内网流量管理与数据监控
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
能够顺利捕获内网通讯数据的前提
(1)
数据 获功 线)
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
为什么需要设置镜像端口来监控
(1) 设 (2) (3)
镜
口
监控 口
数据? 哪儿设 ?
交换环境 镜 设 镜像端口?
镜像端口的意义
(1)
么
镜
口?
端口镜像(port Mirroring)把交换机一个或多个端口(VLA N)的数据镜像到一个或多个端口. (2)不设置镜像端口我们能做什么? 当我们没有设置镜像端口针对本地网卡进行监控时所能捕 获的仅仅是本机流量以及网络中的广播数据包,组播数据包;而其 他主机的通讯数据包我们是无法获取的. (3)如何设置镜像端口? 对 交换 网络来说 们可 交换机 设 镜 口, 交换机 个 口镜 个 口,这样 过连 该 口并监控 可 获 个 口 总 数据 .
华为3COM路由交换设备上配置端口镜像
首先我们来了解下如何在命令提示界面下针对端口镜像进行配置,我们选择的是华为3COM 首先我们来了解下如何在命令提示界面下针对端口镜像进行配置,我们选择的是华为3COM 公司出品的路由交换设备,当然CISCO设备配置步骤类似,只是具体指令有所区别而已。 CISCO设备配置步骤类似 公司出品的路由交换设备,当然CISCO设备配置步骤类似,只是具体指令有所区别而已。 第一步:首先我们访问路由交换设备的管理地址,通过正确的帐户名称与密码进入,使用super 第一步:首先我们访问路由交换设备的管理地址,通过正确的帐户名称与密码进入,使用super 命令进入高级模式并通过sys进入配置模式。 sys进入配置模式 命令进入高级模式并通过sys进入配置模式。
华为3COM路由交换设备上配置端口镜像
• • 第二步:我们使用如下命令来添加端口镜像。 第二步:我们使用如下命令来添加端口镜像。 mirroringmirrored[Quidway] mirroring-group 1 inbound Ethernet 3/1/1 mirrored-to Ethernet 3/1/48,这个指令的意思就是建立一个镜像对应群组关系,我们命令为1 3/1/48,这个指令的意思就是建立一个镜像对应群组关系,我们命令为1,当然同 一个路由交换设备他的不同mirroring group是通过这个序号来区别的 mirroring是通过这个序号来区别的, 一个路由交换设备他的不同mirroring-group是通过这个序号来区别的,接下来的 inbound表示是传入方向的数据进行镜像 之后则是把Ethernet 3/1/48端口设置 表示是传入方向的数据进行镜像, inbound表示是传入方向的数据进行镜像,之后则是把Ethernet 3/1/48端口设置 3/1/1接口的镜像 通过监控Ethernet 3/1/48接口实现对流入 接口的镜像, 接口实现对流入Ethern 为Ethernet 3/1/1接口的镜像,通过监控Ethernet 3/1/48接口实现对流入Ethern 3/1/1接口数据包的监视与统计 接口数据包的监视与统计。 et 3/1/1接口数据包的监视与统计。
华为3COM路由交换设备上配置端口镜像
•
• •
第三步:最后再通过SAVE或 start等命令保存配置更改后就可以实现端 第三步:最后再通过SAVE或COPY run start等命令保存配置更改后就可以实现端 SAVE 口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接口 sniffer工具连接到 口镜像功能了。我们把网络分析设备或sniffer工具连接到Ethernet 3/1/48接口 来分析流入Ethernet 3/1/1接口的网络数据包 接口的网络数据包。 来分析流入Ethernet 3/1/1接口的网络数据包。 小提示: 小提示: 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的, 当然在我们配置端口镜像时是可以实现将多个端口对应一个镜像的,我们可以通 接口1 接口2 mirrored- 镜像端口” 过“接口1 接口2 mirrored-to 镜像端口”命令来实现将多个端口对应一个镜像 接口,另外还可以通过“接口1 接口8 mirrored- 镜像端口”来实现将1 接口,另外还可以通过“接口1 to 接口8 mirrored-to 镜像端口”来实现将1到8 这几个端口对应一个镜像接口的功能。 这几个端口对应一个镜像接口的功能。
图形化界面下镜像端口的设置
第二步:接下来我们在管理界面左边找到“端口管理” 第二步:接下来我们在管理界面左边找到“端口管理”,我 们会看到所有端口状态以及他们属于的VLAN信息。 VLAN信息 们会看到所有端口状态以及他们属于的VLAN信息。在最上面我们会看 到一个选项,名为激活端口1为端口镜像,我们将此选项打上对勾即可。 到一个选项,名为激活端口1为端口镜像,我们将此选项打上对勾即可。 这样端口1自动配置为镜像端口。 这样端口1自动配置为镜像端口。
Ethereal
Sniffer Pro
Sniffer 软件 NAI 公 功 强 协议 软件。 Sniffer Pro 网络 强 功 决网络问题, ,可 决网络问题,创建 故 决 .
Sniffer Pro
Sniffer Pro
源自文库
科来网络分析系统
科来网络 系统 对 药 网络管 、诊断,帮 , 网络可
实战3:ARP欺骗病毒巧排查
记录下太多的ARP请求数据包而没有得到应答计算机的源地址——MAC地址,笔者 一共发现了有三台这样的计算机,MAC地址依次是001e8c0218a3,001d60fca3da, 001d60fca01c.接下来在左边找到这三个MAC地址对应的主机,查看单个主机的流 量信息,经过查询发现每个主机发送的数据包多以ARP数据包为主,而且具体内容 是告诉目的地址58.129.91.126这个IP地址对应的MAC为上述三个MAC地址。
(1)
数据 获功 线)
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
支持数据捕获功能的以太网卡(有线或无线)
线网 现 计
: 机 关网 具备数据 获功 .
