单元4 网络安全状况监测与诊断

单元4 网络安全状况监测与诊断 [单元学习目标] 知识目标1．了解协议分析软件的工作原理 2．了解网卡混杂模式的原理 3．掌握协议分析软件部
署的方法 4．了解交换机端口镜像的原理 5．掌握交换机端口镜像的配置方法 6．掌握协议分析软件安装的方法 7．掌握协议分析软件捕获
数据包并分析的方法 8．掌握协议分析软件检测网络故障的方法 [单元学习目标] 能力目标1．具备安装协议分析软件的能力 2．具备设置
交换机端口镜像的方法 3．具备根据网络实际情况部署协议分析软件的能力 4．具备使用协议分析软件捕获数据包并分析的能力 5．具备使用
协议分析软件检测网络故障的能力 情感态度价值观1．培养认真细致的工作态度 2．逐步形成网络安全的主动防御意识[单元学习内容]随着
网络的发展、技术的进步，网络安全面临的挑战也在增大。今天的网络相对以往任何时候都要复杂和重要，网络的成熟度较以往相比也有质的提高。
随着ERP、MIS、电子商务等关键系统的广泛应用，网络承载的内容也越来越重要，数据、声音、图像也越来越复杂。网络及应用系统被要求随
时有效，以便复杂的应用系统能够正常工作。网络监测的主要内容就在于通过捕捉网络中的数据包，进行分析、解码，综合分析诊断网络中存在的故
障、安全以及性能等各方面的问题，网络监测在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用，一直备受管理员的青
睐。任务1 科来网络分析软件的获取与安装【任务分析】了解什么是网络分析软件及科来网络分析软件的下载安装方式。【任务实战】步骤1
了解什么是协议分析软件。协议分析软件，可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息。简
单一点解释：一部电话的窃听装置，可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。但是
，计算机直接所传送的数据，事实上是大量的二进制数据。因此，一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必
须能够识别出哪个协议对应于这个数据片断，只有这样才能够进行正确的解码。任务1 科来网络分析软件的获取与安装步骤2 科来分析系统
的获得。输入网址http://www.colasoft.com.cn/download/capsa.php，进入科来公司的官方网站
即可下载到最新的免费技术交流版。任务1 科来网络分析软件的获取与安装步骤3 产品授权号申请。 输入网址http://www.c
olasoft.com.cn/download/，单击申请授权号。授权号的流程是接受协议许可→填写个人信息→发送授权信息，那么授权
信息将会发送到你注册的邮箱中。注意在注册的过程中不能使用新浪的邮箱。任务1 科来网络分析软件的获取与安装步骤4 科来软件的安装
。双击下载的安装程序包csnas_tech_7.5.1.2732.exe，进入程序安装向导，和普通软件并没有太大差异，但是在安装过
程中有几个地方需要注意。① 在安装的过程中会提示组件的安装，可选择的 组件包括MAC地址扫描器、Ping工具、数据包播 放器、数据
包生成器，这4款小工具无论是对于学 习网络技术还是工作都非常有帮助，建议全部选 择安装。任务1 科来网络分析软件的获取与安装②
完成安装后，弹出“产品激活向导”页面，这时要打开科来发送的产品授权邮件，填写授权信息，填写完授权信息后，选择“在线激活”，然后单击
“下一步”按钮，软件自动连接远程的激活服务器进行激活。信息核对正确后就完成了激活。软件就可以使用了。任务2 科来网络分析软件的部
署与使用【任务描述】下午4点，你正坐在书桌旁。你正在努力工作着，试图找出过去8个小时中，你公司的文件服务器性能突然下降的原因。在你
公司的200名用户中，有将近100人已经打电话到公司投诉，抱怨连接速度太慢，总是处于等待状态。你现在压力很大，你检查了系统控制器、
CPU使用率和缓存，确定它们都在正常工作范围内。你甚至还更新并注册了查毒程序，然后运行，以确保没有病毒。但是问题仍然没有解决。你现
在只得求助于所有你一年前收起来的参考书。你拂去书上的灰尘，开始了苦读，准备用整夜的时间来找出问题的所在。任务2 科来网络分析软件
