鐘 波,張玉成,姜繼祥
(牡丹江市氣象局,黑龍江 牡丹江 157000)
隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展,各政府部門(mén)和企事業(yè)單位都通過(guò)網(wǎng)絡(luò)進(jìn)行大量信息查詢(xún)、郵件收發(fā)、數(shù)據(jù)共享等各種辦公操作。網(wǎng)絡(luò)的飛速發(fā)展給用戶(hù)帶來(lái)了便利的同時(shí)也對(duì)網(wǎng)絡(luò)管理提出了嚴(yán)峻的挑戰(zhàn)。局域網(wǎng)內(nèi)部以及局域網(wǎng)與互聯(lián)網(wǎng)之間過(guò)多的數(shù)據(jù)通信使網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在負(fù)載、工作效率以及安全性方面都承受著巨大的壓力,網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、速度慢、交換機(jī)無(wú)規(guī)律的堵塞、死機(jī),網(wǎng)絡(luò)遭受攻擊卻無(wú)法定位攻擊源等故障一直制約著網(wǎng)絡(luò)的正常運(yùn)行。在這種情況下,管理人員必須對(duì)網(wǎng)絡(luò)的流量占用、協(xié)議分布、通訊連接、數(shù)據(jù)包原始內(nèi)容以及整個(gè)網(wǎng)絡(luò)的運(yùn)行情況了如指掌,才能快速準(zhǔn)確地定位故障點(diǎn)并將其排除。而牡丹江局開(kāi)發(fā)的網(wǎng)絡(luò)分析報(bào)警系統(tǒng)能直觀(guān)的發(fā)現(xiàn)問(wèn)題,快速有效的排除故障。
牡丹江氣象局局內(nèi)網(wǎng)絡(luò)由網(wǎng)通2 M專(zhuān)線(xiàn)提供,寬帶作為輔助連接Internet的網(wǎng)絡(luò)。每個(gè)樓層的PC機(jī)連接在一個(gè)交換機(jī)上,這樣方便判斷故障的具體位置。
局域網(wǎng)是一個(gè)通信系統(tǒng),它允許很多彼此獨(dú)立的計(jì)算機(jī)在適當(dāng)?shù)膮^(qū)域內(nèi)以適當(dāng)?shù)膫鬏斔俾手苯舆M(jìn)行溝通。它是將分散的多臺(tái)計(jì)算機(jī)通過(guò)傳輸媒體連接起來(lái)的通信網(wǎng)絡(luò),通過(guò)功能完善的網(wǎng)絡(luò)軟件,實(shí)現(xiàn)計(jì)算機(jī)間的相互通信和共享資源。
網(wǎng)絡(luò)的物理安全主要包括地震、水災(zāi)、火災(zāi)等環(huán)境事故、電源故障、人為操作失誤、設(shè)備損毀、電磁干擾等。要避免這些安全隱患的發(fā)生,需要網(wǎng)絡(luò)管理員制定健全的安全管理制度,加強(qiáng)安全意識(shí),做好備份,并加強(qiáng)設(shè)備管理。
局域網(wǎng)內(nèi)的多臺(tái)計(jì)算機(jī),都可以訪(fǎng)問(wèn)同一臺(tái)專(zhuān)用的計(jì)算機(jī)(即內(nèi)網(wǎng)服務(wù)器),同時(shí),也可以上傳資料到這臺(tái)服務(wù)器。信息數(shù)據(jù)的安全性,機(jī)密信息的泄露,病毒程序的傳播等會(huì)直接危害到整個(gè)局域網(wǎng)的安全[1]。
網(wǎng)絡(luò)分析系統(tǒng)安裝在專(zhuān)用的服務(wù)器上,服務(wù)器的配置如下:
在以太網(wǎng)中,所有通訊都是以廣播方式完成,即任何主機(jī)發(fā)出的任意數(shù)據(jù)包,都會(huì)到達(dá)同一個(gè)網(wǎng)段內(nèi)的所有機(jī)器。每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址,即MAC地址。在正常情況下,一個(gè)網(wǎng)絡(luò)接口只能響應(yīng)兩種數(shù)據(jù)包,與自己MAC地址相匹配的數(shù)據(jù)包和發(fā)向所有機(jī)器的廣播數(shù)據(jù)包。在實(shí)際工作中,數(shù)據(jù)的收發(fā)一般都是由網(wǎng)卡完成的,網(wǎng)卡的工作模式有四種:廣播、組播、直接、混雜[2]。
