姜惠娟,郭永紅

(定西師范高等?？茖W(xué)校計(jì)算機(jī)系,甘肅定西743000)

協(xié)議分析法在局域網(wǎng)故障分析與維護(hù)中的應(yīng)用

姜惠娟,郭永紅

(定西師范高等?？茖W(xué)校計(jì)算機(jī)系,甘肅定西743000)

針對(duì)故障維護(hù)在局域網(wǎng)安全中的重要性,提出了一種能準(zhǔn)確、快速定位并排除局域網(wǎng)故障的方法---協(xié)議分析法.通過(guò)該方法從網(wǎng)絡(luò)整體性能、計(jì)算機(jī)病毒、DoS、MAC泛洪攻擊、網(wǎng)絡(luò)帶寬濫用、異常廣播等方面分析局域網(wǎng)的故障并提出了相應(yīng)的維護(hù)措施,實(shí)踐證明,該方法的應(yīng)用提高了局域網(wǎng)的穩(wěn)定性和安全性.

局域網(wǎng);協(xié)議分析;混雜模式;網(wǎng)絡(luò)攻擊;捕獲流量

局域網(wǎng)以其簡(jiǎn)單、實(shí)用、廉價(jià)同時(shí)又是Internet的一個(gè)重要組成部分被廣泛的應(yīng)用.然而對(duì)于一個(gè)日趨龐大的局域網(wǎng),網(wǎng)絡(luò)管理員如何及時(shí)、有效地掌握網(wǎng)絡(luò)的當(dāng)前運(yùn)行狀態(tài),并對(duì)網(wǎng)絡(luò)故障做出準(zhǔn)確、及時(shí)的分析與維護(hù),對(duì)于整個(gè)網(wǎng)絡(luò)的正常運(yùn)行具有至關(guān)重要的意義[1-2].在局域網(wǎng)的故障維護(hù)中使用協(xié)議分析法可以快速、準(zhǔn)確地定位故障位置并排除故障.文章采用協(xié)議分析法,結(jié)合實(shí)踐經(jīng)驗(yàn)和網(wǎng)絡(luò)分析工具對(duì)局域網(wǎng)的故障分析與排障措施進(jìn)行了闡述.

1 選取協(xié)議分析工具

采用協(xié)議分析法解決網(wǎng)絡(luò)故障可通過(guò)硬件和軟件兩種方式捕獲網(wǎng)絡(luò)數(shù)據(jù)包.例如:FLUKE、HPWAN/LAN式硬件分析儀等均屬于硬件工具,Sniffer Pro、The Ethereal Network Analyzer、WildPackets OmniPeek等屬于軟件工具,兩種方式都能完成數(shù)據(jù)監(jiān)視分析、網(wǎng)絡(luò)故障檢測(cè)并形成日志文件.文章采用網(wǎng)絡(luò)數(shù)據(jù)包捕獲與分析軟件Sniffer Pro捕獲到達(dá)鏈路的數(shù)據(jù)包并進(jìn)行測(cè)試[4],監(jiān)視網(wǎng)絡(luò)狀態(tài)、網(wǎng)絡(luò)傳輸?shù)男畔⒓皵?shù)據(jù)流向,從而解決網(wǎng)絡(luò)故障.由于局域網(wǎng)普遍存在共享性特征,因此在局域網(wǎng)中任意一臺(tái)PC上安裝網(wǎng)絡(luò)協(xié)議分析軟件,均可捕獲該網(wǎng)絡(luò)中的全部通信數(shù)據(jù).但是這種方式在高流量的情況下,對(duì)被監(jiān)控鏈路的正常工作影響很大.采用在交換機(jī)上配置鏡像的方式實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,即通過(guò)把交換機(jī)某個(gè)端口的流量復(fù)制到另一個(gè)指定端口,再把指定端口接入?yún)f(xié)議分析系統(tǒng),但是不管采用哪種方式捕獲數(shù)據(jù)包都需要將捕獲數(shù)據(jù)包的主機(jī)網(wǎng)卡設(shè)置為混雜模式[4].

2 Sniffer Pro工作原理及功能

Sniffer Pro是Network Associates公司的一款網(wǎng)管和應(yīng)用故障診斷分析軟件.由于它強(qiáng)大的網(wǎng)絡(luò)故障分析與性能管理功能而被廣泛地應(yīng)用.

