Iris是一款嗅探工具，能給我們提供一個(gè)良好的監(jiān)控和分析數(shù)據(jù)包平臺(tái)。針對(duì)目前網(wǎng)絡(luò)出現(xiàn)的新挑戰(zhàn)，如蠕蟲病毒的泛濫、P2P下載軟件的濫用以及入侵者的肆意攻擊等，網(wǎng)管人員可以運(yùn)用該軟件對(duì)各種網(wǎng)絡(luò)災(zāi)害實(shí)施有效的監(jiān)控，并做出正確的判斷和分析，保證網(wǎng)絡(luò)在一個(gè)相對(duì)安全、穩(wěn)定的環(huán)境中運(yùn)行。軟件Iris簡(jiǎn)單實(shí)用且代碼免費(fèi)公開，對(duì)硬件要求也相當(dāng)?shù)?，比較適合在中小學(xué)推廣。
　　網(wǎng)絡(luò)的不斷發(fā)展和普及，一方面給人們帶來了便利的信息交流，另一方面也使我們面臨著許多新挑戰(zhàn)，如病毒爆發(fā)、惡意攻擊等。這些災(zāi)害會(huì)耗盡有限的網(wǎng)絡(luò)資源，造成數(shù)據(jù)阻塞。通常采取的防范措施是利用ACL（訪問控制列表）控制數(shù)據(jù)流量，但到目前為止，大部分中小學(xué)的校園網(wǎng)并沒有相關(guān)設(shè)備，一旦發(fā)生上述網(wǎng)絡(luò)災(zāi)害，網(wǎng)管人員往往顯得很被動(dòng)，無計(jì)可施。倘若對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)進(jìn)行逐一排查，不僅費(fèi)時(shí)，而且效果也不理想。下面筆者介紹如何使用Iris軟件對(duì)網(wǎng)絡(luò)內(nèi)所有主機(jī)實(shí)施有效監(jiān)測(cè)。
　　
　　一、Iris簡(jiǎn)介
　　
　　Iris是Eeye公司出品的一款網(wǎng)絡(luò)流量監(jiān)測(cè)工具，簡(jiǎn)單實(shí)用且代碼免費(fèi)公開，目前比較流行的版本是Iris4.0。該軟件通過監(jiān)控?cái)?shù)據(jù)包的流量、端口和類型來分析網(wǎng)絡(luò)是否正常。
　　我們知道，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包都是從源地址出發(fā)，經(jīng)過代理或者地址轉(zhuǎn)換尋找目的地址。對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控前，首先應(yīng)該把Iris安裝在做代理或者地址轉(zhuǎn)換的主機(jī)上，并且主機(jī)的網(wǎng)卡要設(shè)置為混雜模式，而不選擇正常模式。因?yàn)樵谡ＤＪ较?，網(wǎng)卡只接收目的地址是本機(jī)的數(shù)據(jù)包或者廣播包；而在混雜模式下，網(wǎng)卡可以接收到包括目的地址不是本機(jī)的所有經(jīng)過本機(jī)的數(shù)據(jù)包。目前，蠕蟲病毒的泛濫、P2P下載軟件的濫用以及入侵者的肆意攻擊已經(jīng)成為干擾網(wǎng)絡(luò)正常運(yùn)行的三大災(zāi)害。筆者在此舉三個(gè)實(shí)例做分析研究。
　　
　　二、Iris應(yīng)用案例
　　
　　啟動(dòng)Iris，選擇“Filter”下拉菜單的“Edit Filter”命令，在“Hardware Filter”對(duì)話框中，選擇“Promiscuous”復(fù)選框。
　　實(shí)例一：監(jiān)控W32.Welchia蠕蟲病毒
　　W32.Welchia（中文稱“沖擊波殺手”）是一種通過網(wǎng)絡(luò)傳播的惡性蠕蟲病毒，會(huì)探測(cè)多種漏洞，屬于“沖擊波”病毒的變種。Welchia蠕蟲病毒能在短時(shí)間內(nèi)向網(wǎng)絡(luò)發(fā)送大量的ARP數(shù)據(jù)包，使交換設(shè)備的數(shù)據(jù)處理能力快速下降，造成網(wǎng)絡(luò)癱瘓。被感染的主機(jī)在任務(wù)管理器里通常有“DLLHOST.EXE”這個(gè)進(jìn)程。利用Iris監(jiān)控Welchia蠕蟲病毒，步驟如下。
　　步驟1：?jiǎn)?dòng)軟件Iris，進(jìn)行過濾設(shè)置
　　選擇“Filter”下拉菜單的“Edit Filter”命令，在“l(fā)ayer2.3”對(duì)話框中，選擇“ARP”復(fù)選框。進(jìn)行過濾設(shè)置后可以保證捕獲的數(shù)據(jù)包僅僅是ARP數(shù)據(jù)包，而非其他類型的數(shù)據(jù)包，這樣便于觀察和分析問題。由于ARP數(shù)據(jù)包是不能跨網(wǎng)段