2024年3月14日发(作者:)

局域网管理软件的分类与选择

Classification and select of LAN management software

卢爱澎 郭晓薇

(天津市电视技术研究所 天津 300191)

[摘 要]

本文主要讨论了网络监控软件的分类、原理及选择方法。

[关键词]网络管理、ARP、winpcap、镜像

我们这个信息时代,信息化成为企业提高核心竞争业的重要一环。随着电

脑在企事业单位

的广泛应用,网络管理的问题亦日渐凸显

单靠网管人员个人的力量,

已无法有效的管理

单位的

网络的资源。工作期间,有些员工聊天、炒股、看电影,严重影

响办公效率;个别用户私自更改IP,导致其他人不能上网……为解决这些网络管理问题,

网管软件在

应运而生了

目前市场上的局域网管理软件有很多,企业在选择时也往往一头雾水。那我们怎么去选

择一种好的监控软件呢?

目前这一类软件从大的方面可以分为两大类:

一、装客户端

这一类软件就是每台电脑上都要安装一个小插件。然后,每个客户端的机器所监控到本

机的信息,会自动的发送到服务器上去,然后服务器做一个记录。

例如cisco公司的

Network Magic

(如图1),这个软件

可以自动帮你把网络的配置全部画出来,有几台计

算机、安装了哪些打印机通通清清楚楚。点选这些设备就可以看到详细数据,如果发现了不

明的装置,可以将其设为入侵者,保护你的网络。在打印机和档案共享的方面也很简单,就

算是新手也能轻松上手。不过有一些功能需要每台计算机都安装才能运作,这是比较不方便

的地方。

图1:

Network Magic

这一类软件实现的功能是很多的。可是我们在安装和维护的时候会很麻烦的。并且会占

用很大的网络资源。因为客户端的所有信息会通过内网传送到服务器上去,会占用很大的内

网的网络资源,所以装了这样的软件会导致网络速度很慢的现象。

二、不装客户端。

如果不装客户端,我们要获取其它机器的信息,才能监控到其它机器的数据,但是我们

怎么才能获取到其它机器的信息呢?

这样的软件又分为两种技术:

1、 虚拟网关技术

我们听到这一个名词后都会感觉愣一下的,其实,对各位网管来讲并不陌生,说白了

就是ARP(Address Resolution Protocol)欺骗技术,这一种软件是利用arp欺骗原理把

其它电脑的数据欺骗过来,然后在进行记录。

ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理

地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体

说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于

OSI的第二层)的物理地址。 例如:某机器A要向主机B发送报文,会查询本地的ARP缓

存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一

个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B

回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,

于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,

就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,

本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包

的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。

因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B

冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP

应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已

经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行

传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造

成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。

关于arp我就不在多说了,这一种软件是利用虚拟网关技术把其它电脑的数据欺骗过

来,然后在进行记录,符合要求的则予通过,否则拒绝。这样的软件很多,如P2P OVER(图

2)该款软件使用简单,最大的优点是可随时观察每台电脑的即时流量,予以限定下载速度

以防占用带宽过大,影响他人使用。但缺点是基于ARP欺骗,软件监控具有局限性,当防火

墙绑定了路由器的MAC地址后这样的软件不能很好的发挥作用,同时它也在慢慢的被交换机

上做镜像的技术取代。

图2:P2P OVER

2、 做镜像的技术

图3:系统连接图

就是软件的安装模式为旁路侦听模式,如图3;在核心交换机上做一个端口镜像,然后

软件通过接收镜像过来的数据来进行记录,从大的网络结构来看软件是挂在网络中的,所以

说这一种软件从网络模式来看是对网络没有一点影响的。但是我们有的网管装上后软件,还

是会发现网速慢,导致网络的中断的现像。这是什么原因导致的呢?这是由于软件的内核的

所导致的,软件的内核决定软件的稳定性和安全性。

软件内核:

winpcap抓包内核,这一个内核是开源代码写的,但是现在大部分的监控软件为了方

便都用这一个内核。这一个内核原来开发出来是用来单机抓包来分析数据的。所以也就决定

了它只能抓取一台机器的流量,当在抓取多台机器时,会出现丢包、漏包的一种现象。有人

利用winpcap这一个弱点也就出现了反监控的做法,就是说比如说禁止了开心网,我们打开

网站后连续按F5 20-30次,自然网站又重新被刷新出来。

这是什么原因呢?我刚说过这一类的软件在处理数据时会丢包,为什么会丢包呢?当

我们快速的刷新网页时,就相当于模拟出一个大流量的网络环境,当出现这么大流量时,

winpcap会处理不过来,它会自动的把这一些数据给丢掉,所以会出现这一种现像。

图4:百络网警

怎么解决这一个问题呢?有些公司自主研发了抓包内核,例如百络网警软件(图4),

可直接在操作系统模拟一个网卡,直接在内核分析数据包,不但成倍的提高了抓包效率,且

彻底结束了网络抓包引擎一直使用外国软件的历史;采用零内存COPY技术,并通过内核预

过滤和应用层过滤结合,实现100M/1000M稳定抓包,并使万兆流量抓包成为可能;旁路侦听、

防火墙、网桥三种工作模式保证软件的高兼容性和高实用性;很好的弥补了winpcap的不足。

本文主要讨论了现有网络监控软件的分类、原理及选择方法。随着市场和新

技术的不断发展,必然会不断涌现出更新更好的网络监控软件,方便我们的选择

与使用。