论文部分内容阅读
Iris是一款嗅探工具,能给我们提供一个良好的监控和分析数据包平台。针对目前网络出现的新挑战,如蠕虫病毒的泛滥、P2P下载软件的滥用以及入侵者的肆意攻击等,网管人员可以运用该软件对各种网络灾害实施有效的监控,并做出正确的判断和分析,保证网络在一个相对安全、稳定的环境中运行。软件Iris简单实用且代码免费公开,对硬件要求也相当低,比较适合在中小学推广。
网络的不断发展和普及,一方面给人们带来了便利的信息交流,另一方面也使我们面临着许多新挑战,如病毒爆发、恶意攻击等。这些灾害会耗尽有限的网络资源,造成数据阻塞。通常采取的防范措施是利用ACL(访问控制列表)控制数据流量,但到目前为止,大部分中小学的校园网并没有相关设备,一旦发生上述网络灾害,网管人员往往显得很被动,无计可施。倘若对网络内的主机进行逐一排查,不仅费时,而且效果也不理想。下面笔者介绍如何使用Iris软件对网络内所有主机实施有效监测。
一、Iris简介
Iris是Eeye公司出品的一款网络流量监测工具,简单实用且代码免费公开,目前比较流行的版本是Iris4.0。该软件通过监控数据包的流量、端口和类型来分析网络是否正常。
我们知道,网络中传输的数据包都是从源地址出发,经过代理或者地址转换寻找目的地址。对网络实施监控前,首先应该把Iris安装在做代理或者地址转换的主机上,并且主机的网卡要设置为混杂模式,而不选择正常模式。因为在正常模式下,网卡只接收目的地址是本机的数据包或者广播包;而在混杂模式下,网卡可以接收到包括目的地址不是本机的所有经过本机的数据包。目前,蠕虫病毒的泛滥、P2P下载软件的滥用以及入侵者的肆意攻击已经成为干扰网络正常运行的三大灾害。笔者在此举三个实例做分析研究。
二、Iris应用案例
启动Iris,选择“Filter”下拉菜单的“Edit Filter”命令,在“Hardware Filter”对话框中,选择“Promiscuous”复选框。
实例一:监控W32.Welchia蠕虫病毒
W32.Welchia(中文称“冲击波杀手”)是一种通过网络传播的恶性蠕虫病毒,会探测多种漏洞,属于“冲击波”病毒的变种。Welchia蠕虫病毒能在短时间内向网络发送大量的ARP数据包,使交换设备的数据处理能力快速下降,造成网络瘫痪。被感染的主机在任务管理器里通常有“DLLHOST.EXE”这个进程。利用Iris监控Welchia蠕虫病毒,步骤如下。
步骤1:启动软件Iris,进行过滤设置
选择“Filter”下拉菜单的“Edit Filter”命令,在“layer2.3”对话框中,选择“ARP”复选框。进行过滤设置后可以保证捕获的数据包仅仅是ARP数据包,而非其他类型的数据包,这样便于观察和分析问题。由于ARP数据包是不能跨网段传播的,所以这里提到的网络其实是指同一网段的局域网。
步骤2:捕获数据,分析数据
选择工具栏上的“开始”命令,捕获的数据如图1所示。
从图1我们可以看到,这台名为“shenkejin”的主机在短时间内发送出大量ARP数据包(从严格意义上讲,应该是ARP广播包),并且数据包的目的地址(Addr.IP dest)呈现规律性递增,依次增加1。根据上述特征,我们可以断定这台主机已经感染了Welchia蠕虫病毒。
一般情况下,Welchia蠕虫爆发所造成的危害跟网络地址分配有一定关系。如果是C类地址,则目的地址从x.x.x.0到x.x.x.255依次递增1,即一个轮回要发送256个数据包;如果是B类地址,则目的地址从x.x.0.0到x.x.255.255依次递增1,即一个轮回要发送256*256个数据包。由于Welchia蠕虫每发送完一个轮回的数据包会间隔一段时间,所以在同等的网络环境下,C类网络地址比B类网络地址遭受病毒侵害的程度要低。
步骤3:利用“地址簿”提高捕获数据包的效率
