單元4

網絡安全狀況監測與診斷

[單元學習目標]知識目標1．了解協議分析軟件的工作原理

2．了解網卡混雜模式的原理

3．掌握協議分析軟件部署的方法

4．了解交換機端口鏡像的原理

5．掌握交換機端口鏡像的配置方法

6．掌握協議分析軟件安裝的方法

7．掌握協議分析軟件捕獲數據包并分析的方法

8．掌握協議分析軟件檢測網絡故障的方法

[單元學習目標]能力目標1．具備安裝協議分析軟件的能力

2．具備設置交換機端口鏡像的方法

3．具備根據網絡實際情況部署協議分析軟件的能力

4．具備使用協議分析軟件捕獲數據包并分析的能力

5．具備使用協議分析軟件檢測網絡故障的能力情感態度價值觀1．培養認真細致的工作態度

2．逐步形成網絡安全的主動防御意識[單元學習內容]隨著網絡的發展、技術的進步，網絡安全面臨的挑戰也在增大。今天的網絡相對以往任何時候都要復雜和重要，網絡的成熟度較以往相比也有質的提高。隨著ERP、MIS、電子商務等關鍵系統的廣泛應用，網絡承載的內容也越來越重要，數據、聲音、圖像也越來越復雜。網絡及應用系統被要求隨時有效，以便復雜的應用系統能夠正常工作。網絡監測的主要內容就在于通過捕捉網絡中的數據包，進行分析、解碼，綜合分析診斷網絡中存在的故障、安全以及性能等各方面的問題，網絡監測在協助網絡管理員監測網絡傳輸數據、排除網絡故障等方面有著不可替代的作用，一直備受管理員的青睞。任務1科來網絡分析軟件的獲取與安裝【任務分析】了解什么是網絡分析軟件及科來網絡分析軟件的下載安裝方式。【任務實戰】步驟1了解什么是協議分析軟件。協議分析軟件，可以理解為一個安裝在計算機上的竊聽設備，它可以用來竊聽計算機在網絡上所產生的眾多的信息。簡單一點解釋：一部電話的竊聽裝置，可以用來竊聽雙方通話的內容，而計算機網絡嗅探器則可以竊聽計算機程序在網絡上發送和接收到的數據。但是，計算機直接所傳送的數據，事實上是大量的二進制數據。因此，一個網絡竊聽程序必須也使用特定的網絡協議來分解嗅探到的數據，嗅探器也就必須能夠識別出哪個協議對應于這個數據片斷，只有這樣才能夠進行正確的解碼。任務1科來網絡分析軟件的獲取與安裝步驟2科來分析系統的獲得。輸入網址/download/capsa.php，進入科來公司的官方網站即可下載到最新的免費技術交流版。任務1科來網絡分析軟件的獲取與安裝步驟3產品授權號申請。

輸入網址/download/，單擊申請授權號。授權號的流程是接受協議許可→填寫個人信息→發送授權信息，那么授權信息將會發送到你注冊的郵箱中。注意在注冊的過程中不能使用新浪的郵箱。任務1科來網絡分析軟件的獲取與安裝步驟4科來軟件的安裝。雙擊下載的安裝程序包csnas_tech_732.exe，進入程序安裝向導，和普通軟件并沒有太大差異，但是在安裝過程中有幾個地方需要注意。①在安裝的過程中會提示組件的安裝，可選擇的