的部署与使用【任务分析】如果能够很容易找到问题所在就好了，就像打开台式机，运行一个应用程序来检查你的服务器与端口的连接。但是如果根
据分析的结果，你发现可能是因为网卡太旧、设备振动或者错误操作所产生的问题，那么究竟是哪个因素影响了网络的连接呢？你甚至会惊讶地发现
在你的内部网上，有些人“可能”正在向你的服务器发送“死亡之Ping”（Ping of Death），或者进行其他类型的拒绝式服务（
Denial of Service，DoS）攻击。你怎样才能指出这些问题呢？非常简单，使用网络分析系统，这些就都可以实现了。任务2
科来网络分析软件的部署与使用【任务实战】步骤1 在网络中正确部署科来网络分析系统。 科来网络分析系统可以进行内网以及内网与外
网的数据检测分析，甚至可以跨VLAN进行数据监测。只要安装在一台管理机器上即可，不用安装到局域网的每台机器。管理人员可以根据需要来
决定网络的安装位置。安装的位置不同，捕获到的网络数据也差异很大。一般协议分析软件的部署都有3种方式：共享网络的部署、交换网络（交换
机具有端口镜像功能）的部署、交换网络（交换机不具有端口镜像功能）。（1）共享网络的部署。 使用集线器（Hub）作为网络中心交换设备
的网络即为共享网络。集线器（Hub）是以共享模式工作在OSI层次的物理层。如果局域网的中心交换设备是集线器（Hub），可将科来网络
分析系统安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通信。任务2 科来网络分析软件的部署与使用
（2）交换网络（交换机具有端口镜像功能）的部署。使用交换机（Switch）作为网络的中心交换设备的网络即为交换网络。交换机是（Sw
itch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多
数三层或三层以上交换机，以及一部分二层交换机都具备端口镜像功能，当网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换
机镜像端口），再将科来网络分析系统安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个网络中所有的数据通信。任务2
科来网络分析软件的部署与使用（3）交换网络（交换机不具有端口镜像功能）。一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网
络的监控分析。如果中心交换或网段的交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。使用网络分
接器（Tap）：使用Tap时，成本较高，需要安装双网卡，并且管理机器不能上网，如果要上网，需要再安装另外的网卡。 使用集线器（Hu
b）：Hub成本低，但网络流量大时，性能不高，Tap即使在网络流量大时，也不会对网络性能造成任何影响。由于齐威公司的交换机具备端口
镜像功能，因此我们采用第二种部署方式。任务2 科来网络分析软件的部署与使用步骤2 配置交换机端口镜像（以神州数码3950交换机
为例）。（1）创建交换机的镜像源端口。命令：monitor session [session] source interface
[interface-list] {rx| tx| both}。参数：[session]为镜像session 值，目前仅支持1；[
interface-list]为镜像源端口列表，支持“，”及“-”等特殊字符；rx 为镜像源端口接收的流量；tx 为镜像从源端口发
出的流量；both为镜像源端口入和出的流量。命令模式：全局配置模式。使用指南：本命令设置镜像的源端口，DCS-3950交换机对镜像
源端口没有限制，可以是一个端口，也可以是多个端口，不仅能镜像源端口的出、入流量，还能单独镜像源端口的发出流量、接收流量。任务2
科来网络分析软件的部署与使用（2）创建交换机的目的端口。命令： monitor session [session] destina
tion interface [interface-number] 参数：[session]为镜像session 值，目前仅支持1