选择“Filter”下拉菜单的“Edit Filter”命令,在“IP address”对话框中,选择合适的Mode单选按钮。Mode模式里的“Include”表示仅仅对“地址簿”里的主机进行数据包捕获,“Exclude”则表示相反的意思。我们通常利用“地址簿”将不在考虑范围内的主机排除在外,这样有利于提高监控效率。
实例二:监控BT下载
P2P下载的工作方式与普通HTTP下载方式正好相反。P2P模式不需要服务器,而是在用户机之间进行传播。P2P下载采用了多点对多点的原理,其显著特点是下载的人越多,速度越快。虽然P2P下载在速度上比传统的HTTP下载有一定优势,但也很容易抢占有限的网络资源。特别是BT下载对带宽抢占太多,若不加以控制,则会发展成一种恶性下载。笔者在这里并不是反对使用BT下载,而是建议大家使用起来应该有所节制。利用Iris监控BT下载需要以下两个步骤。
步骤1:监控数据流量
选择工具栏上的“实时监控”命令,查看某一时刻的数据流量,如图2所示。
从图2我们可以看到,蓝色主机(IP地址为10.44.5.242)的数据流量明显高于其他主机,抢占了大部分的网络资源。虽然HTTP下载在网速较快的情况下,数据流量也会很大,但其强度还是要远远弱于蓝色主机的数据流量。由此可以推断,蓝色主机在进行BT下载,而非普通的HTTP下载。
步骤2:监控端口
用数据流量来区分BT下载和HTTP下载不具有很强的说服力,因为两者之间没有明确的界限标准。为了进一步区分,我们还可以对端口实施监控。
选择“Filter”下拉菜单的“Edit Filter”命令,在“Ports”对话框中,选择合适的端口来监控。HTTP下载使用固定端口80,而BT下载的端口通常集中在某个区域,如端口6881至端口6889。
实例三:监控DDOS(分布式拒绝服务) 攻击
DDOS攻击是入侵者攻击的一种常见手段。它的攻击原理是:利用合理的服务请求占用目标主机过多的服务资源,从而使合法的用户无法得到服务响应。入侵者往往通过开放的端口向目标主机发送大量的攻击数据包,引起数据过量驻留,造成TCP和HTTP资源无法被请求响应。由于Internet的开放性,入侵者可以从任意源地址向目标地址发起攻击,也可以将非法攻击数据包混杂在合法数据包当中。图3是利用Iris监控DDOS攻击时所捕获的数据包。
从图3我们可以看出:这台IP地址为“10.44.5.109”的主机正遭受着DDOS攻击。入侵者利用TCP→HTTP协议向目标主机发送大量攻击数据包,主机所开放的WEB服务资源被非法数据包所抢占,导致许多合理的请求被迫中断。由于入侵主机的源地址和源端口都是伪造的,呈依次递增状态,所以我们很难确定入侵主机真实的IP地址和端口,给防范工作带来了一定困难。
入侵者通常以服务器作为自己的攻击目标主机,而服务器恰恰在整个校园网中占有很重要的地位。它不但提供着各种服务,而且也承担着代理或者地址转换的任务。一旦服务器瘫痪,整个网络就无法正常运行。与蠕虫病毒和P2P下载不同,入侵者攻击对网络的影响是间接的,造成的危害却很大。
上述三个具体实例向我们展示了Iris在监控数据方面的本领。然而,仅仅依靠数据监控是不够的,我们还要学会运用各种网络知识,对出现的问题做出正确的判断和分析,这样才能找到干扰网络运行的原因。笔者在此对常见网络灾害的特征做了一个总结,如表1所示。
Iris作为一款优秀的嗅探工具,虽然有着很强的监控本领,但不能对网络灾害起到预防和治理的效果。针对近段时期各种网络灾害频频发生,危害日渐凸显的特点,建立一套完善的校园网管理机制显得尤为重要。我们可以在预防、监控、治理和备案这四个环节上下功夫,表2是笔者的一点建议。
网络的发展给人们带来便利生活的同时,也给管理带来了很大麻烦。本文着重介绍了软件Iris在监控和分析数据包方面的应用,也对网络灾害的特征做了相应总结,对网络管理提了几点建议。笔者希望通过此文,能对广大中小学网管人员的日常工作有所帮助。
参考文献
[1]胡英.校园网络的流量监控和分析[J].中国教育网络,2005,(9).