組件包括MAC地址掃描器、Ping工具、數據包播

放器、數據包生成器，這4款小工具無論是對于學

習網絡技術還是工作都非常有幫助，建議全部選

擇安裝。任務1科來網絡分析軟件的獲取與安裝②完成安裝后，彈出“產品激活向導”頁面，這時要打開科來發送的產品授權郵件，填寫授權信息，填寫完授權信息后，選擇“在線激活”，然后單擊“下一步”按鈕，軟件自動連接遠程的激活服務器進行激活。信息核對正確后就完成了激活。軟件就可以使用了。任務2科來網絡分析軟件的部署與使用【任務描述】下午4點，你正坐在書桌旁。你正在努力工作著，試圖找出過去8個小時中，你公司的文件服務器性能突然下降的原因。在你公司的200名用戶中，有將近100人已經打電話到公司投訴，抱怨連接速度太慢，總是處于等待狀態。你現在壓力很大，你檢查了系統控制器、CPU使用率和緩存，確定它們都在正常工作范圍內。你甚至還更新并注冊了查毒程序，然后運行，以確保沒有病毒。但是問題仍然沒有解決。你現在只得求助于所有你一年前收起來的參考書。你拂去書上的灰塵，開始了苦讀，準備用整夜的時間來找出問題的所在。任務2科來網絡分析軟件的部署與使用【任務分析】如果能夠很容易找到問題所在就好了，就像打開臺式機，運行一個應用程序來檢查你的服務器與端口的連接。但是如果根據分析的結果，你發現可能是因為網卡太舊、設備振動或者錯誤操作所產生的問題，那么究竟是哪個因素影響了網絡的連接呢？你甚至會驚訝地發現在你的內部網上，有些人“可能”正在向你的服務器發送“死亡之Ping”（PingofDeath），或者進行其他類型的拒絕式服務（DenialofService，DoS）攻擊。你怎樣才能指出這些問題呢？非常簡單，使用網絡分析系統，這些就都可以實現了。任務2科來網絡分析軟件的部署與使用【任務實戰】步驟1在網絡中正確部署科來網絡分析系統。

科來網絡分析系統可以進行內網以及內網與外網的數據檢測分析，甚至可以跨VLAN進行數據監測。只要安裝在一臺管理機器上即可，不用安裝到局域網的每臺機器。管理人員可以根據需要來決定網絡的安裝位置。安裝的位置不同，捕獲到的網絡數據也差異很大。一般協議分析軟件的部署都有3種方式：共享網絡的部署、交換網絡（交換機具有端口鏡像功能）的部署、交換網絡（交換機不具有端口鏡像功能）。（1）共享網絡的部署。

使用集線器（Hub）作為網絡中心交換設備的網絡即為共享網絡。集線器（Hub）是以共享模式工作在OSI層次的物理層。如果局域網的中心交換設備是集線器（Hub），可將科來網絡分析系統安裝在局域網中任意一臺主機上，此時科來網絡分析系統可以捕獲整個網絡中所有的數據通信。任務2科來網絡分析軟件的部署與使用（2）交換網絡（交換機具有端口鏡像功能）的部署。使用交換機（Switch）作為網絡的中心交換設備的網絡即為交換網絡。交換機是（Switch）工作在OSI模型的數據鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網絡會將整個網絡分隔成很多小的網域。大多數三層或三層以上交換機，以及一部分二層交換機都具備端口鏡像功能，當網絡中的交換機具備此功能時，可在交換機上配置好端口鏡像（關于交換機鏡像端口），再將科來網絡分析系統安裝在連接鏡像端口的主機上即可，此時科來網絡分析系統可以捕獲整個網絡中所有的數據通信。任務2科來網絡分析軟件的部署與使用（3）交換網絡（交換機不具有端口鏡像功能）。一般簡易型的交換機不具備管理功能，不能通過端口鏡像來實現網絡的監控分析。如果中心交換或網段的交換沒有端口鏡像功能，一般可采取串接集線器（Hub）或分接器（Tap）的方法進行部署。使用網絡分接器（Tap）：使用Tap時，成本較高，需要安裝雙網卡，并且管理機器不能上網，如果要上網，需要再安裝另外的網卡。

使用集線器（Hub）：Hub成本低，但網絡流量大時，性能不高，Tap即使在網絡流量大時，也不會對網絡性能造成任何影響。由于齊威公司的交換機具備端口鏡像功能，因此我們采用第二種部署方式。任務2科來網絡分析軟件的部署與使用步驟2

