牡丹江市氣象局局域網(wǎng)故障分析報(bào)警系統(tǒng)原理與應(yīng)用

鐘 波，張玉成，姜繼祥

（牡丹江市氣象局，黑龍江 牡丹江 157000）

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，各政府部門(mén)和企事業(yè)單位都通過(guò)網(wǎng)絡(luò)進(jìn)行大量信息查詢(xún)、郵件收發(fā)、數(shù)據(jù)共享等各種辦公操作。網(wǎng)絡(luò)的飛速發(fā)展給用戶(hù)帶來(lái)了便利的同時(shí)也對(duì)網(wǎng)絡(luò)管理提出了嚴(yán)峻的挑戰(zhàn)。局域網(wǎng)內(nèi)部以及局域網(wǎng)與互聯(lián)網(wǎng)之間過(guò)多的數(shù)據(jù)通信使網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在負(fù)載、工作效率以及安全性方面都承受著巨大的壓力，網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、速度慢、交換機(jī)無(wú)規(guī)律的堵塞、死機(jī)，網(wǎng)絡(luò)遭受攻擊卻無(wú)法定位攻擊源等故障一直制約著網(wǎng)絡(luò)的正常運(yùn)行。在這種情況下，管理人員必須對(duì)網(wǎng)絡(luò)的流量占用、協(xié)議分布、通訊連接、數(shù)據(jù)包原始內(nèi)容以及整個(gè)網(wǎng)絡(luò)的運(yùn)行情況了如指掌，才能快速準(zhǔn)確地定位故障點(diǎn)并將其排除。而牡丹江局開(kāi)發(fā)的網(wǎng)絡(luò)分析報(bào)警系統(tǒng)能直觀(guān)的發(fā)現(xiàn)問(wèn)題，快速有效的排除故障。

2 網(wǎng)絡(luò)布局概況

牡丹江氣象局局內(nèi)網(wǎng)絡(luò)由網(wǎng)通2 M專(zhuān)線(xiàn)提供，寬帶作為輔助連接Internet的網(wǎng)絡(luò)。每個(gè)樓層的PC機(jī)連接在一個(gè)交換機(jī)上，這樣方便判斷故障的具體位置。

3 局域網(wǎng)的安全風(fēng)險(xiǎn)

局域網(wǎng)是一個(gè)通信系統(tǒng)，它允許很多彼此獨(dú)立的計(jì)算機(jī)在適當(dāng)?shù)膮^(qū)域內(nèi)以適當(dāng)?shù)膫鬏斔俾手苯舆M(jìn)行溝通。它是將分散的多臺(tái)計(jì)算機(jī)通過(guò)傳輸媒體連接起來(lái)的通信網(wǎng)絡(luò)，通過(guò)功能完善的網(wǎng)絡(luò)軟件，實(shí)現(xiàn)計(jì)算機(jī)間的相互通信和共享資源。

3.1 物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的物理安全主要包括地震、水災(zāi)、火災(zāi)等環(huán)境事故、電源故障、人為操作失誤、設(shè)備損毀、電磁干擾等。要避免這些安全隱患的發(fā)生，需要網(wǎng)絡(luò)管理員制定健全的安全管理制度，加強(qiáng)安全意識(shí)，做好備份，并加強(qiáng)設(shè)備管理。

3.2 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析

局域網(wǎng)內(nèi)的多臺(tái)計(jì)算機(jī)，都可以訪(fǎng)問(wèn)同一臺(tái)專(zhuān)用的計(jì)算機(jī)（即內(nèi)網(wǎng)服務(wù)器），同時(shí)，也可以上傳資料到這臺(tái)服務(wù)器。信息數(shù)據(jù)的安全性，機(jī)密信息的泄露，病毒程序的傳播等會(huì)直接危害到整個(gè)局域網(wǎng)的安全[1]。

4 網(wǎng)絡(luò)故障分析報(bào)警系統(tǒng)的工作原理

4.1 硬件要求

網(wǎng)絡(luò)分析系統(tǒng)安裝在專(zhuān)用的服務(wù)器上，服務(wù)器的配置如下：

4.2 工作原理

在以太網(wǎng)中，所有通訊都是以廣播方式完成，即任何主機(jī)發(fā)出的任意數(shù)據(jù)包，都會(huì)到達(dá)同一個(gè)網(wǎng)段內(nèi)的所有機(jī)器。每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址，即MAC地址。在正常情況下，一個(gè)網(wǎng)絡(luò)接口只能響應(yīng)兩種數(shù)據(jù)包，與自己MAC地址相匹配的數(shù)據(jù)包和發(fā)向所有機(jī)器的廣播數(shù)據(jù)包。在實(shí)際工作中，數(shù)據(jù)的收發(fā)一般都是由網(wǎng)卡完成的，網(wǎng)卡的工作模式有四種：廣播、組播、直接、混雜[2]。

