【监听软件在网络中的部署】

　　摘要：监听软件是网络管理员常用的一项工具，但在实际中经常会碰到监听软件捕获不到数据包的情况，这往往不是软件本身的原因，很多时候是安装部署的问题，该文对监听软件在网络中的几种部署方法进行了阐述。
　　关键词：监听；部署；交换
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31559-01
　　Deployment of Monitoring Software in the Network
　　XIA Jing1,XIA Liang-qian2
　　(1.Huanggang Polytechnic College,Huanggang 438002,China;2.The Investigation and Survey Bureau of Hydrology and Water Resources of Jingjiang;,CWRC,Jingzhou 434002,China)
　　Abstact: Monitor software is a common tool of network management, in fact we often come across the circumstance like that : monitor software can not capture the data package ,this is not fault of the software ,mostly it is the problem of installation deployment. This thesis discusses the several deployed methods in the network..
　　Key words: capturing; deployment; switch
　　
　　网络监听软件是提供给网络管理员的对网络进行有效管理的工具，主要用来监视网络的状态、数据流动情况以及网络上传输的信息，帮助管理员排除网络故障。但有些管理员在使用的过程中经常问，为什么我只能看到我自己的通讯？为什么我没有看到局域网中的通讯情况？是不是软件有问题？其实这类问题，并不是监听软件的局限，而是由于监听软件在网络中的不当的安装部署造成的。因为网络监听软件是以嗅探方式工作，它必须要采集到网络中的原始数据包，才能准确分析网络故障。但如果安装部署的位置不当，采集到的数据包将会存在较大的差别，从而会影响分析的结果，并导致上述问题的出现。一般来说下，网络监听软件的安装部署有以下几种情况。
　　
　　1 共享式网络
　　
　　在由电缆或HUB(集线器)构成的共享式局域网中，主机在发送数据时是广播形式，带有目的主机MAC地址的数据被发往网络中的每个主机。正常的网卡应该只接收发往自身的数据包或广播报文，但当主机工作在混杂模式时，所有到来的数据帧都将被传至上层协议软件进行处理。 因此可将网络监听软件安装在局域网中任意一台主机上，此时软件可以捕获整个网络中所有的数据通讯。
　　
　　2 交换式网络
　　
　　使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。交换式以太网中由于使用了交换机，数据帧只传送到目的主机，所以即使网卡设置成混杂模式也不能接收到传给其他主机的数据帧，所以在交换式以太网中进行监听较困难。如果将监听软件安装在其中任一台计算机的话，还是可以通过分析交换式以太网的工作机制进行监听的。因此交换机通常需要维护一个MAC地址与端口的映射表，而维护这个表的内存是有限的，可以通过发送大量含有错误的MAC地址的数据帧而使交换机失效，退回到HUB的广播工作模式，这样就可以利用广播式以太网中的监听工具进行监听了。当然，这种方式并不适用于网络中的管理员。
　　(1)网络中交换机具有端口镜像功能
　　端口镜像是交换机中一个相当有用的功能，它将网络中所有的流量从一个特定的端口复制到一个镜像端口。这样如果网络中的交换机具备镜像功能时，则可在交换机上配置好端口镜像，再将网络监听软件安装在连接镜像端口的主机上，此时软件可以捕获整个网络中所有的数据通讯。例如：华为S3900系列交换机端口镜像的配置。
　　a 将端口G1/0/2配置为监控端口
　　[Switch]interface GigabitEthernet 1/0/2
　　[Switch-GigabitEthernet1/0/2]monitor-port
　　b 将端口G1/0/1配置为镜像端口
　　[Switch]interface GigabitEthernet 1/0/1
　　[Switch-GigabitEthernet1/0/1]mirroring-port both
　　(2)网络中交换机没有有端口镜像功能
　　一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。这时，可采取在交换机与路由器（或防火墙）之间串接集线器（Hub）的方法来完成数据捕获。此时，将主机连上集线器，并在主机上安装监听软件即可捕获所有通过该集线器的数据。
　　
　　3 代理服务器共享上网
　　
　　在当前的小型网络中，有很大一部分都是通过代理服务器共享上网，对这种网络的分析，直接将网络分析软件安装在代理服务器上就行了。但要注意这种情况下的分析，需要对代理服务器的内网卡和外网卡同时进行数据捕获。
　　4 对一个部门或一个网段进行监听
　　在实际进行网络分析时，可能有时并不需要分析整个网络，只需要对某些网络异常的部门或网段进行分析。这种情况下，可以将网络监听软件安装于笔记本电脑上，再加上集线器（Hub），就可以很方便的实现任意部门或任意网段的数据捕获。因为当某个部门的数据通过集线器时会被笔记本电脑上的监听软件捕获。例如监听部门B数据的拓扑图如下：
　　以上几种部署方式基本覆盖了监听软件的应用场合，只有部署得当监听软件才能发挥出应有的作用。现今基于共享式的网络已经越来越少了，更多的场合都是基于交换式的，因此上面部署方式中基于交换式的才是应用的主流。
　　
　　参考文献：
　　[1]张小红.网络监听的检测方法及实现[J].中国自然科学研究,2004,1(1):14.
　　[2]张萍.浅论威胁网络安全的网络监听技术[J].武警工程学院学报,2004,20(4):44-46.
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文