2.1 Sniffer的工作原理

正常情況下,局域網(wǎng)中任意兩者之間通信時(shí)信息都會(huì)傳輸?shù)狡渌械慕涌?但是在局域網(wǎng)中每個(gè)網(wǎng)絡(luò)接口都有一個(gè)具備唯一性的硬件地址,所以局域網(wǎng)中傳輸?shù)男畔⒆罱K只能被與信息中目標(biāo)字段地址完全吻合的接口接收,其他接口無(wú)法接收.還有一種特殊情況就是當(dāng)信息中的目標(biāo)地址是該網(wǎng)段的廣播地址時(shí),該信息將會(huì)被所有接口接收.而Sniffer實(shí)質(zhì)上是一種能將網(wǎng)卡設(shè)為"混雜"模式的軟件.網(wǎng)卡一旦被設(shè)為"混雜"模式,網(wǎng)絡(luò)中傳輸?shù)男畔⒉还苣繕?biāo)地址是誰(shuí),都能被該網(wǎng)卡接收.Sniffer能截獲到網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)并進(jìn)行分析,從而確定網(wǎng)絡(luò)所處的狀態(tài)及整體性能.

2.2 Sniffer Pro軟件的功能

Sniffer Pro的主要功能有:

(1)網(wǎng)絡(luò)程序和網(wǎng)絡(luò)性能監(jiān)控:監(jiān)視應(yīng)用程序以生成實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù).

(2)分析網(wǎng)絡(luò)協(xié)議的功能:通過(guò)捕獲功能對(duì)通信協(xié)議進(jìn)行實(shí)時(shí)Expert分析.

(3)基本信息功能:可以裝載復(fù)雜的過(guò)濾器,便于進(jìn)行存儲(chǔ)和激活設(shè)置.

(4)事后捕獲功能:以顯示的翔實(shí)數(shù)據(jù)幀方便管理員使用多種視圖來(lái)深度分析幀. (5)借助流量生成工具可以生成幀或者發(fā)送測(cè)試數(shù)據(jù).

圖5 （a）、（b）中，實(shí)線表示降水量偏多狀態(tài)，虛線表示降水量偏少狀態(tài)，系數(shù)為零表示降水變化的突變點(diǎn)。圖5（c）、（d）反映能量隨時(shí)間尺度的分布。

3 采用協(xié)議分析法分析與排除局域網(wǎng)故障

采用Sniffer Pro網(wǎng)絡(luò)協(xié)議分析軟件對(duì)局域網(wǎng)進(jìn)行故障診斷、分析最后形成解決措施.將Sniffer Pro軟件安裝到一臺(tái)主機(jī),并將該主機(jī)與關(guān)鍵交換機(jī)某一快速端口連接,設(shè)本端口為鏡像目的端口,主干網(wǎng)絡(luò)所連接的交換機(jī)端口設(shè)為鏡像源端口對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)進(jìn)行捕獲,實(shí)現(xiàn)協(xié)議分析的目的[5].

3.1 檢測(cè)與評(píng)估網(wǎng)絡(luò)性能

網(wǎng)絡(luò)性能下降表現(xiàn)為網(wǎng)絡(luò)延遲很大、TTL(Time To Live)返回時(shí)間很長(zhǎng)、網(wǎng)絡(luò)利用率不高、錯(cuò)包數(shù)量增加等,究其原因主要有線路損耗、網(wǎng)絡(luò)設(shè)備故障或配置不當(dāng)?shù)?

采用協(xié)議分析法可確定網(wǎng)絡(luò)是否發(fā)生故障,主要表現(xiàn)在3個(gè)方面. (1)通過(guò)分析網(wǎng)內(nèi)不同地址和協(xié)議的響應(yīng)時(shí)間便可確定故障原因. (2)利用協(xié)議分析軟件的ART功能發(fā)現(xiàn)網(wǎng)絡(luò)性能類故障.如:通過(guò)分析HTTP的平均響應(yīng)時(shí)間與最大響應(yīng)時(shí)間,可以判定網(wǎng)絡(luò)中是否有故障存在.