[2]俞勇.代理服务器全问答[J].计算机应用文摘,2005,(4).
网络的不断发展和普及,一方面给人们带来了便利的信息交流,另一方面也使我们面临着许多新挑战,如病毒爆发、恶意攻击等。这些灾害会耗尽有限的网络资源,造成数据阻塞。通常采取的防范措施是利用ACL(访问控制列表)控制数据流量,但到目前为止,大部分中小学的校园网并没有相关设备,一旦发生上述网络灾害,网管人员往往显得很被动,无计可施。倘若对网络内的主机进行逐一排查,不仅费时,而且效果也不理想。下面笔者介绍如何使用Iris软件对网络内所有主机实施有效监测。
一、Iris简介
Iris是Eeye公司出品的一款网络流量监测工具,简单实用且代码免费公开,目前比较流行的版本是Iris4.0。该软件通过监控数据包的流量、端口和类型来分析网络是否正常。
我们知道,网络中传输的数据包都是从源地址出发,经过代理或者地址转换寻找目的地址。对网络实施监控前,首先应该把Iris安装在做代理或者地址转换的主机上,并且主机的网卡要设置为混杂模式,而不选择正常模式。因为在正常模式下,网卡只接收目的地址是本机的数据包或者广播包;而在混杂模式下,网卡可以接收到包括目的地址不是本机的所有经过本机的数据包。目前,蠕虫病毒的泛滥、P2P下载软件的滥用以及入侵者的肆意攻击已经成为干扰网络正常运行的三大灾害。笔者在此举三个实例做分析研究。
二、Iris应用案例
启动Iris,选择“Filter”下拉菜单的“Edit Filter”命令,在“Hardware Filter”对话框中,选择“Promiscuous”复选框。
实例一:监控W32.Welchia蠕虫病毒
W32.Welchia(中文称“冲击波杀手”)是一种通过网络传播的恶性蠕虫病毒,会探测多种漏洞,属于“冲击波”病毒的变种。Welchia蠕虫病毒能在短时间内向网络发送大量的ARP数据包,使交换设备的数据处理能力快速下降,造成网络瘫痪。被感染的主机在任务管理器里通常有“DLLHOST.EXE”这个进程。利用Iris监控Welchia蠕虫病毒,步骤如下。
步骤1:启动软件Iris,进行过滤设置
选择“Filter”下拉菜单的“Edit Filter”命令,在“layer2.3”对话框中,选择“ARP”复选框。进行过滤设置后可以保证捕获的数据包仅仅是ARP数据包,而非其他类型的数据包,这样便于观察和分析问题。由于ARP数据包是不能跨网段传播的,所以这里提到的网络其实是指同一网段的局域网。
步骤2:捕获数据,分析数据
选择工具栏上的“开始”命令,捕获的数据如图1所示。
从图1我们可以看到,这台名为“shenkejin”的主机在短时间内发送出大量ARP数据包(从严格意义上讲,应该是ARP广播包),并且数据包的目的地址(Addr.IP dest)呈现规律性递增,依次增加1。根据上述特征,我们可以断定这台主机已经感染了Welchia蠕虫病毒。
一般情况下,Welchia蠕虫爆发所造成的危害跟网络地址分配有一定关系。如果是C类地址,则目的地址从x.x.x.0到x.x.x.255依次递增1,即一个轮回要发送256个数据包;如果是B类地址,则目的地址从x.x.0.0到x.x.255.255依次递增1,即一个轮回要发送256*256个数据包。由于Welchia蠕虫每发送完一个轮回的数据包会间隔一段时间,所以在同等的网络环境下,C类网络地址比B类网络地址遭受病毒侵害的程度要低。
步骤3:利用“地址簿”提高捕获数据包的效率
选择“Filter”下拉菜单的“Edit Filter”命令,在“IP address”对话框中,选择合适的Mode单选按钮。Mode模式里的“Include”表示仅仅对“地址簿”里的主机进行数据包捕获,“Exclude”则表示相反的意思。我们通常利用“地址簿”将不在考虑范围内的主机排除在外,这样有利于提高监控效率。
