超级嗅探狗安装指南

3.2

作者:
笨驴技术
主页:
http://www.imfirewall.com

目录

1 系统配置

1)安装超级嗅探狗的最低系统配置如下:

2)安装超级嗅探狗的推荐系统配置如下:

3)所需硬盘及内存估算方法如下:

2 安装模块

模块名称 模块简介 默认安装目录
WFilter.exe 超级嗅探狗安装程序。安装列表:
1. 服务名称: WFilter。
2. 进程: startsys.exe和webservd.exe。		 C:\Program Files\IMFirewall\WFilter

3 安装需知

4 不同网络的部署方案

超级嗅探狗独立于网络防火墙和互联网访问网关,提供基于旁路部署方式、包捕获技术的过滤方案,丝毫不影响网络性能,并可以处理所有Internet 协议。这种部署方式对原有网络结构的影响最小。

考虑到机器性能的限制,建议一台超级嗅探狗监控不超过1000台机器。如果您需要监控超过1000台电脑,可以安装多台监控主机实施监控,这多台监控主机可以共用同一个日志数据库以实现数据的统一存放。

超级嗅探狗完全兼容任意路由器、交换机和网关,可以采取以下部署方式:

为了成功监控,需要满足以下条件:

在我们的部署用例中列出了一些常见网络的部署案例,为更好的理解如何部署超级嗅探狗,请参考《超级嗅探狗部署用例》

5 网络安装方案

5.1 单网段环境

单网段环境就是局域网内的所有电脑处于同一个网段,例如局域网内所有电脑内网IP都是192.168.1.*。 在单网段环境下只要把超级嗅探狗安装在可以看到其他电脑上网数据包的位置,直接根据MAC地址进行监控即可。

如下图,如果局域网内的电脑通过有线路由器连到Internet,只要增加一个HUB或镜像交换机,再将监控机(安装超级嗅探狗的电脑) 连在 HUB或镜像交换机上,就可以实现监控。具体选择镜像交换机还是HUB,需要根据网络的出口带宽来判断。我们建议在出口带宽小于4M 的情况下可以选择HUB,否则需要用镜像交换机。

镜像交换机推荐型号: TPLINK的TL-SF2005,HUB推荐型号: TPLINK的TL-HP5MU



图5.1.1



5.2 多网段环境

多网段环境就是局域网内包含多个网段,各个网段之间通过路由器、网桥或者vlan交换机来连接。多网段环境下,由于路由器进行了数据转 发,所以mac地址和ip地址不是一一对应的。针对多网段情况,我们有两个解决方案:

5.2.1 安装在一台机器上,根据IP监控

要想在一台机器上安装超级嗅探狗监控整个局域网内的多个网段,必须使用IP监控模式(因为路由器在转发的过程中修改了MAC地址,但不 会修改IP地址)。IP监控模式的缺点在于由于IP地址是可变的,这样就给监控管理带来了麻烦。需要利用IP-MAC绑定技术来绑定IP地址,以更 好的管理和监控。

如下图,增加一个HUB或镜像交换机,再将监控主机连在所加HUB或镜像交换机上,监控方式选择“IP监控”,即可监控多个网段。



图5.2.1



5.2.2 在每个网段设置监控点

第二个方案是在每个网段安装监控点,根据MAC地址监控,日志统一记录。连接方式:每个网段各增加一个HUB或镜像交换机,再将监控机分 别(安装超级嗅探狗的电脑)连在所加HUB或交换机,就可以分别监控多个网段并统一记录到一个日志数据库。网络结构图如下:



图5.2.2



5.3 代理服务器模式

有些网络环境采用代理服务器上,可以直接在服务器上安装超级嗅探狗实施监控。

如果代理服务器运行的是Linux或Unix操作系统,或者不想增加服务器的工作负荷,我们建议使用一台单独的监控机以旁路侦听的方式进行监控记录。

网络结构图如下:



图5.3.1

请注意,在代理服务器模式下,需要把代理服务器的IP地址添加到超级嗅探狗的“监听配置”里面的“本地服务器”中。


6 附录

6.1 如何才能看到其他电脑的上网数据包?

一般情况下,和交换机或者路由器相连的电脑只能接收到自己的数据包,所以要实现对其他电脑的监控,首先物理上需要可以接收到其他电 脑的数据包;然后就可以通过超级嗅探狗来对数据进行还原分析,从而实现监控。

和一般交换机的通讯方式不同,HUB(集线器)是通过广播的方式来通讯的,这样就使得HUB上的每个端口都可以接收到其他端口的数据 包。(推荐HUB型号:tplink的TL-HP5MU)

为了监控的需要,有些交换机或者路由器提供了端口镜像的功能(又称Port Mirror,Port Span),端口镜像可以通过设置指定一个口为监控 口来接收其他端口的通讯数据包。

要看到其他电脑的上网数据包,要满足两个条件:

6.2 HUB连接方式及速度分析

HUB连接方式

HUB(集线器)是最简单的网络连接设备,由于HUB采用广播的方式来通讯,这样就使得每个端口都可以接收到其他口的数据,从而实现 监控。

HUB连接方式:HUB一般都会提供一个UPLINK口来和上级网络设备相连接,把上一级网络设备出来的网线接在HUB的Uplink口上(与Uplink 口相连的口不要接网线),并把装有超级嗅探狗的电脑直接连接到HUB上。

图示如下:



图6.2



HUB速度分析

HUB是以广播形式发送和接受数据包的,速度一般是10M,连接HUB的设备共享带宽。比如HUB上连接了两台电脑,那么每台电脑的带宽就是 5M。因此,当上网带宽小于4M时,用HUB是不会影响网速的;否则建议使用支持端口镜像的交换机。