；[interface-number]为镜像目的端口。 命令模式：全局配置模式。 使用指南：DCS-3950 交换机目前仅支持一个
镜像目标端口。需要注意的是，作为镜像目标端口不能是端口聚合组的成员，并且端口吞吐量最好不小于它所镜像的所有源端口的吞吐量的总和。（
3）此次工作创建端口镜像源端口和目的端口的命令如下： DCS-3950（config）#Monitor session 1 sou
rce interface Ethernet 0/0/1-23 both DCS-3950（config）#Monitor ses
sion 1 source interface Ethernet 0/0/24 上述这两条命令的意思就是把端口1～23流入和流出的
数据复制一份给端口24，这样连接在端口24上的科来分析系统就可以监测端口1～23的所有数据了。任务2 科来网络分析软件的部署与使
用步骤3 启动科来进行网络流量捕获。（1）开始进行捕获。单击科来的桌面快捷图标或者“开始”菜单中的程序就启动了科来。科来的启动界
面非常友好，便于设置。首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。选择分析方案，科来分析系统不仅可以进行协议分析，
并且支持更多的应用分析，系统默认选择的是“全面分析”。任务2 科来网络分析软件的部署与使用右侧的栏目可以设置过滤器，设定过滤器只
是改变采集数据范围的重要手段。如果没有设置过滤器，将采集所有的数据。通过设置过滤器，可以只捕获所需的特定数据包，把关注的数据分离出
来，过滤掉其他不需要的数据，从而提高抓包和分析的效率。任务2 科来网络分析软件的部署与使用（2）网络监测。科来网络分析系统能够时
刻监视网络统计、网络上资源的利用率，并能够监视网络流量的异常状况。① 功能区。科来网络分析系统的功能区可以进行软件的所有设置，包括
选择网络适配器、过滤器、开始和停止捕获数据按钮、网络档案、分析方案设置。还有两个实时监测网络利用率和每秒钟数据包的仪表盘面板。任务
2 科来网络分析软件的部署与使用② 主视图区。系统所有分析、诊断及统计数据均在主视图区显示，主视图区包括概要统计视图、诊断统计视
图、协议统计视图、会话统计视图、矩阵视图及数据包解码视图。选择相应的视图标签，可以查看相应的网络分析数据。这里重点使用诊断统计视图
、协议统计视图、概要统计视图及数据包解码视图，其他视图的使用参考科来网络分析系统用户手册。概要统计视图对网络流量及常见网络应用进行
详细的统计显示。任务2 科来网络分析软件的部署与使用科来网络分析系统2010提供了全新的诊断视图布局，分为诊断分层、诊断发生地址
以及诊断事件3个分隔子窗口，可以非常方便和直观地查看到当前网络中发生的网络事件。诊断模块同样严格遵循OSI模型对网络事件进行分层显
示，目前产品支持4个层次的故障诊断：应用层、传输层、网络层、数据链路层。 诊断视图中，可以了解到以下信息： √ 每条诊断的参考信息
，提供该诊断的描 述、存在原因与解决方法。 √ 每个诊断信息提供关联的Top N主机排 行显示。可直观看到每个诊断事件是由哪 些主
机触发。 √ 与主机关联的诊断事件日志，帮助更迅 速地发现问题主机。 √ 与事件相关的数据包挖掘，可以双击某 条诊断日志，弹出与该
日志相关的数据包 通信，快速分析问题。任务2 科来网络分析软件的部署与使用协议视图提供全局的协议统计，遵循OSI七层协议分析，根
据实际的网络协议封装顺序，不同的协议赋予不同的色彩，层次化地展现给用户，并且能够单独统计每一个层次下所使用的协议，方便用户查看。协
议视图下方提供了物理端点与IP端点子视图，选择某个协议后，在子视图中会显示使用该协议的物理地址或IP地址的端点流量统计。通过协议视
图对各协议占用流量及百分比的统计，可以得出当前网络中占用流量最多的协议，即当前 网络中占用流量最多的服务类 型；并帮助排查网络速度
慢、 邮件蠕虫病毒攻击、网络时断 时续以及用户无法上网等网络 故障。任务2 科来网络分析软件的部署与使用在数据包视图中，可以详细
查看网络中原始的数据包通信情况，系统对每个数据包进行详细分析，包括概要解码、字段解码、十六进制解码。科来网络分析系统2010提供实