线网
: Atheros 兼 响监控 果.( 网 , 果 驰类)
能够顺利捕获内网通讯数据的前提
(1)
数据 获功 线)
图形化界面下镜像端口的设置
• 第三步:确定保存修改设置并退出,这时我们从 第三步:确定保存修改设置并退出, 端口管理” 端口状态即时显示” “端口管理”->“端口状态即时显示”中选择端口1, 端口状态即时显示 中选择端口1 查看其流过数据流量就会看到有惊人的变化, 查看其流过数据流量就会看到有惊人的变化,通过 端口1的数据流量迅速增加。 端口1的数据流量迅速增加。这是因为该端口已经 成为了设备的镜像端口, 成为了设备的镜像端口,所以流入各个以太网接口 的正常数据报文都会被设备复制成镜像报文并发送 到以太端口1这个镜像端口了。 到以太端口1这个镜像端口了。
个让网络管 , 够 各种网络问题 , ,它对网络 传输 数据进 检测、 户 网络 故,规 风险, 高网络 价值。
科来网络分析系统
安装科来网络分析系统
随 科来网络分析系统 6.9 技术交流版 授权用户: 阮征 公司名: 丰台信息中心 产品序列号: 26795-16811-19085-600 50-59030-22161 产品授权号: 63127-30184-60321-232 59-51000-24139-78124 下载地址: http://www.colasoft.com.cn
• 通过简单的图形化界面设置我们轻松实现了开启端 为镜像端口功能, 口1为镜像端口功能,从而保证在不影响网络传输 性能和稳定性的前提下实现对数据的管理和监控。 性能和稳定性的前提下实现对数据的管理和监控。
使用科来网络分析系统监控内网
启动软件后点“立即开始采集按钮” 启动软件后点“立即开始采集按钮”->网 络适配器标签- 选择网卡. 络适配器标签->选择网卡. 科来网络分析系统支持有线和无线网卡监 不过一次只能指定一个网卡进行监控. 控,不过一次只能指定一个网卡进行监控.
界面简介
监控标签
实战1:资深网管教你如何教控内网流量
观看老师演示视频录象
实战2:忘记管理地址莫慌用sniffer巧解决
观看老师演示视频录象
实战3:ARP欺骗病毒巧排查
扫描监控所有数据包,在左边查找数据包处按照协议来浏览,查看ARP信息, 扫描监控所有数据包,在左边查找数据包处按照协议来浏览,查看ARP信息,因为在学校最 ARP信息 容易出现的就是ARP欺骗蠕虫病毒了,而且这个学校的故障症状也是全学校计算机无法上网, 容易出现的就是ARP欺骗蠕虫病毒了,而且这个学校的故障症状也是全学校计算机无法上网, ARP欺骗蠕虫病毒了 很可能就是虚假网关造成的问题。 ARP数据包下笔者查看 诊断”标签下的信息, 数据包下笔者查看“ 很可能就是虚假网关造成的问题。在ARP数据包下笔者查看“诊断”标签下的信息,在这里看 到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答 到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。由于感染ARP 欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包,目的地址是内网所有IP IP, 欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包,目的地址是内网所有IP,所以 当该IP没有对应活动主机时就会产生无应答的现象,这也是ARP欺骗病毒的一个显著特征。 IP没有对应活动主机时就会产生无应答的现象 ARP欺骗病毒的一个显著特征 当该IP没有对应活动主机时就会产生无应答的现象,这也是ARP欺骗病毒的一个显著特征。
网
(
线
(2)具备监控功 (3)开启镜
软件—sniffer类工具 口实现数据 监控
具备监控功能的软件
Sniffer类工具 过网 数据复 种.
种, 份进
.
异, 较
将 工具
(1)Sniffer pro---windows (2)Ethereal--- Windows (3)OmniPeek---Windows (4) Tcpdump---Unix (5) snort---Unix (6)科来网络 系统---国产 Windows
内网流量管理与数据监控
2009
1
内网流量管理与数据监控的目的
内网各个 机 间 讯 过数据 来 , 数据 标识 讯内 , 讯 协议,发 , 们可 过 这 数据来 当 网络 运 况, 时间 查故 . 见 , 网络 问题 可 过 数据 来发现 故 头.
通过监控工具捕获的数据包内容
能够顺利捕获内网通讯数据的前提
+ Unix
Ethereal网络数据包分析工具
主要功能: 主要功能: 捕获信息包并且进行分析 监测网络故障 学习内部网络协议 主要特性: 主要特性: 支持Linux和windows系统 实时捕捉网络接口的数据包 支持与其他工具的数据的导入和导出 支持多种方式查找信息包 支持多种颜色显示不同类型的信息包
图形化界面下镜像端口的设置
当然除了CISCO与华为3COM公司的产品外, 当然除了CISCO与华为3COM公司的产品外,我们还经常会碰到不少中低端路由 CISCO与华为3COM公司的产品外 交换产品,他们同样具备设置镜像端口的功能, 交换产品,他们同样具备设置镜像端口的功能,而且这类设备在界面显示方面更加人 性化,配置都可以通过图形选择来完成,下面我们就以侠诺公司的FVR420v FVR420v为例进行 性化,配置都可以通过图形选择来完成,下面我们就以侠诺公司的FVR420v为例进行 介绍。 介绍。 第一步:首先通过IE浏览器访问http://192.168.0.200设备管理地址, 第一步:首先通过IE浏览器访问http://192.168.0.200设备管理地址,输入正确的帐户 IE浏览器访问http://192.168.0.200设备管理地址 信息和密码进入. 信息和密码进入.