您的当前位置:首页局域网网络监控软件的研究

局域网网络监控软件的研究

2024-06-13 来源:乌哈旅游
网络与通信 ●●●●●●●●●●●●…●●●●●●●…●…●●●●●……●………●●●●●●●●●●●●……●●●●●●●●●●-●●…………●………●NETWORK AND COMMUNICATION ●●●●●●…●●…………………●●●●●-● 局域网网络监控软件的研究 肖同松 (南京信息工程大学网络信息中心,南京210044) 摘要:本文介绍了网络监控软件的主要功能,对网络监控软件在局域网中的部署方法进行比较,分析了不同操作 系统平台下网络监控软件所提供的抓包技术。 关键宇:网络监控软件;数据包 Research of LAN Network Monitoring Sofware tXIAO Tongsong (Network Informmion Center of NanJing University of Information Science and Technology,NanJing 210044) 【Abstract】The paper introduces the main functions of network monitoring software,compares the method of network moni— toting software in the local area network deployment,analyses data packet captured by network monitoring software in the different operating system platform. 【KeyWords】network monitoring software;data packet 随着计算机网络技术在企业的普及和应用,网络为企业 (2)防止并追查重要资料、机密文件等外泄。 (3)记录和监视QQ/MSN聊天记录内容和行为过程。 (4)备份重要网络资源文件和工作文件。 (5)流量限制以及网站访问统计,员工使用网络情况分析。 (6)记录和管理网络打印机设备及其他输出设备的使用, 的信息化建设和工作效率的提高发挥了重要作用。但企业如 何规范员工的网络操作,保证网络上的信息安全,监控员工 的上网行为,提高员工的工作效率是有一个急需解决的问题。 在企业的局域网中安装网络监控软件,对员工的上网行为进 行监管,再辅以企业的内部管理规范,可有效规范员工的上 网行为,提高工作效率。 杜绝可能的信息泄露和安全隐患。 2 模式 网络监控软件的解决方案按照管理目标可分为内网监控 和外网监控两个部分。 内网监控的主要目标是管理网内电脑的所有资源和使用 过程。比如网内的硬件资源(计算机、网络打印机等)、软件 资源(计算机及相关设备中安装的软件,可否访问网络)、数 据资源(重要资料文件、数据、使用权限)、行为操作(对工 作的评估、使用电脑的合法性)等等。 外网监控的主要目标是监视网内电脑上网内容和管理上 网行为;比如网络监控、邮件监控、网页监控、m监控、 1 功能 网络监控系统总体目标是限制员工计算机及网络操作, 知道员工在做什么,能够监控到局域网中员工机操作内容、 上网记录、程序运行记录、邮件记录、聊天记录、能禁止游 戏和BT下载、禁止乱装软件、只允许运行与工作有关的软 件,从而有效防止员工通过网络以各种方式泄密,实现对网 络电脑及网络资源的统一管理和有效监控。对用机、上网、 收发邮件、网上聊天和电脑游戏进行严格管理与控制,未经 授权不得以各种方式外发文件、不得上班时间利用网络做不 应该做的事、并能够记录网络往来的内容,对电脑的各种端 口和设备实施全面管理和控制,对重要信息进行强制备份和 安全防护。其具体功能有: 1.1限制功能 MSN/QQ聊天内容监控、游戏监控、流量监视和限制、BT下 载监控、TCP/DUP全系列双向端口监视和控制等等。 按照运行原理可分为旁路监听模式、网关模式和用户模 式等。 (1)禁止网络聊天和网络游戏以及股票行为,禁止一切 (1)旁路监听模式 旁路监听模式的原理:当用户和其他计算机(如外部网 站)进行通信,企业里另一台电脑(监听服务器)在监听, 用户与其他计算机的通信过程可以监视到;若监听服务器认 为该通信不允许发生,就向网络总线上发一个阻断过程,把 不允许的软件运行。 (2)禁止BT恶意下载,禁止在线观看电影听音乐,禁止 一切与工作无关的大量占用企业网络带宽的软件。 (3)禁止私自更改IP地址,支持MAC地址与IP地址 绑定。 (4)支持有限任务集功能,根据权限设置判定软件能否 连接网络,管理计算机中的软件。 1.2监控功能 用户和其他计算机的通信禁止,如图l所示。 旁路监听的前提是监听服务器可以采集到通信的MAC层 数据包。