(3)通過(guò)協(xié)議分析軟件的Dashboard可隨時(shí)查看網(wǎng)絡(luò)的利用率、單位時(shí)間傳輸?shù)臄?shù)據(jù)包數(shù)量及出錯(cuò)的數(shù)據(jù)包數(shù)量,也可為每項(xiàng)數(shù)據(jù)設(shè)置一個(gè)閥值.當(dāng)Sniffer Pro軟件統(tǒng)計(jì)發(fā)現(xiàn)某一項(xiàng)數(shù)據(jù)超過(guò)閥值時(shí),記錄數(shù)據(jù)并通過(guò)報(bào)警通知注意.通常交換式局域網(wǎng)的網(wǎng)絡(luò)的利用率上限值設(shè)在80%左右,一旦發(fā)現(xiàn)軟件顯示網(wǎng)絡(luò)利用率超過(guò)上限值則能確定網(wǎng)絡(luò)出現(xiàn)了某種問(wèn)題,需要進(jìn)一步查找問(wèn)題的原因.

3.2 識(shí)別并處理各種計(jì)算機(jī)病毒

網(wǎng)絡(luò)是計(jì)算機(jī)病毒傳播的主要途徑,計(jì)算機(jī)病毒通常利用主機(jī)系統(tǒng)自身存在的安全性漏洞攻擊網(wǎng)絡(luò)或主機(jī).例如:威金病毒利用445號(hào)網(wǎng)絡(luò)共享端口進(jìn)行傳播,該病毒的特點(diǎn)是首先對(duì)網(wǎng)絡(luò)的存活主機(jī)與共享進(jìn)行查找,即產(chǎn)生大量的Windows Internet Naming Server查詢[6].

采用協(xié)議分析法可確定網(wǎng)絡(luò)是否病毒感染,主要表現(xiàn)在幾個(gè)方面.

(1)分析并定位威金病毒.若發(fā)現(xiàn)網(wǎng)絡(luò)中存在異常數(shù)據(jù),這些數(shù)據(jù)與正常工作狀態(tài)的數(shù)據(jù)有明顯的區(qū)別:即存在大量的WINS請(qǐng)求則說(shuō)明網(wǎng)絡(luò)或主機(jī)中了威金病毒.

(3)分析和定位ARP攻擊.ARP攻擊的特點(diǎn)是網(wǎng)絡(luò)中存在大量的ARP廣播和發(fā)往網(wǎng)關(guān)的ARP回應(yīng).因此ARP協(xié)議數(shù)據(jù)捕獲后便可發(fā)現(xiàn)ARP攻擊的存在.

(4)基于UDP與ICMP等其他協(xié)議的計(jì)算機(jī)病毒也可通過(guò)協(xié)議分析技術(shù)判定其是否存在[7].

3.3 分析MAC泛洪攻擊

MAC泛洪攻擊的特點(diǎn)是在網(wǎng)絡(luò)中存在大量的沒(méi)有源MAC地址的數(shù)據(jù)包發(fā)往交換機(jī),耗盡了交換機(jī)的MAC地址表,使發(fā)往交換機(jī)的單播數(shù)據(jù)幀沒(méi)有可以選擇的MAC地址,交換機(jī)通過(guò)將單播的數(shù)據(jù)幀發(fā)往所有端口以尋找可用的MAC地址,造成數(shù)據(jù)傳輸率下降、網(wǎng)絡(luò)擁塞.

采用協(xié)議分析技術(shù),通過(guò)會(huì)話分析、數(shù)據(jù)包分析、統(tǒng)計(jì)MAC地址則很容易發(fā)現(xiàn)MAC攻擊的存在,并采取限定映射的MAC地址數(shù)量的方法便可有效解決MAC泛洪攻擊.

3.4 分析DoS&DDoS網(wǎng)絡(luò)攻擊

DoS&DDoS攻擊是對(duì)網(wǎng)絡(luò)可用性的攻擊,很難通過(guò)技術(shù)手段進(jìn)行防范,此類攻擊已經(jīng)成為目前最有威脅的網(wǎng)絡(luò)攻擊方式[9].DoS攻擊主要是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的帶寬和對(duì)連通性進(jìn)行攻擊.帶寬攻擊是通過(guò)大量的通信量沖擊網(wǎng)絡(luò),耗盡網(wǎng)絡(luò)帶寬資源,最終導(dǎo)致合法的用戶的請(qǐng)求無(wú)法通過(guò);而連通性攻擊則以大量的連接請(qǐng)求沖擊計(jì)算機(jī),耗盡操作系統(tǒng)資源,最終造成計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求.總之,無(wú)論是DoS攻擊還是DDoS攻擊,都會(huì)出現(xiàn)類似的現(xiàn)象:被攻擊的主機(jī)上有大量等待的TCP連接;網(wǎng)絡(luò)中存在大量無(wú)用的源地址為假的數(shù)據(jù)包,使網(wǎng)絡(luò)擁塞、受害主機(jī)無(wú)法正常與外界通訊等.