6.3 SWITCH连接方式及端口镜像的配置方法

6.3.1 SWITCH连接方式

监控主机直接连接交换机的镜像端口。图示如下:




图6.3

配置端口镜像时,只需要把路由器的端口做为源端口,超级嗅探狗的端口做为目标端口即可实现监控。

6.3.2 SWITCH端口镜像的配置方法
概述

端口镜像(Port Mirroring)可以让用户将所有的流量复制到一个镜像端口。监控主机通过和镜像端口连接来实现监控。

不同的交换机或不同的型号,镜像配置方法的有些区别,下面我们提供常见交换机的镜像配置方法:

1.华为交换机端口镜像配置

使用Huawei Lanswitch View管理系统添加一个镜像端口:

选择 “Device Setup”或“Stack Setup”。
点击 “Port Mirroring”。
点击 “Add”按钮。对于堆叠,点击“Switch”并从列表选择一个交换机。
点击 “Reflect from”并选择流量将被镜像的端口。
点击 “Reflect to”并选上面所选择的端口上的。
2.3COM交换机端口监听配置

在3COM交换机中,端口监听被称为“Roving Analysis”。 网络流量被监听的端口称作“监听口”(Monitor Port),连接监听设备的端口 称作“分析口”(Analyzer Port)。以下命令配置端口监听:

指定分析口
feature rovingAnalysis add,或缩写 f r a
例如:
Select menu option: feature rovingAn alysis add
Select analysis slot: 1
Select analysis port: 2
指定监听口并启动端口监听
feature rovingAnalysis start,或缩写 f r sta
例如:
Select menu option: feature rovingAn alysis start
Select slot to monitor (1-12): 1
Select port to monitor&nb sp; (1-8): 3
停止端口监听
feature rovingAnalysis stop,或缩写 f r sto
3.Cisco CATALYST交换机端口监听配置

CISCO CATALYST交换机分为两种,在CATALYST家族中称监听端口为分析端口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
port monitor
例如,F0/1和F0/2、F0/5同属VLAN1,F0/1监听F0/2、F0/5端口:
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/5
port monitor VLAN1
2、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS)
set span
例如,模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,
set span 6/1,6/3-5 6/2
4.DELL交换机端口监听配置
具体设置:
1、在Port Mirroring对话框中的Destination Port中选中目的端口(镜像端口),再单击Add按钮;
2、在系统将打开“Add Source Port”(添加源端口)页面中,定义“Source Port”(源端口)和“Type”(类型)字段, 并单击“Apply Changes”(应用更改), 使系统接收更改。
(注:如果需要从端口镜像会话删除副本端口,请打开“Port Mirroring”(端口镜像)页面,选取“Remove”(删除)复选框, 再单击“Apply Changes”(应用更改)。 系统将删除端口镜像会话,并更新设备。)
以下命令配置端口监听:
指定分析口
CLI 命令实例:
Console(config)# interface ethernet 1/e1
Console(config-if)# port monitor 1/e8
Console# show ports monitor
Source port Destination Port Type Status
----------- ---------------- ----- -------
1/e1 1/e8 RX, TX Active
5.NetCore交换机端口监听配置
NetCore交换机中,端口监听被称为“端口镜像”(Port Mirroring)。
交换机提供四种监视状态:
Off 关闭Mirror功能
Rx 捕获被监视端口的接收数据
Tx 捕获被监视端口的发送数据
Both 捕获被监视端口的接收和发送的数据
进入NetCore的超级终端,在主菜单中输入“5”进入端口镜像设置界面,输入“1”设置端口镜像状态。
如设置端口1为镜像端口,端口8为被镜像端口,捕获该端口的接收和发送数据。
配置命令如下:
1. 选择配置的选项 (1,off, 2.Rx, 3.Tx, 4.Both) :4
2. 选择捕获端口:1
3. 选择被镜像端口:8
按Esc键退回镜像设置界面,设置成功。
6.Avaya交换机端口监听配置
在Avaya交换机用户手册中,端口监听被称为“端口镜像”(Port Mirror)。
以下命令配置端口监听:
{set|clear } Port Mirror
设置端口侦听:
set port mirror source-port
mirror-portsampling { always } [ max-packets -sec] [ piggyback-port ]
禁止端口监 听:
clear port mirror
命令中,
mod-port-range 指定端口的范围;
mod-port-spec 指定特定的端口;
piggyback-port 指定双向镜像的端口;
sampling 指定镜像周期;
max-packets-sec 仅在sampling设置为periodic时使用,指定监听口每秒最多的数据报数量。
7.Intel交换机端口监听配置
Intel 称端口监听为“Mirror Ports”。 网络流量被监听的端口称作“源端口”(Source Port),
连接监听设备的端口称作“镜像口”(Mirror Port)。
配置端口监听步骤如下:
● 在navigation菜单,点击Statistics下的Mirror Ports,弹出Mirror Ports信息。
● 在Configure Source 列中点击端口来选择源端口, 弹出Mirror Ports Configuration。
● 进行源端口设置:
● 源端口是镜像流量的来源口,镜像口是接收来自源端口流量的端口。
● 点击Apply确定
可以选择三种监听的方式:
1.连续(Always):镜像全部流量。
2.周期(Periodic):在一定周期内 镜像全部流量。镜像周期在Sampling Interval configuration中设置。
3.禁止(Disabled):关闭流量镜像。


具体配置请参见各交换机的用户手册。