旁路监听模式由于其不断地进行数据包采集和发送 阻断信号,这些信息会占用网络的部分带宽,对于大规模网 (1)监督、审查、规范网络使用行为。 本文收稿日期:2008年8月28日 一络,这些信息将会严重占用网络资源,并且对于大量的信息 监听和交互,对监听服务器的要求将非常高,因此旁路监听 102一 NETW0RK AND C0MMUNICA n0N ●●●--●……●●●-●●…●…●●…●●……●●●●●……●●…●●●●…●●●…●●●…●●…●●--●●………●●_ 网络与通信 作进行记录,以便出现问题时进行追踪查询。监控软件的工 模式只适合小型网络,对于大规模的网络管理是不推荐的。 目前主要有两种方式实现旁路模式: 服务器 用户 图1旁路监听模式的原理 ①采用公开免费接口WINPCAP协议层驱动 公开免费接口WINPCAP协议层驱动方式需通过HUB或 交换机镜像获得MAC层总线数据流。通过该技术进行旁路监 听,会造成网络速度严重限制,容易导致网络阻塞;又由于 WINPCAP本身设计的天生弱点,所以在流量限制方面很难实 现,阻断UDP的同时也会导致网络中断,而且无法支持千兆 网络和无线网络,因此其性能很低,在目前的网络监控中很 少被采用。 ②采用操作系统核心NDIS中间层驱动模式 该模式在NDIS层位置驱动,性能效率非常高,更多功能 也成为可能;采用操作系统核心NDIS中间层驱动的网络监控 软件安装也非常简单;可以在普通交换机模式下任何一台计 算机中安装,不需要HUB,也不需要镜像交换机;能够克服 WINPCAP所有的弱点,但采用操作系统核心NDIS中间层驱 动模式的监控软件的开发实现难度较大; (2)网关模式 由于旁路模式的特点,其只适合于小规模的网络,在规 模庞大的网络监控中是不推荐的;而网关模式将更强大有效, 特别是在阻断BT等P2P应用、流量限制、UDP应用将更加有 效;这些应用都是实时性非常强,而且都是动态变换的,因 此在一般的外网监控应用中建议选择网关模式。 (3)用户绑定模式 用户绑定模式主要有基于IP策略的和基于MAC策略的两 种用户模式,即以计算机IP地址或以网卡M2{C地址与用户计 算机进行绑定;在网关模式下可以直接绑定IP和MAC的对应 关系;对于非法的IP地址和MAC地址,不允许访问网络。 在一般的企业网络管理中,需要采用上述几种模式的结 合,通过对用户进行绑定,经过监听可对每个员工计算机网 络行为进行分析和记录,不仅可以监视Internet的行为和内 容,也可以监视局域网内部的网络活动;通过在用户计算机 中安装相关管理软件,可以直接在用户计算机中监视员工的 所有工作行为,可直接对不合法的行为进行制止,对重要操 作模式一般采用C/S模式,不仅在网络服务器端配置常用网络 限制,而且在每台员工的计算机中安装网络管理客户端软件, 通过服务器对各客户端统一进行权限设置和详细的监控管理 设置,这样通过两者结合,不仅能够快速有效地监控网络而 且可以对各客户端计算机的各种行为提供详尽方便的管理。 3 抓包技术 为了更换掌握用户的上网行为,局域网监控软件提供对 网络数据包进行抓包分析技术。 3.1 Unix平台中的网络数据包采集 Unix系统提供了标准的AP1支持:Packet socket和BPF fBSD Packet Filter,简称BPF)。 (1)BSD(Berkeley Software Distribution)抓包法 BSD包过滤器位于BSD Unix的内核中,它独立于TCP/IP 协议栈,为应用程序访问数据链路层提供了一个原始接口, 被广泛地运用在网络监控及其它软件中。 BPF使用了3种技术以降低系统开销: ①BPF的过滤器存在于内核中,以减小开销 ②由于从内核复制所有数据包到达应用层的开销太大, 可以考虑只复制部分数据(capture len ̄h),一般的应用程序 主要使用的是数据包头,如Tcpdump就定义了只获取前68个 字节。 ③BPF在内核中设置了缓存,当a缓存满或b缓存read timeout过期,则发送数据到应用程序。这样做是为了减少从 核心态到用户态的系统开销。在实际的操作中,使用double buffering技术,一个用于发送数据到应用程序;另一个用于缓 存BPF获得的数据。 (2)Libpcap抓包工具库 Libpcap库是基于BPF系统的。BPF是BSD系统在的 TCPBP软件在实现的时候所提供的一个接口,通过这个接口, 外部程序可以得到到达本机的数据链路层网络数据,同时也 可以设置过滤器,嵌入到网络软件中,获得过滤后的数据包。 Libpcap是一个与实现无关的访问操作系统所提供的分组 捕获机制的分组捕获函数库; Libpcap提供了系统独立的用户级别网络数据包捕获接 口,其充分考虑到应用程序的可移植性; Libpcap可以在绝大多数类Unix平台下工作; Unix系统中,可通过Libpcap库调用用户状态上的缓冲 区,直接与内核交互,实现网络数据包的截取,如图2所示。 