首先網(wǎng)絡(luò)分析系統(tǒng)把安裝該系統(tǒng)的計(jì)算機(jī)的網(wǎng)卡設(shè)置為混雜模式,使其通過(guò)嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包,再將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行分析,這樣就能發(fā)現(xiàn)故障的問(wèn)題所在。
分析網(wǎng)絡(luò)中的流量占用情況;分析內(nèi)部網(wǎng)絡(luò)和出口帶寬的利用率情況;分析網(wǎng)絡(luò)中特定主機(jī)的數(shù)據(jù)通訊;分析網(wǎng)絡(luò)中的異常數(shù)據(jù)通訊;分析網(wǎng)絡(luò)中的偽造 IP和MAC地址攻擊;分析網(wǎng)絡(luò)中的 TCP通信;分析網(wǎng)絡(luò)中的郵件收發(fā)是否正常等。其中最主要的是流量分析和協(xié)議分析,流量過(guò)大的主機(jī)被視為重要的檢測(cè)對(duì)象,通過(guò)得出當(dāng)前網(wǎng)絡(luò)中占用流量最多的協(xié)議,即當(dāng)前網(wǎng)絡(luò)中占用流量最多的服務(wù)類(lèi)型,幫助網(wǎng)絡(luò)管理技術(shù)人員排查網(wǎng)絡(luò)速度慢、郵件蠕蟲(chóng)病毒攻擊、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)以及終端無(wú)法上網(wǎng)等故障。
4.4.1 數(shù)據(jù)采集
數(shù)據(jù)采集工作在數(shù)據(jù)鏈路層進(jìn)行,通過(guò)此操作能夠獲得網(wǎng)絡(luò)中底層的以太網(wǎng)數(shù)據(jù)包。數(shù)據(jù)采集有3種方式。
(1)在 windows平臺(tái)安裝 NDISProtocol Driver(網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范協(xié)議驅(qū)動(dòng)),通過(guò)安裝協(xié)議驅(qū)動(dòng)采集從網(wǎng)卡傳送過(guò)來(lái)的數(shù)據(jù)包;(2)在windows平臺(tái)安裝NDIS intermediate driver(網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范中間驅(qū)動(dòng)),通過(guò)安裝的中間層驅(qū)動(dòng)采集從網(wǎng)卡傳送過(guò)來(lái)的數(shù)據(jù)包;(3)在windows平臺(tái)安裝TDI driver(接口層驅(qū)動(dòng)),通過(guò)此驅(qū)動(dòng)系統(tǒng)可采集不經(jīng)過(guò)網(wǎng)卡的本地環(huán)回?cái)?shù)據(jù)包。
4.4.2 數(shù)據(jù)分析
將采集到的數(shù)據(jù)進(jìn)行過(guò)濾,并進(jìn)行統(tǒng)計(jì)、檢測(cè)、解碼、TCP數(shù)據(jù)流重組、協(xié)議分析等。
4.4.3 數(shù)據(jù)輸出
網(wǎng)絡(luò)故障分析報(bào)警系統(tǒng)最后將分析好的數(shù)據(jù)結(jié)果以表格、圖表,或日志的形式輸出給用戶(hù),便于快速找出問(wèn)題所在。
網(wǎng)絡(luò)中的數(shù)據(jù)傳輸是不透明的、抽象的,在不借助工具的情況下,很難達(dá)到上述要求。所以,隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的不斷增多,網(wǎng)絡(luò)故障必將日益復(fù)雜,網(wǎng)絡(luò)攻擊事件也會(huì)不斷增加。因此,保障整個(gè)網(wǎng)絡(luò)的持續(xù)可靠和安全運(yùn)行將變得至關(guān)重要。
[1]張衛(wèi)華.企業(yè)局域網(wǎng)安全風(fēng)險(xiǎn)分析[J].計(jì)算機(jī)安全,2010(12).
[2]張建,周全.最新計(jì)算機(jī)網(wǎng)絡(luò)培訓(xùn)教程[M].重慶:重慶出版社,2000.