钟 波,张玉成,姜继祥
(牡丹江市气象局,黑龙江 牡丹江 157000)
随着计算机网络的迅猛发展,各政府部门和企事业单位都通过网络进行大量信息查询、邮件收发、数据共享等各种办公操作。网络的飞速发展给用户带来了便利的同时也对网络管理提出了严峻的挑战。局域网内部以及局域网与互联网之间过多的数据通信使网络及网络设备在负载、工作效率以及安全性方面都承受着巨大的压力,网络时断时续、速度慢、交换机无规律的堵塞、死机,网络遭受攻击却无法定位攻击源等故障一直制约着网络的正常运行。在这种情况下,管理人员必须对网络的流量占用、协议分布、通讯连接、数据包原始内容以及整个网络的运行情况了如指掌,才能快速准确地定位故障点并将其排除。而牡丹江局开发的网络分析报警系统能直观的发现问题,快速有效的排除故障。
牡丹江气象局局内网络由网通2 M专线提供,宽带作为辅助连接Internet的网络。每个楼层的PC机连接在一个交换机上,这样方便判断故障的具体位置。
局域网是一个通信系统,它允许很多彼此独立的计算机在适当的区域内以适当的传输速率直接进行沟通。它是将分散的多台计算机通过传输媒体连接起来的通信网络,通过功能完善的网络软件,实现计算机间的相互通信和共享资源。
网络的物理安全主要包括地震、水灾、火灾等环境事故、电源故障、人为操作失误、设备损毁、电磁干扰等。要避免这些安全隐患的发生,需要网络管理员制定健全的安全管理制度,加强安全意识,做好备份,并加强设备管理。
局域网内的多台计算机,都可以访问同一台专用的计算机(即内网服务器),同时,也可以上传资料到这台服务器。信息数据的安全性,机密信息的泄露,病毒程序的传播等会直接危害到整个局域网的安全[1]。
网络分析系统安装在专用的服务器上,服务器的配置如下:
在以太网中,所有通讯都是以广播方式完成,即任何主机发出的任意数据包,都会到达同一个网段内的所有机器。每一个网络接口都有一个唯一的硬件地址,即MAC地址。在正常情况下,一个网络接口只能响应两种数据包,与自己MAC地址相匹配的数据包和发向所有机器的广播数据包。在实际工作中,数据的收发一般都是由网卡完成的,网卡的工作模式有四种:广播、组播、直接、混杂[2]。
首先网络分析系统把安装该系统的计算机的网卡设置为混杂模式,使其通过嗅探技术捕获网络中传输的所有数据包,再将这些数据包传递到系统内部进行分析,这样就能发现故障的问题所在。
分析网络中的流量占用情况;分析内部网络和出口带宽的利用率情况;分析网络中特定主机的数据通讯;分析网络中的异常数据通讯;分析网络中的伪造 IP和MAC地址攻击;分析网络中的 TCP通信;分析网络中的邮件收发是否正常等。其中最主要的是流量分析和协议分析,流量过大的主机被视为重要的检测对象,通过得出当前网络中占用流量最多的协议,即当前网络中占用流量最多的服务类型,帮助网络管理技术人员排查网络速度慢、邮件蠕虫病毒攻击、网络时断时续以及终端无法上网等故障。
4.4.1 数据采集
数据采集工作在数据链路层进行,通过此操作能够获得网络中底层的以太网数据包。数据采集有3种方式。
(1)在 windows平台安装 NDISProtocol Driver(网络驱动接口规范协议驱动),通过安装协议驱动采集从网卡传送过来的数据包;(2)在windows平台安装NDIS intermediate driver(网络驱动接口规范中间驱动),通过安装的中间层驱动采集从网卡传送过来的数据包;(3)在windows平台安装TDI driver(接口层驱动),通过此驱动系统可采集不经过网卡的本地环回数据包。
4.4.2 数据分析
将采集到的数据进行过滤,并进行统计、检测、解码、TCP数据流重组、协议分析等。
4.4.3 数据输出
网络故障分析报警系统最后将分析好的数据结果以表格、图表,或日志的形式输出给用户,便于快速找出问题所在。
网络中的数据传输是不透明的、抽象的,在不借助工具的情况下,很难达到上述要求。所以,随着网络规模的不断扩大和网络应用的不断增多,网络故障必将日益复杂,网络攻击事件也会不断增加。因此,保障整个网络的持续可靠和安全运行将变得至关重要。
[1]张卫华.企业局域网安全风险分析[J].计算机安全,2010(12).
[2]张建,周全.最新计算机网络培训教程[M].重庆:重庆出版社,2000.