时捕捉、实时解码功能，对捕获到的每个数据包进行实时分析和解码，帮助快速分析网络通信。任务2 科来网络分析软件的部署与使用③ 捕获
数据的保存及回放。虽然科来具有强大的诊断和分析系统，但是当网络状况较为复杂的时候，如果根据各种视图无法判断故障怎么办？我们可以借助
科来的数据包保存功能，把它保存下来，然后把它发给可以求助的专家。单击“停止”按钮，停止捕获数据。单击 左上角圆形按钮选择“导出数据
包”，选 择要保存的位置，导出的数据包的扩展名 为cscpkt。任务2 科来网络分析软件的部署与使用保存的数据包就像病人的电子病
历一样，如果想再次进行分析，可以使用科来的回放分析功能，启动科来切换到“回放分析”，单击“添加”按钮就可以把以前保存的数据包文件导
入进来。任务2 科来网络分析软件的部署与使用【任务拓展】一、理论题1．什么是网络协议分析软件？ 2．网络协议分析软件的作用是什么
？ 3．如何部署科来网络分析系统？4．如何使用科来网络分析系统捕获数据？二、实训利用具有网管功能的交换机，连接3台主机，一台安装科
来网络分析系统，另外两台之间用ping测试连通性，尝试用科来捕获数据包并保存数据包，并给大家说说捕获的数据包的含义。任务3 FT
P服务器的漏洞分析与防御【任务描述】 小齐最近阅读杂志的时候看到一篇技术文章谈到，普通的FTP服务器是不安全的，普通用户在登录FT
P服务器和传输数据的时候，数据是以明文的形式在网上传递的，如果利用协议分析软件就可以捕获数据获得用户名、密码。真的是这样吗？小齐想
亲自尝试一下。【任务分析】 首先要搭建一个模拟环境，配置FTP服务器，并在交换机上配置镜像端口，启动科来捕获数据，并让客户端登录F
TP服务器，分析捕获的数据，看看是否能分析出用户名和密码。【任务准备】 3台主机，一台运行FTP服务器，一台普通客户机用来登录FT
P服务器，另外一台运行科来网络分析系统。任务3 FTP服务器的漏洞分析与防御【任务实战】步骤1 搭建任务实施环境。 FTP服务
器连接交换机端口1、普通客户端连接端口2、运行科来网络分析系统的主机连接交换机端口24，如图4-21所示。步骤2 配置FTP服务
器。 关于FTP服务器的搭建，使用Windows的组件IIS6.0即可，关于IIS6.0配置FTP服务器可以参考网络教程。本实例设
置的用户名为tutu，密码为2011。步骤3 设置交换机的端口镜像（以神州数码3950交换机为例）。 进入交换机的全局模式，输入
命令如下： DCS-3950（config）#Monitor session 1 source interface Etherne
t 0/0/1-2 both DCS-3950（config）#Monitor session 1 source interfac
e Ethernet 0/0/24任务3 FTP服务器的漏洞分析与防御步骤4 运行科来网络分析系统。启动科来网络分析系统，选择
要捕获的网络适配器，并设置过滤器只过滤FTP协议的数据，其他项选择默认设置，并开始捕获数据。步骤5 客户端登录FTP服务器。用建
立好的用户名tutu 和密码2011，登录FTP服务器。任务3 FTP服务器的漏洞分析与防御步骤6 查看科来的捕获结果。因为要
分析FTP明文传递的数据，因此要 接触数据包视图，单击数据包视图，会看 到如图所示的分析结果，科来对数据包进 行了解码。我们发现科
来对序号为53～55的数据包做了概要分析，不难看出是192.168.1.101～192.168.1.21的三次握手建立连接的过程。
三次握手后才是真正的FTP连接要传送的用户名和密码，序号为57的数据包概要提示“USER tutu”，即登录的用户名为tutu，序
号为59的数据包概要提示“PASS 2011”，即登录的密码为2011。任务4 科来网络分析软件检测网络故障【任务描述】公司的很
多员工打电话给小齐，说最近网络有问题，上网速度非常缓慢，而且有的时候根本上不了网。【任务分析】员工反应问题后，小齐首先联系了互联网
供应商，而他们近期并没有维护网络，因此排除了外因，紧接着又检查了一下网关及代理服务器，一切都运行正常。经过分析认为，网络中可能有A
RP攻击或者蠕虫病毒、主机使用P2P软件等。【任务准备】3台PC组成模拟网络环境，IP地址配置所示（也可以自行规划），一台安装运行