实例二:监控BT下载
P2P下载的工作方式与普通HTTP下载方式正好相反。P2P模式不需要服务器,而是在用户机之间进行传播。P2P下载采用了多点对多点的原理,其显著特点是下载的人越多,速度越快。虽然P2P下载在速度上比传统的HTTP下载有一定优势,但也很容易抢占有限的网络资源。特别是BT下载对带宽抢占太多,若不加以控制,则会发展成一种恶性下载。笔者在这里并不是反对使用BT下载,而是建议大家使用起来应该有所节制。利用Iris监控BT下载需要以下两个步骤。
步骤1:监控数据流量
选择工具栏上的“实时监控”命令,查看某一时刻的数据流量,如图2所示。
从图2我们可以看到,蓝色主机(IP地址为10.44.5.242)的数据流量明显高于其他主机,抢占了大部分的网络资源。虽然HTTP下载在网速较快的情况下,数据流量也会很大,但其强度还是要远远弱于蓝色主机的数据流量。由此可以推断,蓝色主机在进行BT下载,而非普通的HTTP下载。
步骤2:监控端口
用数据流量来区分BT下载和HTTP下载不具有很强的说服力,因为两者之间没有明确的界限标准。为了进一步区分,我们还可以对端口实施监控。
选择“Filter”下拉菜单的“Edit Filter”命令,在“Ports”对话框中,选择合适的端口来监控。HTTP下载使用固定端口80,而BT下载的端口通常集中在某个区域,如端口6881至端口6889。
实例三:监控DDOS(分布式拒绝服务) 攻击
DDOS攻击是入侵者攻击的一种常见手段。它的攻击原理是:利用合理的服务请求占用目标主机过多的服务资源,从而使合法的用户无法得到服务响应。入侵者往往通过开放的端口向目标主机发送大量的攻击数据包,引起数据过量驻留,造成TCP和HTTP资源无法被请求响应。由于Internet的开放性,入侵者可以从任意源地址向目标地址发起攻击,也可以将非法攻击数据包混杂在合法数据包当中。图3是利用Iris监控DDOS攻击时所捕获的数据包。
从图3我们可以看出:这台IP地址为“10.44.5.109”的主机正遭受着DDOS攻击。入侵者利用TCP→HTTP协议向目标主机发送大量攻击数据包,主机所开放的WEB服务资源被非法数据包所抢占,导致许多合理的请求被迫中断。由于入侵主机的源地址和源端口都是伪造的,呈依次递增状态,所以我们很难确定入侵主机真实的IP地址和端口,给防范工作带来了一定困难。
入侵者通常以服务器作为自己的攻击目标主机,而服务器恰恰在整个校园网中占有很重要的地位。它不但提供着各种服务,而且也承担着代理或者地址转换的任务。一旦服务器瘫痪,整个网络就无法正常运行。与蠕虫病毒和P2P下载不同,入侵者攻击对网络的影响是间接的,造成的危害却很大。
上述三个具体实例向我们展示了Iris在监控数据方面的本领。然而,仅仅依靠数据监控是不够的,我们还要学会运用各种网络知识,对出现的问题做出正确的判断和分析,这样才能找到干扰网络运行的原因。笔者在此对常见网络灾害的特征做了一个总结,如表1所示。
Iris作为一款优秀的嗅探工具,虽然有着很强的监控本领,但不能对网络灾害起到预防和治理的效果。针对近段时期各种网络灾害频频发生,危害日渐凸显的特点,建立一套完善的校园网管理机制显得尤为重要。我们可以在预防、监控、治理和备案这四个环节上下功夫,表2是笔者的一点建议。
网络的发展给人们带来便利生活的同时,也给管理带来了很大麻烦。本文着重介绍了软件Iris在监控和分析数据包方面的应用,也对网络灾害的特征做了相应总结,对网络管理提了几点建议。笔者希望通过此文,能对广大中小学网管人员的日常工作有所帮助。
参考文献
[1]胡英.校园网络的流量监控和分析[J].中国教育网络,2005,(9).
[2]俞勇.代理服务器全问答[J].计算机应用文摘,2005,(4).