采用協(xié)議分析技術(shù)捕獲流量進(jìn)行分析后定位是找到DoS&DDoS攻擊源頭的最好辦法,分析方法與病毒的分析方法相似,然后利用IPS(Intrusion Prevention System)技術(shù)加以防范.

3.5 分析網(wǎng)絡(luò)帶寬濫用

濫用網(wǎng)絡(luò)帶寬也會(huì)導(dǎo)致網(wǎng)絡(luò)性能下降、甚至無(wú)法實(shí)現(xiàn)正常業(yè)務(wù),P2P下載軟件的隨意使用就是網(wǎng)絡(luò)帶寬濫用的常見(jiàn)形式[10].采用P2P軟件下載時(shí)占用的帶寬相當(dāng)大,一般情況下對(duì)于有固定的協(xié)議和端口的P2P軟件,借助防火墻可以設(shè)置所占的帶寬,沒(méi)有固定協(xié)議和端口的P2P軟件在下載時(shí)所占的帶寬就很難控制.但所有網(wǎng)絡(luò)帶寬濫用都有一個(gè)特征,那就是局域網(wǎng)內(nèi)部的一個(gè)主機(jī)與外網(wǎng)間建立了大量的連接,而且連接上的數(shù)據(jù)流量很大.

采用協(xié)議分析技術(shù)對(duì)局域網(wǎng)內(nèi)部的每臺(tái)主機(jī)分別進(jìn)行IP協(xié)議流量統(tǒng)計(jì)即可發(fā)現(xiàn)占用網(wǎng)絡(luò)帶寬較大的主機(jī),從而發(fā)現(xiàn)P2P下載引發(fā)的流量異常,并對(duì)其進(jìn)行警告、隔離處理.

3.6 分析異常廣播數(shù)據(jù)

如果網(wǎng)絡(luò)中存在數(shù)目龐大的廣播數(shù)據(jù)則會(huì)導(dǎo)致網(wǎng)絡(luò)吞吐量的大幅下降,甚至網(wǎng)絡(luò)癱瘓.廣播數(shù)據(jù)具有明顯的特征:目的物理地址為0xFFFFFFFFFFFF.另外由于鏈路故障造成的網(wǎng)絡(luò)環(huán)路廣播的特征是:目的地址是特定的地址而不是廣播地址,但在網(wǎng)絡(luò)中存在大量重復(fù)的數(shù)據(jù)包.

利用協(xié)議分析技術(shù),通過(guò)分析網(wǎng)絡(luò)總體流量、鏈路利用率可以確定網(wǎng)絡(luò)流量的總體信息,然后通過(guò)分析數(shù)據(jù)鏈路層的會(huì)話流量、網(wǎng)絡(luò)層的會(huì)話便可確定大量發(fā)送廣播數(shù)據(jù)的主機(jī)及發(fā)送原因,從而采取相應(yīng)的措施.

采用協(xié)議分析技術(shù)可以解決的局域網(wǎng)故障問(wèn)題還有很多,如借助Sniffer Pro的解碼功能可以更深地分析網(wǎng)絡(luò)故障,如廣播量和網(wǎng)絡(luò)攻擊的存在;利用Sniffer Pro的History Samples功能可產(chǎn)生統(tǒng)計(jì)圖表與記錄數(shù)據(jù),建立基準(zhǔn)以供參考;利用Sniffer Pro的Protocol Distribution可生產(chǎn)網(wǎng)絡(luò)協(xié)議使用統(tǒng)計(jì)表,對(duì)分析故障出現(xiàn)的原因很有幫助.總之,局域網(wǎng)中的眾多安全問(wèn)題均可通過(guò)協(xié)議分析技術(shù)進(jìn)行定位并解決.不過(guò)要強(qiáng)調(diào)的是:為了使局域網(wǎng)的故障定位和解決更加有效,需要對(duì)局域網(wǎng)正常工作時(shí)的狀態(tài)先采用協(xié)議分析技術(shù)進(jìn)行統(tǒng)計(jì)并建立基準(zhǔn),這樣在懷疑網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)通過(guò)協(xié)議分析技術(shù)捕獲流量,并將其與基準(zhǔn)對(duì)比分析便可準(zhǔn)確定位故障的原因并有效解決.

