协议分析法在局域网故障分析与维护中的应用

姜惠娟,郭永红

(定西师范高等专科学校计算机系,甘肃定西743000)

协议分析法在局域网故障分析与维护中的应用

姜惠娟,郭永红

(定西师范高等专科学校计算机系,甘肃定西743000)

针对故障维护在局域网安全中的重要性,提出了一种能准确、快速定位并排除局域网故障的方法---协议分析法.通过该方法从网络整体性能、计算机病毒、DoS、MAC泛洪攻击、网络带宽滥用、异常广播等方面分析局域网的故障并提出了相应的维护措施,实践证明,该方法的应用提高了局域网的稳定性和安全性.

局域网;协议分析;混杂模式;网络攻击;捕获流量

局域网以其简单、实用、廉价同时又是Internet的一个重要组成部分被广泛的应用.然而对于一个日趋庞大的局域网,网络管理员如何及时、有效地掌握网络的当前运行状态,并对网络故障做出准确、及时的分析与维护,对于整个网络的正常运行具有至关重要的意义[1-2].在局域网的故障维护中使用协议分析法可以快速、准确地定位故障位置并排除故障.文章采用协议分析法,结合实践经验和网络分析工具对局域网的故障分析与排障措施进行了阐述.

1 选取协议分析工具

采用协议分析法解决网络故障可通过硬件和软件两种方式捕获网络数据包.例如:FLUKE、HPWAN/LAN式硬件分析仪等均属于硬件工具,Sniffer Pro、The Ethereal Network Analyzer、WildPackets OmniPeek等属于软件工具,两种方式都能完成数据监视分析、网络故障检测并形成日志文件.文章采用网络数据包捕获与分析软件Sniffer Pro捕获到达链路的数据包并进行测试[4],监视网络状态、网络传输的信息及数据流向,从而解决网络故障.由于局域网普遍存在共享性特征,因此在局域网中任意一台PC上安装网络协议分析软件,均可捕获该网络中的全部通信数据.但是这种方式在高流量的情况下,对被监控链路的正常工作影响很大.采用在交换机上配置镜像的方式实现网络数据包的捕获,即通过把交换机某个端口的流量复制到另一个指定端口,再把指定端口接入协议分析系统,但是不管采用哪种方式捕获数据包都需要将捕获数据包的主机网卡设置为混杂模式[4].

2 Sniffer Pro工作原理及功能

Sniffer Pro是Network Associates公司的一款网管和应用故障诊断分析软件.由于它强大的网络故障分析与性能管理功能而被广泛地应用.

2.1 Sniffer的工作原理

正常情况下,局域网中任意两者之间通信时信息都会传输到其他所有的接口,但是在局域网中每个网络接口都有一个具备唯一性的硬件地址,所以局域网中传输的信息最终只能被与信息中目标字段地址完全吻合的接口接收,其他接口无法接收.还有一种特殊情况就是当信息中的目标地址是该网段的广播地址时,该信息将会被所有接口接收.而Sniffer实质上是一种能将网卡设为"混杂"模式的软件.网卡一旦被设为"混杂"模式,网络中传输的信息不管目标地址是谁,都能被该网卡接收.Sniffer能截获到网络上传输的所有数据并进行分析,从而确定网络所处的状态及整体性能.

2.2 Sniffer Pro软件的功能

Sniffer Pro的主要功能有:

(1)网络程序和网络性能监控:监视应用程序以生成实时统计数据.

(2)分析网络协议的功能:通过捕获功能对通信协议进行实时Expert分析.

(3)基本信息功能:可以装载复杂的过滤器,便于进行存储和激活设置.

(4)事后捕获功能:以显示的翔实数据帧方便管理员使用多种视图来深度分析帧. (5)借助流量生成工具可以生成帧或者发送测试数据.

图5 （a）、（b）中，实线表示降水量偏多状态，虚线表示降水量偏少状态，系数为零表示降水变化的突变点。图5（c）、（d）反映能量随时间尺度的分布。

3 采用协议分析法分析与排除局域网故障

采用Sniffer Pro网络协议分析软件对局域网进行故障诊断、分析最后形成解决措施.将Sniffer Pro软件安装到一台主机,并将该主机与关键交换机某一快速端口连接,设本端口为镜像目的端口,主干网络所连接的交换机端口设为镜像源端口对网络中的所有数据进行捕获,实现协议分析的目的[5].