配置交換機端口鏡像（以神州數碼3950交換機為例）。（1）創建交換機的鏡像源端口。命令：monitorsession[session]sourceinterface[interface-list]{rx|tx|both}。參數：[session]為鏡像session值，目前僅支持1；[interface-list]為鏡像源端口列表，支持“，”及“-”等特殊字符；rx為鏡像源端口接收的流量；tx為鏡像從源端口發出的流量；both為鏡像源端口入和出的流量。命令模式：全局配置模式。使用指南：本命令設置鏡像的源端口，DCS-3950交換機對鏡像源端口沒有限制，可以是一個端口，也可以是多個端口，不僅能鏡像源端口的出、入流量，還能單獨鏡像源端口的發出流量、接收流量。任務2科來網絡分析軟件的部署與使用（2）創建交換機的目的端口。命令：monitorsession[session]destinationinterface[interface-number]

參數：[session]為鏡像session值，目前僅支持1；[interface-number]為鏡像目的端口。

命令模式：全局配置模式。

使用指南：DCS-3950交換機目前僅支持一個鏡像目標端口。需要注意的是，作為鏡像目標端口不能是端口聚合組的成員，并且端口吞吐量最好不小于它所鏡像的所有源端口的吞吐量的總和。（3）此次工作創建端口鏡像源端口和目的端口的命令如下：

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/1-23both

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/24

上述這兩條命令的意思就是把端口1～23流入和流出的數據復制一份給端口24，這樣連接在端口24上的科來分析系統就可以監測端口1～23的所有數據了。任務2科來網絡分析軟件的部署與使用步驟3

啟動科來進行網絡流量捕獲。（1）開始進行捕獲。單擊科來的桌面快捷圖標或者“開始”菜單中的程序就啟動了科來。科來的啟動界面非常友好，便于設置。首先選擇網絡適配器，確定從計算機的哪個網絡適配器上接收數據。選擇分析方案，科來分析系統不僅可以進行協議分析，并且支持更多的應用分析，系統默認選擇的是“全面分析”。任務2科來網絡分析軟件的部署與使用右側的欄目可以設置過濾器，設定過濾器只是改變采集數據范圍的重要手段。如果沒有設置過濾器，將采集所有的數據。通過設置過濾器，可以只捕獲所需的特定數據包，把關注的數據分離出來，過濾掉其他不需要的數據，從而提高抓包和分析的效率。任務2科來網絡分析軟件的部署與使用（2）網絡監測。科來網絡分析系統能夠時刻監視網絡統計、網絡上資源的利用率，并能夠監視網絡流量的異常狀況。①功能區。科來網絡分析系統的功能區可以進行軟件的所有設置，包括選擇網絡適配器、過濾器、開始和停止捕獲數據按鈕、網絡檔案、分析方案設置。還有兩個實時監測網絡利用率和每秒鐘數據包的儀表盤面板。任務2科來網絡分析軟件的部署與使用②主視圖區。系統所有分析、診斷及統計數據均在主視圖區顯示，主視圖區包括概要統計視圖、診斷統計視圖、協議統計視圖、會話統計視圖、矩陣視圖及數據包解碼視圖。選擇相應的視圖標簽，可以查看相應的網絡分析數據。這里重點使用診斷統計視圖、協議統計視圖、概要統計視圖及數據包解碼視圖，其他視圖的使用參考科來網絡分析系統用戶手冊。概要統計視圖對網絡流量及常見網絡應用進行詳細的統計顯示。任務2科來網絡分析軟件的部署與使用科來網絡分析系統2010提供了全新的診斷視圖布局，分為診斷分層、診斷發生地址以及診斷事件3個分隔子窗口，可以非常方便和直觀地查看到當前網絡中發生的網絡事件。診斷模塊同樣嚴格遵循OSI模型對網絡事件進行分層顯示，目前產品支持4個層次的故障診斷：應用層、傳輸層、網絡層、數據鏈路層。