状态上的缓冲区I l状态上的缓冲区I 系 统 佛 议 内核缓冲区a 内核缓冲区h 栈 过滤器a 过滤器b 丁 丁丁 丁 网卡驱动fN 帅rUn妇 Ice ifardlhiv神 图2 Unix系统监听机制 一103— 网络与通信 ……●……………●…●……………………………-●●●……………●…●●………………NETWORK AND COMMUNICATION ●…●……………………………… 3.2 Windows平台上通过驱动程序来获取数据包 OSI定义的这层又被IEEE分为两层:LLC和MAC。LLC 层提供将数据帧从一个节点无错误传输到另一个节点。LLC Windows 2000下的网络驱动程序实现网络体系结构中由 下而上的4个协议层: 层建立并终止逻辑链路,控制帧传输,帧排序,确认帧和再 次传输非确认帧。LLC层利用帧确认和再次传输来通过链向 上一层提供最终的无错误的传输。MAC层管理存取网络媒介, 检查帧错误,并管理接收帧地址确认。在Windows 2000网络 l传输层(确保信息传输无误.确定传输顺序) + l网络层(控制子弼的运行,决定数据传送的路径) ● 数据链路层(LLC层和MAC层) 体系结构中,LLC子层是由传输驱动程序实现的,而MAC子 层是由网络接口卡(NIC)来实现。 4 结语 本文介绍了局域网监控软件功能和解决方案,为关注局 域网网络监控软件的使用人员提供策略参考;同时企业管理 人应认识到网络监控的重要性。 牛 物理层(接收和转发无结构的原始比特流) 图3 Windows系统的网络体系结构 (上接第57页) 3 结语 以上是在应用系统开发中的16位与32位PB应用程序需 (5)为32位应用程序配置数据库连接参数,以确保应用 程序能够正常访问数据库。 (6)试运行32位应用程序APP32,确认该应用程序可以 要混合运行的特殊需求下产生的解决方法,并且已经在项目 实践中得到实际应用,PB的其他版本的16位及32位应用可 以此类推解决。 正常启动运行,然后关闭该程序。 (7)首先运行16位应用程序APPI6,然后再运行32位 应用程序APP32,这样即可实现两个不同开发环境的PB应用 程序的同时运行。需要注意的是其运行顺序不能颠倒,否则 会出现文件冲突造成应用程序崩溃。 2.3部分动态链接库文件 参考文献 【1】PowerBuilder 5.0 User’S Guide.Powersofl,1998. 【2】胡宇.用PowerBuilder开发数据库应用.北京:化学工业出 版社,1999. 表1中的文件是PB应用程序运行所需的关键DLL文件, 读者可以参考决定是否需要全部安装所有DLL文件或安装部 分必需文件,文件可以在PowerBuilder的SharedWowerBuilder 【3】陈华明等.PowerBuider应用技巧与常见问题.北京:机械 工业出版社,2003. 【4】崔巍.PowerBuilder数据库应用系统开发教程.北京:清华 大学出版社,2000. 文件夹中找到。提交应用程序时需要将它们拷贝到EXE文件 所在的路径下。 表1 PB部分动态链接库说明 序号 l 文件名 说明 备注 必需 【5】袁晓君.POWERBUILDER计算机语言函数应用.北京:科 学出版社,2002. 【6】宋晔等.PowerBuilder实用教程:数据库应用系统开发.北 京:北京理工大学出版社,2004. 【71王梅君.PowerBuilder基础类库技术详解.北京:电子工业 出版社,2000. PBRrrE050.DLL PowerBuilder运行环境引擎。 2 3 4 5 6 7 8 PBRTFO5O.DLL PBTRAO50.DLL PBRTCO5O.DLL PBSYC050.DLL PowerBuilder运行环境函数。 用来数据库跟踪调用。 对RichText的支持。 SYBASE数据库服务器的接口 fNative databage interfaces)。 必需 可选 可选 可选 必需 【8】 (美)加拉赫,赫伯特著,曹康等译.PowerBuilder5.0程序 设计大全.北京:机械工业出版社,1997. 作者简介 PBDWEO5O.DLL DataWindow引擎,如果使用了 Data Window和Report。 NTWDBUB.DLL DBMS客户端链接库,负责执 行与服务器的连接。 DBNMPNTW.DU Named Pipes Network Library, 必需 可选 温翔, (1973一),男,硕士学位,高级工程师,主要研究方 向:软件系统建模,数据库系统设计。 9 网络连接方式之一。 DBMSS0CN.DLL TCP/IP Network Library,网络 律播青吉 一 可选 10 PB0DB050.DLL 数据库联接接口。如果不是使 必需 用专用接口,而是采用ODBC, 则需要该文件。 一104— 

因篇幅问题不能全部显示,请点此查看更多更全内容