3.1 检测与评估网络性能

网络性能下降表现为网络延迟很大、TTL(Time To Live)返回时间很长、网络利用率不高、错包数量增加等,究其原因主要有线路损耗、网络设备故障或配置不当等.

采用协议分析法可确定网络是否发生故障,主要表现在3个方面. (1)通过分析网内不同地址和协议的响应时间便可确定故障原因. (2)利用协议分析软件的ART功能发现网络性能类故障.如:通过分析HTTP的平均响应时间与最大响应时间,可以判定网络中是否有故障存在.

(3)通过协议分析软件的Dashboard可随时查看网络的利用率、单位时间传输的数据包数量及出错的数据包数量,也可为每项数据设置一个阀值.当Sniffer Pro软件统计发现某一项数据超过阀值时,记录数据并通过报警通知注意.通常交换式局域网的网络的利用率上限值设在80%左右,一旦发现软件显示网络利用率超过上限值则能确定网络出现了某种问题,需要进一步查找问题的原因.

3.2 识别并处理各种计算机病毒

网络是计算机病毒传播的主要途径,计算机病毒通常利用主机系统自身存在的安全性漏洞攻击网络或主机.例如:威金病毒利用445号网络共享端口进行传播,该病毒的特点是首先对网络的存活主机与共享进行查找,即产生大量的Windows Internet Naming Server查询[6].

采用协议分析法可确定网络是否病毒感染,主要表现在几个方面.

(1)分析并定位威金病毒.若发现网络中存在异常数据,这些数据与正常工作状态的数据有明显的区别:即存在大量的WINS请求则说明网络或主机中了威金病毒.

(3)分析和定位ARP攻击.ARP攻击的特点是网络中存在大量的ARP广播和发往网关的ARP回应.因此ARP协议数据捕获后便可发现ARP攻击的存在.

(4)基于UDP与ICMP等其他协议的计算机病毒也可通过协议分析技术判定其是否存在[7].

3.3 分析MAC泛洪攻击

MAC泛洪攻击的特点是在网络中存在大量的没有源MAC地址的数据包发往交换机,耗尽了交换机的MAC地址表,使发往交换机的单播数据帧没有可以选择的MAC地址,交换机通过将单播的数据帧发往所有端口以寻找可用的MAC地址,造成数据传输率下降、网络拥塞.

采用协议分析技术,通过会话分析、数据包分析、统计MAC地址则很容易发现MAC攻击的存在,并采取限定映射的MAC地址数量的方法便可有效解决MAC泛洪攻击.

3.4 分析DoS&DDoS网络攻击

DoS&DDoS攻击是对网络可用性的攻击,很难通过技术手段进行防范,此类攻击已经成为目前最有威胁的网络攻击方式[9].DoS攻击主要是针对计算机网络的带宽和对连通性进行攻击.带宽攻击是通过大量的通信量冲击网络,耗尽网络带宽资源,最终导致合法的用户的请求无法通过;而连通性攻击则以大量的连接请求冲击计算机,耗尽操作系统资源,最终造成计算机无法再处理合法用户的请求.总之,无论是DoS攻击还是DDoS攻击,都会出现类似的现象:被攻击的主机上有大量等待的TCP连接;网络中存在大量无用的源地址为假的数据包,使网络拥塞、受害主机无法正常与外界通讯等.

采用协议分析技术捕获流量进行分析后定位是找到DoS&DDoS攻击源头的最好办法,分析方法与病毒的分析方法相似,然后利用IPS(Intrusion Prevention System)技术加以防范.

3.5 分析网络带宽滥用

滥用网络带宽也会导致网络性能下降、甚至无法实现正常业务,P2P下载软件的随意使用就是网络带宽滥用的常见形式[10].采用P2P软件下载时占用的带宽相当大,一般情况下对于有固定的协议和端口的P2P软件,借助防火墙可以设置所占的带宽,没有固定协议和端口的P2P软件在下载时所占的带宽就很难控制.但所有网络带宽滥用都有一个特征,那就是局域网内部的一个主机与外网间建立了大量的连接,而且连接上的数据流量很大.