診斷視圖中，可以了解到以下信息：

√每條診斷的參考信息，提供該診斷的描

述、存在原因與解決方法。

√每個診斷信息提供關聯的TopN主機排

行顯示。可直觀看到每個診斷事件是由哪

些主機觸發。

√與主機關聯的診斷事件日志，幫助更迅

速地發現問題主機。

√與事件相關的數據包挖掘，可以雙擊某

條診斷日志，彈出與該日志相關的數據包

通信，快速分析問題。任務2科來網絡分析軟件的部署與使用協議視圖提供全局的協議統計，遵循OSI七層協議分析，根據實際的網絡協議封裝順序，不同的協議賦予不同的色彩，層次化地展現給用戶，并且能夠單獨統計每一個層次下所使用的協議，方便用戶查看。協議視圖下方提供了物理端點與IP端點子視圖，選擇某個協議后，在子視圖中會顯示使用該協議的物理地址或IP地址的端點流量統計。通過協議視圖對各協議占用流量及百分比的統計，可以得出當前網絡中占用流量最多的協議，即當前

網絡中占用流量最多的服務類

型；并幫助排查網絡速度慢、

郵件蠕蟲病毒攻擊、網絡時斷

時續以及用戶無法上網等網絡

故障。任務2科來網絡分析軟件的部署與使用在數據包視圖中，可以詳細查看網絡中原始的數據包通信情況，系統對每個數據包進行詳細分析，包括概要解碼、字段解碼、十六進制解碼。科來網絡分析系統2010提供實時捕捉、實時解碼功能，對捕獲到的每個數據包進行實時分析和解碼，幫助快速分析網絡通信。任務2科來網絡分析軟件的部署與使用③捕獲數據的保存及回放。雖然科來具有強大的診斷和分析系統，但是當網絡狀況較為復雜的時候，如果根據各種視圖無法判斷故障怎么辦？我們可以借助科來的數據包保存功能，把它保存下來，然后把它發給可以求助的專家。單擊“停止”按鈕，停止捕獲數據。單擊

左上角圓形按鈕選擇“導出數據包”，選

擇要保存的位置，導出的數據包的擴展名

為cscpkt。任務2科來網絡分析軟件的部署與使用保存的數據包就像病人的電子病歷一樣，如果想再次進行分析，可以使用科來的回放分析功能，啟動科來切換到“回放分析”，單擊“添加”按鈕就可以把以前保存的數據包文件導入進來。任務2科來網絡分析軟件的部署與使用【任務拓展】一、理論題1．什么是網絡協議分析軟件？

2．網絡協議分析軟件的作用是什么？

3．如何部署科來網絡分析系統？4．如何使用科來網絡分析系統捕獲數據？二、實訓利用具有網管功能的交換機，連接3臺主機，一臺安裝科來網絡分析系統，另外兩臺之間用ping測試連通性，嘗試用科來捕獲數據包并保存數據包，并給大家說說捕獲的數據包的含義。任務3FTP服務器的漏洞分析與防御【任務描述】

小齊最近閱讀雜志的時候看到一篇技術文章談到，普通的FTP服務器是不安全的，普通用戶在登錄FTP服務器和傳輸數據的時候，數據是以明文的形式在網上傳遞的，如果利用協議分析軟件就可以捕獲數據獲得用戶名、密碼。真的是這樣嗎？小齊想親自嘗試一下。【任務分析】

首先要搭建一個模擬環境，配置FTP服務器，并在交換機上配置鏡像端口，啟動科來捕獲數據，并讓客戶端登錄FTP服務器，分析捕獲的數據，看看是否能分析出用戶名和密碼。【任務準備】

3臺主機，一臺運行FTP服務器，一臺普通客戶機用來登錄FTP服務器，另外一臺運行科來網絡分析系統。任務3FTP服務器的漏洞分析與防御【任務實戰】步驟1搭建任務實施環境。

FTP服務器連接交換機端口1、普通客戶端連接端口2、運行科來網絡分析系統的主機連接交換機端口24，如圖4-21所示。步驟2配置FTP服務器。

關于FTP服務器的搭建，使用Windows的組件IIS6.0即可，關于IIS6.0配置FTP服務器可以參考網絡教程。本實例設置的用戶名為tutu，密碼為2011。步驟3設置交換機的端口鏡像（以神州數碼3950交換機為例）。

