(2)网络安全管理的现状
近来,网络上数据流量的急剧增长,使传输平台转向宽带化、数字化、综合化的趋势发展。非法访问、恶意攻击等安全问题不断威胁网络的正常运行,网络安全的管理成为各国建网的重要关注方向。随着互联网安全研究的发展,防火墙等网络安全防御工具已经渐渐普及。如今,网络安全最重要的就是通过计算机网络技术和相关工具对网络环境进行监测和分析,得到网络环境的相关性能,以判断当前网络是否处于安全状态,并对存在安全隐患的网络进行警报、跟踪和隐患解除。随着国外不断推出流量监控等网络安全相关的软件应用于公司管理,国内的网管水平也逐渐提升,但是互联网的环境在不断地发生着变化,网络管理的建设想要跟上网络的发展步伐,还有许多需要改进的地方。
(3)网络流量监控的引入
流量监控主要目的是对网络中的数据流量信息进行实时采集和统计,分析当前网络的流量特性和相关性能,根据性能指标来判断当前的网络状况,并采取相应的措施,提高网络的使用效率和安全性。
由网络监控的意义出发,可以发现,网络流量监控主要有以下特点:1)可以对捕获的数据包进行内容分析,得到数据包传输的协议类型,可以识别出相应的网络协议并进行过滤和拦截,合理分配带宽;(2)分辨出不同的网络协议,进而分析出数据包协议所对应的TCP/IP的网络会话层,由此得到相应的端口、子网等信息,对网络流量实施分层分级监控;(3) 可以根据具体的网络负载情况拦截无用的数据包,保证重要的应用得到可靠稳定的带宽;(4)通过对网络流量的整体监控,分析当前网络是否存在安全隐患。
通过上面对网络流量监控的描述,我们可以发现流量监控的一些功能:(1)实时监听网络流量,过滤无用流量,从而提高处理器效率(2)帮助管理员进行网络状态优化;(3)保障关键应用的稳定运行,不被无用应用占据带宽;(6)便于发现网络故障和入侵问题,提供警报功能,第一时间发现并解决网络问题。
总之,搭建一个可靠有效的网络管理系统,捕获数据包进行流量的采集是实现系统各项功能的基础。数据包的捕获在一定程度上可以帮助网络管理员分析并发现网络中出现的一些问题,及时让管理员提出解决相应网络问题的方法与方案,从而减少网络安全和网络流量问题带来的不必要的损失。
1.2 数据包监听原理
网络监听,就是通过监听技术对网络流量、网络状态、网络安全问题进行分析的网络工具。它可以在监听模式下通过对截获的数据包进行分析来监测出当前网络的实时状态,帮助网络管理员发现并解决相关问题。
在共享网络中,所有信息的传播方式都是广播。也就是说在共享网段的所有主机接口都能够访问同时也能够接受到物理媒体的全部数据流,并用ARP和RARP协议进行相互转换。通常来讲,一个网络接口能够响应的数据帧包括两种:一种是共享网络内广播的数据帧,另一种是与自己MAC地址相匹配的数据帧。在可靠的实用系统中,由网卡完成数据的发送和接收。每个以太网卡的网络地址都是由48位的二进制数构成,该网络地址是全球唯一的。在每个以太网卡内都有一个数据包的过滤器,用来保留共享子网内的广播信息和与自己MAC地址匹配的数据信息,从而过滤掉其他无用的数据包,提高CPU的处理效率。这就是以太网卡的日常工作方式,即“单一模式”。也就是说,在这种方式下,以太网只会保留有用的数据包并将其向上传递,进行进一步的分析和处理。实际上,为了实现网络流量监控的目的,我们会通过编程禁用网卡的数据报过滤器。实现过滤器禁用后,我们将会接收到网络内所有的数据报,即包括一部分本应该被过滤掉的无用的数据报,并将所有的数据报向上传递进行分析,从而监听以太网中其他计算机之间的通信,这就是以太网卡的“混杂模式”,大部分的以太网卡都可以启用“混杂模式”。“混杂模式”可以帮助网络管理对当前的网络状态进行监听,实时观察网络中的流量信息,在网络出现异常时可以在第一时间发现并解决问题。然而,这样一来,普通的网络用户也可以通过过滤器禁用的方式监听到他人的网络信息,这对用户的数据安全造成了很大的威胁。 JPcap网络流量监控的设计与实现(2):http://www.751com.cn/jisuanji/lunwen_26459.html