网 , 果 驰类)
能够顺利捕获内网通讯数据的前提
(1)
数据 获功 线)
图形化界面下镜像端口的设置
• 第三步：确定保存修改设置并退出，这时我们从 第三步：确定保存修改设置并退出， 端口管理” 端口状态即时显示” “端口管理”->“端口状态即时显示”中选择端口1， 端口状态即时显示 中选择端口1 查看其流过数据流量就会看到有惊人的变化， 查看其流过数据流量就会看到有惊人的变化，通过 端口1的数据流量迅速增加。 端口1的数据流量迅速增加。这是因为该端口已经 成为了设备的镜像端口， 成为了设备的镜像端口，所以流入各个以太网接口 的正常数据报文都会被设备复制成镜像报文并发送 到以太端口1这个镜像端口了。 到以太端口1这个镜像端口了。
个让网络管 ， 够 各种网络问题 ， ，它对网络 传输 数据进 检测、 户 网络 故，规 风险， 高网络 价值。
科来网络分析系统
安装科来网络分析系统
随 科来网络分析系统 6.9 技术交流版 授权用户： 阮征 公司名： 丰台信息中心 产品序列号： 26795-16811-19085-600 50-59030-22161 产品授权号： 63127-30184-60321-232 59-51000-24139-78124 下载地址： http://www.colasoft.com.cn
• 通过简单的图形化界面设置我们轻松实现了开启端 为镜像端口功能， 口1为镜像端口功能，从而保证在不影响网络传输 性能和稳定性的前提下实现对数据的管理和监控。 性能和稳定性的前提下实现对数据的管理和监控。
使用科来网络分析系统监控内网
启动软件后点“立即开始采集按钮” 启动软件后点“立即开始采集按钮”->网 络适配器标签- 选择网卡. 络适配器标签->选择网卡. 科来网络分析系统支持有线和无线网卡监 不过一次只能指定一个网卡进行监控. 控,不过一次只能指定一个网卡进行监控.
界面简介
监控标签
实战1:资深网管教你如何教控内网流量
观看老师演示视频录象
实战2:忘记管理地址莫慌用sniffer巧解决
观看老师演示视频录象
实战3:ARP欺骗病毒巧排查
扫描监控所有数据包，在左边查找数据包处按照协议来浏览，查看ARP信息， 扫描监控所有数据包，在左边查找数据包处按照协议来浏览，查看ARP信息，因为在学校最 ARP信息 容易出现的就是ARP欺骗蠕虫病毒了，而且这个学校的故障症状也是全学校计算机无法上网， 容易出现的就是ARP欺骗蠕虫病毒了，而且这个学校的故障症状也是全学校计算机无法上网， ARP欺骗蠕虫病毒了 很可能就是虚假网关造成的问题。 ARP数据包下笔者查看 诊断”标签下的信息， 数据包下笔者查看“ 很可能就是虚假网关造成的问题。在ARP数据包下笔者查看“诊断”标签下的信息，在这里看 到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答 到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP 欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包，目的地址是内网所有IP IP， 欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包，目的地址是内网所有IP，所以 当该IP没有对应活动主机时就会产生无应答的现象，这也是ARP欺骗病毒的一个显著特征。 IP没有对应活动主机时就会产生无应答的现象 ARP欺骗病毒的一个显著特征 当该IP没有对应活动主机时就会产生无应答的现象，这也是ARP欺骗病毒的一个显著特征。
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
具备监控功能的软件
Sniffer类工具 过网 数据复 种.
种, 份进
.
异, 较
将 工具
(1)Sniffer pro---windows (2)Ethereal--- Windows (3)OmniPeek---Windows (4) Tcpdump---Unix (5) snort---Unix (6)科来网络 系统---国产 Windows
内网流量管理与数据监控
2009
1
内网流量管理与数据监控的目的
内网各个 机 间 讯 过数据 来 , 数据 标识 讯内 , 讯 协议,发 , 们可 过 这 数据来 当 网络 运 况, 时间 查故 . 见 , 网络 问题 可 过 数据 来发现 故 头.
通过监控工具捕获的数据包内容
能够顺利捕获内网通讯数据的前提
+ Unix
Ethereal网络数据包分析工具
主要功能: 主要功能: 捕获信息包并且进行分析 监测网络故障 学习内部网络协议 主要特性： 主要特性： 支持Linux和windows系统 实时捕捉网络接口的数据包 支持与其他工具的数据的导入和导出 支持多种方式查找信息包 支持多种颜色显示不同类型的信息包
图形化界面下镜像端口的设置
当然除了CISCO与华为3COM公司的产品外， 当然除了CISCO与华为3COM公司的产品外，我们还经常会碰到不少中低端路由 CISCO与华为3COM公司的产品外 交换产品，他们同样具备设置镜像端口的功能， 交换产品，他们同样具备设置镜像端口的功能，而且这类设备在界面显示方面更加人 性化，配置都可以通过图形选择来完成，下面我们就以侠诺公司的FVR420v FVR420v为例进行 性化，配置都可以通过图形选择来完成，下面我们就以侠诺公司的FVR420v为例进行 介绍。 介绍。 第一步：首先通过IE浏览器访问http://192.168.0.200设备管理地址， 第一步：首先通过IE浏览器访问http://192.168.0.200设备管理地址，输入正确的帐户 IE浏览器访问http://192.168.0.200设备管理地址 信息和密码进入. 信息和密码进入.