協議分析法在局域網故障分析與維護中的應用

姜惠娟,郭永紅

(定西師范高等專科學校計算機系,甘肅定西743000)

協議分析法在局域網故障分析與維護中的應用

姜惠娟,郭永紅

(定西師范高等專科學校計算機系,甘肅定西743000)

針對故障維護在局域網安全中的重要性,提出了一種能準確、快速定位并排除局域網故障的方法---協議分析法.通過該方法從網絡整體性能、計算機病毒、DoS、MAC泛洪攻擊、網絡帶寬濫用、異常廣播等方面分析局域網的故障并提出了相應的維護措施,實踐證明,該方法的應用提高了局域網的穩定性和安全性.

局域網;協議分析;混雜模式;網絡攻擊;捕獲流量

局域網以其簡單、實用、廉價同時又是Internet的一個重要組成部分被廣泛的應用.然而對于一個日趨龐大的局域網,網絡管理員如何及時、有效地掌握網絡的當前運行狀態,并對網絡故障做出準確、及時的分析與維護,對于整個網絡的正常運行具有至關重要的意義[1-2].在局域網的故障維護中使用協議分析法可以快速、準確地定位故障位置并排除故障.文章采用協議分析法,結合實踐經驗和網絡分析工具對局域網的故障分析與排障措施進行了闡述.

1 選取協議分析工具

采用協議分析法解決網絡故障可通過硬件和軟件兩種方式捕獲網絡數據包.例如:FLUKE、HPWAN/LAN式硬件分析儀等均屬于硬件工具,Sniffer Pro、The Ethereal Network Analyzer、WildPackets OmniPeek等屬于軟件工具,兩種方式都能完成數據監視分析、網絡故障檢測并形成日志文件.文章采用網絡數據包捕獲與分析軟件Sniffer Pro捕獲到達鏈路的數據包并進行測試[4],監視網絡狀態、網絡傳輸的信息及數據流向,從而解決網絡故障.由于局域網普遍存在共享性特征,因此在局域網中任意一臺PC上安裝網絡協議分析軟件,均可捕獲該網絡中的全部通信數據.但是這種方式在高流量的情況下,對被監控鏈路的正常工作影響很大.采用在交換機上配置鏡像的方式實現網絡數據包的捕獲,即通過把交換機某個端口的流量復制到另一個指定端口,再把指定端口接入協議分析系統,但是不管采用哪種方式捕獲數據包都需要將捕獲數據包的主機網卡設置為混雜模式[4].

2 Sniffer Pro工作原理及功能

Sniffer Pro是Network Associates公司的一款網管和應用故障診斷分析軟件.由于它強大的網絡故障分析與性能管理功能而被廣泛地應用.

2.1 Sniffer的工作原理

正常情況下,局域網中任意兩者之間通信時信息都會傳輸到其他所有的接口,但是在局域網中每個網絡接口都有一個具備唯一性的硬件地址,所以局域網中傳輸的信息最終只能被與信息中目標字段地址完全吻合的接口接收,其他接口無法接收.還有一種特殊情況就是當信息中的目標地址是該網段的廣播地址時,該信息將會被所有接口接收.而Sniffer實質上是一種能將網卡設為"混雜"模式的軟件.網卡一旦被設為"混雜"模式,網絡中傳輸的信息不管目標地址是誰,都能被該網卡接收.Sniffer能截獲到網絡上傳輸的所有數據并進行分析,從而確定網絡所處的狀態及整體性能.

2.2 Sniffer Pro軟件的功能

Sniffer Pro的主要功能有:

(1)網絡程序和網絡性能監控:監視應用程序以生成實時統計數據.

(2)分析網絡協議的功能:通過捕獲功能對通信協議進行實時Expert分析.

(3)基本信息功能:可以裝載復雜的過濾器,便于進行存儲和激活設置.

(4)事后捕獲功能:以顯示的翔實數據幀方便管理員使用多種視圖來深度分析幀. (5)借助流量生成工具可以生成幀或者發送測試數據.

圖5 （a）、（b）中，實線表示降水量偏多狀態，虛線表示降水量偏少狀態，系數為零表示降水變化的突變點。圖5（c）、（d）反映能量隨時間尺度的分布。

3 采用協議分析法分析與排除局域網故障

采用Sniffer Pro網絡協議分析軟件對局域網進行故障診斷、分析最后形成解決措施.將Sniffer Pro軟件安裝到一臺主機,并將該主機與關鍵交換機某一快速端口連接,設本端口為鏡像目的端口,主干網絡所連接的交換機端口設為鏡像源端口對網絡中的所有數據進行捕獲,實現協議分析的目的[5].