首先網(wǎng)絡(luò)分析系統(tǒng)把安裝該系統(tǒng)的計(jì)算機(jī)的網(wǎng)卡設(shè)置為混雜模式，使其通過(guò)嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，再將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行分析，這樣就能發(fā)現(xiàn)故障的問(wèn)題所在。

4.3 網(wǎng)絡(luò)分析系統(tǒng)應(yīng)具備的功能

分析網(wǎng)絡(luò)中的流量占用情況；分析內(nèi)部網(wǎng)絡(luò)和出口帶寬的利用率情況；分析網(wǎng)絡(luò)中特定主機(jī)的數(shù)據(jù)通訊；分析網(wǎng)絡(luò)中的異常數(shù)據(jù)通訊；分析網(wǎng)絡(luò)中的偽造 IP和MAC地址攻擊；分析網(wǎng)絡(luò)中的 TCP通信；分析網(wǎng)絡(luò)中的郵件收發(fā)是否正常等。其中最主要的是流量分析和協(xié)議分析，流量過(guò)大的主機(jī)被視為重要的檢測(cè)對(duì)象，通過(guò)得出當(dāng)前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即當(dāng)前網(wǎng)絡(luò)中占用流量最多的服務(wù)類(lèi)型，幫助網(wǎng)絡(luò)管理技術(shù)人員排查網(wǎng)絡(luò)速度慢、郵件蠕蟲(chóng)病毒攻擊、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)以及終端無(wú)法上網(wǎng)等故障。

4.4 關(guān)鍵技術(shù)

4.4.1 數(shù)據(jù)采集

數(shù)據(jù)采集工作在數(shù)據(jù)鏈路層進(jìn)行，通過(guò)此操作能夠獲得網(wǎng)絡(luò)中底層的以太網(wǎng)數(shù)據(jù)包。數(shù)據(jù)采集有3種方式。

（1）在 windows平臺(tái)安裝 NDISProtocol Driver（網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范協(xié)議驅(qū)動(dòng)），通過(guò)安裝協(xié)議驅(qū)動(dòng)采集從網(wǎng)卡傳送過(guò)來(lái)的數(shù)據(jù)包；（2）在windows平臺(tái)安裝NDIS intermediate driver（網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范中間驅(qū)動(dòng)），通過(guò)安裝的中間層驅(qū)動(dòng)采集從網(wǎng)卡傳送過(guò)來(lái)的數(shù)據(jù)包；（3）在windows平臺(tái)安裝TDI driver（接口層驅(qū)動(dòng)），通過(guò)此驅(qū)動(dòng)系統(tǒng)可采集不經(jīng)過(guò)網(wǎng)卡的本地環(huán)回?cái)?shù)據(jù)包。

4.4.2 數(shù)據(jù)分析

將采集到的數(shù)據(jù)進(jìn)行過(guò)濾，并進(jìn)行統(tǒng)計(jì)、檢測(cè)、解碼、TCP數(shù)據(jù)流重組、協(xié)議分析等。

4.4.3 數(shù)據(jù)輸出

網(wǎng)絡(luò)故障分析報(bào)警系統(tǒng)最后將分析好的數(shù)據(jù)結(jié)果以表格、圖表，或日志的形式輸出給用戶(hù)，便于快速找出問(wèn)題所在。

5 小結(jié)

網(wǎng)絡(luò)中的數(shù)據(jù)傳輸是不透明的、抽象的，在不借助工具的情況下，很難達(dá)到上述要求。所以，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)故障必將日益復(fù)雜，網(wǎng)絡(luò)攻擊事件也會(huì)不斷增加。因此，保障整個(gè)網(wǎng)絡(luò)的持續(xù)可靠和安全運(yùn)行將變得至關(guān)重要。

[1]張衛(wèi)華.企業(yè)局域網(wǎng)安全風(fēng)險(xiǎn)分析[J].計(jì)算機(jī)安全，2010(12).

[2]張建，周全.最新計(jì)算機(jī)網(wǎng)絡(luò)培訓(xùn)教程[M].重慶：重慶出版社，2000.