长角牛网络监控机，一台安装科来网络分析系统。任务4 科来网络分析软件检测网络故障【任务实战】步骤1 进行ARP攻击。 安装并运
行长角牛网络监控机（关于长角牛网络监控机的安装使用参看本书单元 2的相关内容），对192.168.1.1和192.168.1.3进
行权限设置，断开这两台主机的所有连接，这个时候客户端已经不能通信。步骤2 配置交换机端口镜像（本例使用神州数码3950交换机）。
进入交换机的全局模式，输入命令如下： DCS-3950（config）#Monitor session 1 source int
erface Ethernet 0/0/1-2 both DCS-3950（config）#Monitor session 1 s
ource interface Ethernet 0/0/24任务4 科来网络分析软件检测网络故障步骤3 启动科来网络分析系统
。启动时注意选择一下网卡，而过滤器不用做任何的筛选，因为现在还无法判断到底是什么网络故障。步骤4 查看科来主视图区判断网络故障。
（1）查看诊断视图。诊断视图是无论诊断 任何故障首先应该看的，可以快速地给出一 个大概的判断。从系统提示给出的诊断来看， 主要是数
据链路层的问题，主要有ARP格式 违规、ARP请求风暴、ARP太多的主动应答。任务4 科来网络分析软件检测网络故障（2）查看协议
视图。依据诊断视图给出的数据链路层的问题，重点查看协议视图的ARP协议情况。协议视图给出了网络中ARP 数据包的情况。这里需要特别
注意ARP Request（ARP请求）和ARP Response（ARP回应）两种数据包的个数，一般情况下，ARP请求和ARP回
应的个数比例大致为1∶1，如果差别较大，就表示网络中很可能存在ARP 攻击。图中的ARP Request数据包仅有4191个，而A
RP Response数据包却有26 470个，通过这样的数据比较，就可以推测网络中可能存在ARP攻击。任务4 科来网络分析软件
检测网络故障（3）查看矩阵视图。矩阵视图能够直观地反应网络中主机之间的通信。矩阵视图左侧可以选择是物理会话还是IP会话，根据前面视
图的提示重点关注的是数据链路层，因此选择物理会话即可。单击矩阵视图中的每一个节点（主机）查看发送和接收数据包的数量，通过查看发现M
AC地址为00:0C:29:EB:60:B2的这台主机发送了大量的数据包，却只接收了少量的数据包。这就是那台问题主机。它到底发送了
什么数据包呢？我们再看数据包视图。任务4 科来网络分析软件检测网络故障（4）查看数据包视图。通过查看数据包视图，发现数据包视图中
MAC地址为00:0C:29:EB:60:B2的主机不停的向不同的MAC地址发送ARP的回应包，从第三个数据包和第五个数据包来看，
包内的内容都是192.168.1.1的MAC地址是什么，但是两个数据包的结果却不一样。这是非常典型的ARP欺骗，单击其中一个数据包
查看数据包内的具体内容。任务4 科来网络分析软件检测网络故障以太网的源地址和ARP中的源物理地址不同，而这是发给192.168.1.1的回应包，告诉它 192.168.1.3的一个错误的MAC地址对应关系。由此确定了网络中的故障是由MAC地址为00: 0C:29:EB:60:B2的主机进行的ARP攻击引起的。步骤5 排除网络故障。 已经确定了进行ARP攻击的主机的MAC地址，但是如何判断这台主机连接到交换机的哪个端口上、如何把它断掉呢？以神州数码3950交换机为例，可以使用show mac-address-table命令查看端口和MAC地址的对应关系，发现ARP攻击的MAC地址，然后使用shutdown命令把端口关闭就可以排除网络故障了。任务4 科来网络分析软件检测网络故障【任务拓展】一、理论题 1．为什么要进行端口镜像？ 2．如何使用科来网络分析系统中的过滤器？ 3．简述科来网络分析系统中各种视图的作用。二、实训 1．使用科来网络分析系统获取FTP服务器账号和密码。 2．使用科来网络分析系统获取Telnet服务器账号和密码。 3．搜索一款ARP攻击软件模拟攻击，使用科来网络分析系统判断攻击类型并定位攻击。 4．搜索一款DDoS攻击软件模拟攻击，使用科来网络分析系统判断攻击类型并定位攻击。 5．上网下载Sniffer Pro协议分析软件安装并使用，和大家分享你的使用感受。