3.1 檢測與評估網絡性能

網絡性能下降表現為網絡延遲很大、TTL(Time To Live)返回時間很長、網絡利用率不高、錯包數量增加等,究其原因主要有線路損耗、網絡設備故障或配置不當等.

采用協議分析法可確定網絡是否發生故障,主要表現在3個方面. (1)通過分析網內不同地址和協議的響應時間便可確定故障原因. (2)利用協議分析軟件的ART功能發現網絡性能類故障.如:通過分析HTTP的平均響應時間與最大響應時間,可以判定網絡中是否有故障存在.

(3)通過協議分析軟件的Dashboard可隨時查看網絡的利用率、單位時間傳輸的數據包數量及出錯的數據包數量,也可為每項數據設置一個閥值.當Sniffer Pro軟件統計發現某一項數據超過閥值時,記錄數據并通過報警通知注意.通常交換式局域網的網絡的利用率上限值設在80%左右,一旦發現軟件顯示網絡利用率超過上限值則能確定網絡出現了某種問題,需要進一步查找問題的原因.

3.2 識別并處理各種計算機病毒

網絡是計算機病毒傳播的主要途徑,計算機病毒通常利用主機系統自身存在的安全性漏洞攻擊網絡或主機.例如:威金病毒利用445號網絡共享端口進行傳播,該病毒的特點是首先對網絡的存活主機與共享進行查找,即產生大量的Windows Internet Naming Server查詢[6].

采用協議分析法可確定網絡是否病毒感染,主要表現在幾個方面.

(1)分析并定位威金病毒.若發現網絡中存在異常數據,這些數據與正常工作狀態的數據有明顯的區別:即存在大量的WINS請求則說明網絡或主機中了威金病毒.

(3)分析和定位ARP攻擊.ARP攻擊的特點是網絡中存在大量的ARP廣播和發往網關的ARP回應.因此ARP協議數據捕獲后便可發現ARP攻擊的存在.

(4)基于UDP與ICMP等其他協議的計算機病毒也可通過協議分析技術判定其是否存在[7].

3.3 分析MAC泛洪攻擊

MAC泛洪攻擊的特點是在網絡中存在大量的沒有源MAC地址的數據包發往交換機,耗盡了交換機的MAC地址表,使發往交換機的單播數據幀沒有可以選擇的MAC地址,交換機通過將單播的數據幀發往所有端口以尋找可用的MAC地址,造成數據傳輸率下降、網絡擁塞.

采用協議分析技術,通過會話分析、數據包分析、統計MAC地址則很容易發現MAC攻擊的存在,并采取限定映射的MAC地址數量的方法便可有效解決MAC泛洪攻擊.

3.4 分析DoS&DDoS網絡攻擊

DoS&DDoS攻擊是對網絡可用性的攻擊,很難通過技術手段進行防范,此類攻擊已經成為目前最有威脅的網絡攻擊方式[9].DoS攻擊主要是針對計算機網絡的帶寬和對連通性進行攻擊.帶寬攻擊是通過大量的通信量沖擊網絡,耗盡網絡帶寬資源,最終導致合法的用戶的請求無法通過;而連通性攻擊則以大量的連接請求沖擊計算機,耗盡操作系統資源,最終造成計算機無法再處理合法用戶的請求.總之,無論是DoS攻擊還是DDoS攻擊,都會出現類似的現象:被攻擊的主機上有大量等待的TCP連接;網絡中存在大量無用的源地址為假的數據包,使網絡擁塞、受害主機無法正常與外界通訊等.

采用協議分析技術捕獲流量進行分析后定位是找到DoS&DDoS攻擊源頭的最好辦法,分析方法與病毒的分析方法相似,然后利用IPS(Intrusion Prevention System)技術加以防范.

3.5 分析網絡帶寬濫用

濫用網絡帶寬也會導致網絡性能下降、甚至無法實現正常業務,P2P下載軟件的隨意使用就是網絡帶寬濫用的常見形式[10].采用P2P軟件下載時占用的帶寬相當大,一般情況下對于有固定的協議和端口的P2P軟件,借助防火墻可以設置所占的帶寬,沒有固定協議和端口的P2P軟件在下載時所占的帶寬就很難控制.但所有網絡帶寬濫用都有一個特征,那就是局域網內部的一個主機與外網間建立了大量的連接,而且連接上的數據流量很大.