進入交換機的全局模式，輸入命令如下：

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/1-2both

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/24任務3FTP服務器的漏洞分析與防御步驟4

運行科來網絡分析系統。啟動科來網絡分析系統，選擇要捕獲的網絡適配器，并設置過濾器只過濾FTP協議的數據，其他項選擇默認設置，并開始捕獲數據。步驟5

客戶端登錄FTP服務器。用建立好的用戶名tutu和密碼2011，登錄FTP服務器。任務3FTP服務器的漏洞分析與防御步驟6查看科來的捕獲結果。因為要分析FTP明文傳遞的數據，因此要

接觸數據包視圖，單擊數據包視圖，會看

到如圖所示的分析結果，科來對數據包進

行了解碼。我們發現科來對序號為53～55的數據包做了概要分析，不難看出是01～1的三次握手建立連接的過程。三次握手后才是真正的FTP連接要傳送的用戶名和密碼，序號為57的數據包概要提示“USERtutu”，即登錄的用戶名為tutu，序號為59的數據包概要提示“PASS2011”，即登錄的密碼為2011。任務4科來網絡分析軟件檢測網絡故障【任務描述】公司的很多員工打電話給小齊，說最近網絡有問題，上網速度非常緩慢，而且有的時候根本上不了網。【任務分析】員工反應問題后，小齊首先聯系了互聯網供應商，而他們近期并沒有維護網絡，因此排除了外因，緊接著又檢查了一下網關及代理服務器，一切都運行正常。經過分析認為，網絡中可能有ARP攻擊或者蠕蟲病毒、主機使用P2P軟件等。【任務準備】3臺PC組成模擬網絡環境，IP地址配置所示（也可以自行規劃），一臺安裝運行長角牛網絡監控機，一臺安裝科來網絡分析系統。任務4科來網絡分析軟件檢測網絡故障【任務實戰】步驟1進行ARP攻擊。

安裝并運行長角牛網絡監控機（關于長角牛網絡監控機的安裝使用參看本書單元2的相關內容），對和進行權限設置，斷開這兩臺主機的所有連接，這個時候客戶端已經不能通信。步驟2配置交換機端口鏡像（本例使用神州數碼3950交換機）。

進入交換機的全局模式，輸入命令如下：

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/1-2both

DCS-3950（config）#Monitorsession1sourceinterfaceEthernet0/0/24任務4科來網絡分析軟件檢測網絡故障步驟3啟動科來網絡分析系統。啟動時注意選擇一下網卡，而過濾器不用做任何的篩選，因為現在還無法判斷到底是什么網絡故障。步驟4查看科來主視圖區判斷網絡故障。（1）查看診斷視圖。診斷視圖是無論診斷

任何故障首先應該看的，可以快速地給出一

個大概的判斷。從系統提示給出的診斷來看，

主要是數據鏈路層的問題，主要有ARP格式

違規、ARP請求風暴、ARP太多的主動應答。任務4科來網絡分析軟件檢測網絡故障（2）查看協議視圖。依據診斷視圖給出的數據鏈路層的問題，重點查看協議視圖的ARP協議情況。協議視圖給出了網絡中ARP數據包的情況。這里需要特別注意ARPRequest（ARP請求）和ARPResponse（ARP回應）兩種數據包的個數，一般情況下，ARP請求和ARP回應的個數比例大致為1∶1，如果差別較大，就表示網絡中很可能存在ARP攻擊。圖中的ARPRequest數據包僅有4191個，而ARPResponse數據包卻有26470個，通過這樣的數據比較，就可以推測網絡中可能存在ARP攻擊。任務4科來網絡分析軟件檢測網絡故障（3）查看矩陣視圖。矩陣視圖能夠直觀地反應網絡中主機之間的通信。矩陣視圖左側可以選擇是物理會話還是IP會話，根據前面視圖的提示重點關注的是數據鏈路層，因此選擇物理會話即可。單