采用协议分析技术对局域网内部的每台主机分别进行IP协议流量统计即可发现占用网络带宽较大的主机,从而发现P2P下载引发的流量异常,并对其进行警告、隔离处理.

3.6 分析异常广播数据

如果网络中存在数目庞大的广播数据则会导致网络吞吐量的大幅下降,甚至网络瘫痪.广播数据具有明显的特征:目的物理地址为0xFFFFFFFFFFFF.另外由于链路故障造成的网络环路广播的特征是:目的地址是特定的地址而不是广播地址,但在网络中存在大量重复的数据包.

利用协议分析技术,通过分析网络总体流量、链路利用率可以确定网络流量的总体信息,然后通过分析数据链路层的会话流量、网络层的会话便可确定大量发送广播数据的主机及发送原因,从而采取相应的措施.

采用协议分析技术可以解决的局域网故障问题还有很多,如借助Sniffer Pro的解码功能可以更深地分析网络故障,如广播量和网络攻击的存在;利用Sniffer Pro的History Samples功能可产生统计图表与记录数据,建立基准以供参考;利用Sniffer Pro的Protocol Distribution可生产网络协议使用统计表,对分析故障出现的原因很有帮助.总之,局域网中的众多安全问题均可通过协议分析技术进行定位并解决.不过要强调的是:为了使局域网的故障定位和解决更加有效,需要对局域网正常工作时的状态先采用协议分析技术进行统计并建立基准,这样在怀疑网络出现问题时通过协议分析技术捕获流量,并将其与基准对比分析便可准确定位故障的原因并有效解决.

4 结语

由于网络协议和网络设备的复杂性,网络故障的定位和排除不像解决单机故障那么简单,单纯的维护网络关键设备并不能找到理想的网络安全策略.实践证明,绝大部分的网络故障源头是主机,如:计算机病毒、网络攻击等,因此应该通过对网络设置主机的准入控制及监控,并通过客户端安装软件对网络的访问进行验证、审计与监控,这将是未来网络安全技术手段的发展趋势.网络安全不仅涉及技术和管理还涉及应用等多方面的知识,是一个综合性课题.作为网络管理员既需要长期的知识与经验的积累,也需要一系列的软件和硬件工具,才能高效的诊断并快速处理网络故障,恢复网络的正常运行.

[1]罗森江.信息系统安全与对抗技术试验教程[M].北京:机械工业出版社,2004.

[2]陈志刚.计算机局域网与NOVELL实用教程[M].长沙:中南工业大学出版社,1998.

[3]邱亮,孙亚刚.网络安全工具及案例分析[M].北京:电子工业出版社,2004.

[4]王威伟,郑雪峰.局域网中网络监听与防范技术[J].计算机工程与设计,2005,26(11):3056-3058.

[5]黄烁,王丽宏.基于广域网的分布式远程监测Sniffer系统[J].计算机工程,2005,31(11):147-149.

[6]孙帅,光华.反病毒查杀威金病毒全解析[J].电脑知识与技术,2006(12):44-45.

[7]谢希仁.计算机网络[M].北京:电子工业出版社,2004.

[8]石光.网络安全技术综述[J].传感器与微系统,2007,26(9):1-3,6.

[9]王俭,刘渊.基于P2P应用的校园网安全策略及防护技术[J].信息技术,2006(7):56-57.

On the app lication of the protocol analysismethod in LAN fault analysis and maintenance

JIANG Hui-juan,GUO Yong-hong
(Computer Department,Dingxi Teachers College,Dingxi743000,Gansu,China)

Aiming at the importance of the faultmaintenance in LAN security,the paper put forward a kind of accurate,rapid positioning LAN faultmethod named protocol analysismethod.This paper adopts the method from the aspects of the whole network performance,computer virus,denial of service,MAC flood attacks, network bandwidth abuse,abnormal radio to analyze the LAN fault,and put forward the corresponding solving measures,and has achieved goodmaintenance effect,which improved the stability and security of the local area network.

LAN;protocol analysis;promiscuousmode;cyber attacks;capture traffic

TP393.1

:A

:1007-5348(2014)06-0020-04

(责任编辑:欧恺)

2014-03-28

姜惠娟(1979-),女,甘肃泾川人,定西师范高等专科学校计算机系讲师,硕士,主要从事计算机网络技术方面的研究.