31
2010
08

端口镜像与端口映射的区别

端口镜像(Port Mirroring)

一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。

配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况,和上网数据。

如下图所示,此例中把1号口镜像到16号口,从而在16号口安装监控软件,即可实现监控。

27
2010
08

为什么网络监控需要镜像交换机?没有镜像交换机如何监控上网行为?

1. 为什么需要镜像交换机实现监控?

1.1 端口镜像交换机与普通交换机有什么不同?

一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。

配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况和上网数据。有关一些交换机的镜像配置,请参见:[URL=http://www.imfirewall.com/help/doc/deployment_example.htm]超级嗅探狗部署用例[/URL]。

1.2 如何判断交换机是否有端口镜像功能?

一般可以通过查看交换机的说明文档或者web配置界面来判断。

A 如果文档介绍中声称此交换机支持“端口镜像”或者“支持网管功能”,那么该交换机就可以支持端口镜像。如:

[IMG]upload/TPL.jpg[/IMG]      [IMG]upload/HW.jpg[/IMG]

B 查看交换机的配置界面,如果存在“端口镜像”、“端口监控”之类的功能。就说明此交换机支持端口镜像。

[IMG]upload/H3CS.JPG[/IMG]

02
2010
07

局域网监控软件有哪些?

网络技术的不断发展,企事业单位的网络管理人员逐渐意识到网络监控的重要性,因此出现了功能各异,技术不同的监控管理软件。面对市场上良莠不齐的品牌,作为企事业单位的网管人员,如何从中选择能够适合本单位的上网监控需要的网络监控软件,成为非常重要的问题。

23
2010
03

如何用软路由实现端口镜像和上网监控?

软路由是指利用台式机或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能。软路由的好处有很多,你可以使用便宜的台式机+免费的Linux软件来配置软路由。软路由弹性较大,而且台式机处理器性能强大,所以处理效能不错,也较容易扩充。

现在越来越多的客户都询问如何在软路由环境下使用超级嗅探狗实现网络监控。所以本文将以RouterOS为例介绍软路由中如何配置端口镜像并实现监控功能。本例中RouterOS的版本是4.6。

1. RouterOS如何配置端口镜像?

首先安装完RouterOS后使用它自带的winbox登录。

16
2009
12

超级嗅探狗使用两块网卡进行监控时上不了网的解决办法。

在使用超级嗅探狗监控局域网时,如果交换机的镜像口不允许通讯,或者需要监控的电脑台数比较多,一般需要分开设置通讯网卡和监听网卡。而在windows系统中,当本机有两块网卡时,默认使用第二块网卡进行通讯。如果第二块网卡不是通讯网卡的时候,您的计算机可能会出现无法正常上网的情况。此时,您可以通过设置TCP/IP协议配置中的“自动跃点计数”来解决此问题。

跃点数是windows给特殊网络接口的IP路由分配的值,用来标识与使用该路由有关的成本,系统会自动选择跃点数低的网卡接入网络。Windows XP 中,默认启用“自动跃点计数”功能,为较慢的网络接口分配较高的跃点数,强制流向Internet的所有流量使用可用的最快网络接口。同样,您可以通过手动配置跃点数,使系统通过你所配置的网卡接入网络。

09
2009
11

如何突破ARP防火墙实现局域网监控和限制上网?

网络监控的正规办法是通过交换机的“端口镜像”功能,[URL=http://baike.baidu.com/view/1381921.html?wtp=tt]端口镜像[/URL]可以把其他端口的网络通讯数据包都拷贝到某一个指定的端口,从而实现监控。 但是现在有些网管软件,采用[URL=http://www.imfirewall.com/arp-spoof.htm]ARP欺骗[/URL]的方式来欺骗其他机器把数据包发送到监控机。这样来实现监控,虽然省略了配置交换机这个步骤,但是却带来了一些问题: 1). ARP广播风暴 ARP欺骗需要发送大量的ARP Reply数据包来欺骗被监控机,同时发送大量的ARP广播包。会给局域网带来广播风暴,从而导致网络缓慢。 2). 导致局域网不稳定 由于数据包都需要从监控主机转发,一旦监控主机出现不稳定、掉电、断线等情况,会导致局域网瘫痪。另外,如果局域网中有多个人同时进行ARP欺骗,将直接导致局域网瘫痪。
31
2009
08

网络监控,网络监控原理,网络监控和其它监控的区别

什么是网络监控?

其实就是监控网络,将网络行为(如email,聊天,网页,文件传输)等但凡和internet相关的行为做内容记录和上网行为控制。

网络监控原理

网络监控是通过获取网络上面传输的数据包,对数据包进行分析还原,从而获取上网内容。

网络监控需要有交换机的支持,只有带“端口镜像”功能的交换机才可以实现监控功能。当然,把监控软件安装在上网代理服务器或者网关服务器上面也可以实现监控。

网络监控技术最重要的一部分就是协议分析。各个通讯方式(如email,聊天,文件传输,网页)都采取不同的传输协议。即时聊天里面QQ,MSN,YAHOO等也是不同的聊天协议。所以支持的协议越多,支持的越好,这样这些上网行为才可以被精确管理。

24
2008
12

基于AD域账号进行网络监控

现在很多公司用了AD域来进行管理,而传统的监控软件一般都是基于IP或者MAC来监控的。这样如果有些员工的电脑不固定或者到用别人机器上网的话,就不能适用正确的监控策略。 超级嗅探狗支持和AD域结合,可以给每个账号设置上网策略,从而实现了真正的基于账号监控。

第一步:启用帐户监控

[IMG]upload/accountConf.jpg[/IMG] 如图1.1所示,在“帐户配置”页面中,点击“是”,选择一帐户类别,点击“保存配置”。
25
2007
12

网络监控常见端口

21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。 23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。 25端口:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。 53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。 67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。 69端口是为TFTP(Trival File Tranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 79端口:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 80端口:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。
08
2007
08

企业如何监控网络聊天、电子邮件等网络行为?

互联网网络聊天、电子邮件等网络行为的兴起,给企业内部的网络管理带来很大的挑战。 不加管理的聊天、邮件等行为一方面会影响工作效率,另外一方面也会带来企业机密泄漏等隐患,而且加大了感染病毒的风险。 所以,对企事业单位来说,有必要对聊天、邮件等行为进行管理,制定一套合理的互联网访问策略制度,并且在必要时记录聊天邮件等内容。

那么怎样来对企业局域网进行监控呢?

从技术角度来说,一般有两种方案。 一种是在每台机器上安装客户端软件,然后通过一个集中的服务器进行管理。还有一种方案是通过交换机的网管功能,在一台电脑上安装网管软件进行监控。 在每台电脑上安装客户端软件可以对客户机进行全面的监视和控制,一般可以做到截取屏幕、禁止运行各类软件等等。 缺点在于安装麻烦,必须每台机器逐一安装,而且重装机器等也需要重新安装软件。最致命的问题在于一旦客户机安装了防火墙等软件,会严重影响监控客户端的运行。 第二种方案的优势在于部署方便,一机安装即可监控全网。缺点在于不能截屏、也不能监控加密的内容。只能监控常见的网络通讯:比如网页浏览、邮件收发、MSN聊天等。 应该说,两者各有侧重。客户端可以获得对客户机的全面控制,但是全网的管理的成本比较高,尤其不适合比较大的网络。 而网络监控更加侧重管理功能,不能截取屏幕,但是部署成本低,网络管理的优势比较明显。