4 結(jié)語(yǔ)

由于網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)設(shè)備的復(fù)雜性,網(wǎng)絡(luò)故障的定位和排除不像解決單機(jī)故障那么簡(jiǎn)單,單純的維護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備并不能找到理想的網(wǎng)絡(luò)安全策略.實(shí)踐證明,絕大部分的網(wǎng)絡(luò)故障源頭是主機(jī),如:計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等,因此應(yīng)該通過(guò)對(duì)網(wǎng)絡(luò)設(shè)置主機(jī)的準(zhǔn)入控制及監(jiān)控,并通過(guò)客戶端安裝軟件對(duì)網(wǎng)絡(luò)的訪問(wèn)進(jìn)行驗(yàn)證、審計(jì)與監(jiān)控,這將是未來(lái)網(wǎng)絡(luò)安全技術(shù)手段的發(fā)展趨勢(shì).網(wǎng)絡(luò)安全不僅涉及技術(shù)和管理還涉及應(yīng)用等多方面的知識(shí),是一個(gè)綜合性課題.作為網(wǎng)絡(luò)管理員既需要長(zhǎng)期的知識(shí)與經(jīng)驗(yàn)的積累,也需要一系列的軟件和硬件工具,才能高效的診斷并快速處理網(wǎng)絡(luò)故障,恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行.

[1]羅森江.信息系統(tǒng)安全與對(duì)抗技術(shù)試驗(yàn)教程[M].北京:機(jī)械工業(yè)出版社,2004.

[2]陳志剛.計(jì)算機(jī)局域網(wǎng)與NOVELL實(shí)用教程[M].長(zhǎng)沙:中南工業(yè)大學(xué)出版社,1998.

[3]邱亮,孫亞剛.網(wǎng)絡(luò)安全工具及案例分析[M].北京:電子工業(yè)出版社,2004.

[4]王威偉,鄭雪峰.局域網(wǎng)中網(wǎng)絡(luò)監(jiān)聽(tīng)與防范技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì),2005,26(11):3056-3058.

[5]黃爍,王麗宏.基于廣域網(wǎng)的分布式遠(yuǎn)程監(jiān)測(cè)Sniffer系統(tǒng)[J].計(jì)算機(jī)工程,2005,31(11):147-149.

[6]孫帥,光華.反病毒查殺威金病毒全解析[J].電腦知識(shí)與技術(shù),2006(12):44-45.

[7]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2004.

[8]石光.網(wǎng)絡(luò)安全技術(shù)綜述[J].傳感器與微系統(tǒng),2007,26(9):1-3,6.

[9]王儉,劉淵.基于P2P應(yīng)用的校園網(wǎng)安全策略及防護(hù)技術(shù)[J].信息技術(shù),2006(7):56-57.

On the app lication of the protocol analysismethod in LAN fault analysis and maintenance

JIANG Hui-juan,GUO Yong-hong
(Computer Department,Dingxi Teachers College,Dingxi743000,Gansu,China)

Aiming at the importance of the faultmaintenance in LAN security,the paper put forward a kind of accurate,rapid positioning LAN faultmethod named protocol analysismethod.This paper adopts the method from the aspects of the whole network performance,computer virus,denial of service,MAC flood attacks, network bandwidth abuse,abnormal radio to analyze the LAN fault,and put forward the corresponding solving measures,and has achieved goodmaintenance effect,which improved the stability and security of the local area network.

LAN;protocol analysis;promiscuousmode;cyber attacks;capture traffic

TP393.1

:A

:1007-5348(2014)06-0020-04

(責(zé)任編輯:歐愷)

2014-03-28

姜惠娟(1979-),女,甘肅涇川人,定西師范高等?？茖W(xué)校計(jì)算機(jī)系講師,碩士,主要從事計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)方面的研究.