采用協議分析技術對局域網內部的每臺主機分別進行IP協議流量統計即可發現占用網絡帶寬較大的主機,從而發現P2P下載引發的流量異常,并對其進行警告、隔離處理.

3.6 分析異常廣播數據

如果網絡中存在數目龐大的廣播數據則會導致網絡吞吐量的大幅下降,甚至網絡癱瘓.廣播數據具有明顯的特征:目的物理地址為0xFFFFFFFFFFFF.另外由于鏈路故障造成的網絡環路廣播的特征是:目的地址是特定的地址而不是廣播地址,但在網絡中存在大量重復的數據包.

利用協議分析技術,通過分析網絡總體流量、鏈路利用率可以確定網絡流量的總體信息,然后通過分析數據鏈路層的會話流量、網絡層的會話便可確定大量發送廣播數據的主機及發送原因,從而采取相應的措施.

采用協議分析技術可以解決的局域網故障問題還有很多,如借助Sniffer Pro的解碼功能可以更深地分析網絡故障,如廣播量和網絡攻擊的存在;利用Sniffer Pro的History Samples功能可產生統計圖表與記錄數據,建立基準以供參考;利用Sniffer Pro的Protocol Distribution可生產網絡協議使用統計表,對分析故障出現的原因很有幫助.總之,局域網中的眾多安全問題均可通過協議分析技術進行定位并解決.不過要強調的是:為了使局域網的故障定位和解決更加有效,需要對局域網正常工作時的狀態先采用協議分析技術進行統計并建立基準,這樣在懷疑網絡出現問題時通過協議分析技術捕獲流量,并將其與基準對比分析便可準確定位故障的原因并有效解決.

4 結語

由于網絡協議和網絡設備的復雜性,網絡故障的定位和排除不像解決單機故障那么簡單,單純的維護網絡關鍵設備并不能找到理想的網絡安全策略.實踐證明,絕大部分的網絡故障源頭是主機,如:計算機病毒、網絡攻擊等,因此應該通過對網絡設置主機的準入控制及監控,并通過客戶端安裝軟件對網絡的訪問進行驗證、審計與監控,這將是未來網絡安全技術手段的發展趨勢.網絡安全不僅涉及技術和管理還涉及應用等多方面的知識,是一個綜合性課題.作為網絡管理員既需要長期的知識與經驗的積累,也需要一系列的軟件和硬件工具,才能高效的診斷并快速處理網絡故障,恢復網絡的正常運行.

[1]羅森江.信息系統安全與對抗技術試驗教程[M].北京:機械工業出版社,2004.

[2]陳志剛.計算機局域網與NOVELL實用教程[M].長沙:中南工業大學出版社,1998.

[3]邱亮,孫亞剛.網絡安全工具及案例分析[M].北京:電子工業出版社,2004.

[4]王威偉,鄭雪峰.局域網中網絡監聽與防范技術[J].計算機工程與設計,2005,26(11):3056-3058.

[5]黃爍,王麗宏.基于廣域網的分布式遠程監測Sniffer系統[J].計算機工程,2005,31(11):147-149.

[6]孫帥,光華.反病毒查殺威金病毒全解析[J].電腦知識與技術,2006(12):44-45.

[7]謝希仁.計算機網絡[M].北京:電子工業出版社,2004.

[8]石光.網絡安全技術綜述[J].傳感器與微系統,2007,26(9):1-3,6.

[9]王儉,劉淵.基于P2P應用的校園網安全策略及防護技術[J].信息技術,2006(7):56-57.

On the app lication of the protocol analysismethod in LAN fault analysis and maintenance

JIANG Hui-juan,GUO Yong-hong
(Computer Department,Dingxi Teachers College,Dingxi743000,Gansu,China)

Aiming at the importance of the faultmaintenance in LAN security,the paper put forward a kind of accurate,rapid positioning LAN faultmethod named protocol analysismethod.This paper adopts the method from the aspects of the whole network performance,computer virus,denial of service,MAC flood attacks, network bandwidth abuse,abnormal radio to analyze the LAN fault,and put forward the corresponding solving measures,and has achieved goodmaintenance effect,which improved the stability and security of the local area network.

LAN;protocol analysis;promiscuousmode;cyber attacks;capture traffic

TP393.1

:A

:1007-5348(2014)06-0020-04

(責任編輯:歐愷)

2014-03-28

姜惠娟(1979-),女,甘肅涇川人,定西師范高等專科學校計算機系講師,碩士,主要從事計算機網絡技術方面的研究.