鐘 波，張玉成，姜繼祥

（牡丹江市氣象局，黑龍江 牡丹江 157000）

1 引言

隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展，各政府部門和企事業(yè)單位都通過網(wǎng)絡(luò)進(jìn)行大量信息查詢、郵件收發(fā)、數(shù)據(jù)共享等各種辦公操作。網(wǎng)絡(luò)的飛速發(fā)展給用戶帶來了便利的同時也對網(wǎng)絡(luò)管理提出了嚴(yán)峻的挑戰(zhàn)。局域網(wǎng)內(nèi)部以及局域網(wǎng)與互聯(lián)網(wǎng)之間過多的數(shù)據(jù)通信使網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在負(fù)載、工作效率以及安全性方面都承受著巨大的壓力，網(wǎng)絡(luò)時斷時續(xù)、速度慢、交換機無規(guī)律的堵塞、死機，網(wǎng)絡(luò)遭受攻擊卻無法定位攻擊源等故障一直制約著網(wǎng)絡(luò)的正常運行。在這種情況下，管理人員必須對網(wǎng)絡(luò)的流量占用、協(xié)議分布、通訊連接、數(shù)據(jù)包原始內(nèi)容以及整個網(wǎng)絡(luò)的運行情況了如指掌，才能快速準(zhǔn)確地定位故障點并將其排除。而牡丹江局開發(fā)的網(wǎng)絡(luò)分析報警系統(tǒng)能直觀的發(fā)現(xiàn)問題，快速有效的排除故障。

2 網(wǎng)絡(luò)布局概況

牡丹江氣象局局內(nèi)網(wǎng)絡(luò)由網(wǎng)通2 M專線提供，寬帶作為輔助連接Internet的網(wǎng)絡(luò)。每個樓層的PC機連接在一個交換機上，這樣方便判斷故障的具體位置。

3 局域網(wǎng)的安全風(fēng)險

局域網(wǎng)是一個通信系統(tǒng)，它允許很多彼此獨立的計算機在適當(dāng)?shù)膮^(qū)域內(nèi)以適當(dāng)?shù)膫鬏斔俾手苯舆M(jìn)行溝通。它是將分散的多臺計算機通過傳輸媒體連接起來的通信網(wǎng)絡(luò)，通過功能完善的網(wǎng)絡(luò)軟件，實現(xiàn)計算機間的相互通信和共享資源。

3.1 物理安全風(fēng)險分析

網(wǎng)絡(luò)的物理安全主要包括地震、水災(zāi)、火災(zāi)等環(huán)境事故、電源故障、人為操作失誤、設(shè)備損毀、電磁干擾等。要避免這些安全隱患的發(fā)生，需要網(wǎng)絡(luò)管理員制定健全的安全管理制度，加強安全意識，做好備份，并加強設(shè)備管理。

3.2 網(wǎng)絡(luò)平臺的安全風(fēng)險分析

局域網(wǎng)內(nèi)的多臺計算機，都可以訪問同一臺專用的計算機（即內(nèi)網(wǎng)服務(wù)器），同時，也可以上傳資料到這臺服務(wù)器。信息數(shù)據(jù)的安全性，機密信息的泄露，病毒程序的傳播等會直接危害到整個局域網(wǎng)的安全[1]。

4 網(wǎng)絡(luò)故障分析報警系統(tǒng)的工作原理

4.1 硬件要求

網(wǎng)絡(luò)分析系統(tǒng)安裝在專用的服務(wù)器上，服務(wù)器的配置如下：

4.2 工作原理

在以太網(wǎng)中，所有通訊都是以廣播方式完成，即任何主機發(fā)出的任意數(shù)據(jù)包，都會到達(dá)同一個網(wǎng)段內(nèi)的所有機器。每一個網(wǎng)絡(luò)接口都有一個唯一的硬件地址，即MAC地址。在正常情況下，一個網(wǎng)絡(luò)接口只能響應(yīng)兩種數(shù)據(jù)包，與自己MAC地址相匹配的數(shù)據(jù)包和發(fā)向所有機器的廣播數(shù)據(jù)包。在實際工作中，數(shù)據(jù)的收發(fā)一般都是由網(wǎng)卡完成的，網(wǎng)卡的工作模式有四種：廣播、組播、直接、混雜[2]。

首先網(wǎng)絡(luò)分析系統(tǒng)把安裝該系統(tǒng)的計算機的網(wǎng)卡設(shè)置為混雜模式，使其通過嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，再將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行分析，這樣就能發(fā)現(xiàn)故障的問題所在。

4.3 網(wǎng)絡(luò)分析系統(tǒng)應(yīng)具備的功能

分析網(wǎng)絡(luò)中的流量占用情況；分析內(nèi)部網(wǎng)絡(luò)和出口帶寬的利用率情況；分析網(wǎng)絡(luò)中特定主機的數(shù)據(jù)通訊；分析網(wǎng)絡(luò)中的異常數(shù)據(jù)通訊；分析網(wǎng)絡(luò)中的偽造 IP和MAC地址攻擊；分析網(wǎng)絡(luò)中的 TCP通信；分析網(wǎng)絡(luò)中的郵件收發(fā)是否正常等。其中最主要的是流量分析和協(xié)議分析，流量過大的主機被視為重要的檢測對象，通過得出當(dāng)前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即當(dāng)前網(wǎng)絡(luò)中占用流量最多的服務(wù)類型，幫助網(wǎng)絡(luò)管理技術(shù)人員排查網(wǎng)絡(luò)速度慢、郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)時斷時續(xù)以及終端無法上網(wǎng)等故障。

4.4 關(guān)鍵技術(shù)

4.4.1 數(shù)據(jù)采集

數(shù)據(jù)采集工作在數(shù)據(jù)鏈路層進(jìn)行，通過此操作能夠獲得網(wǎng)絡(luò)中底層的以太網(wǎng)數(shù)據(jù)包。數(shù)據(jù)采集有3種方式。

（1）在 windows平臺安裝 NDISProtocol Driver（網(wǎng)絡(luò)驅(qū)動接口規(guī)范協(xié)議驅(qū)動），通過安裝協(xié)議驅(qū)動采集從網(wǎng)卡傳送過來的數(shù)據(jù)包；（2）在windows平臺安裝NDIS intermediate driver（網(wǎng)絡(luò)驅(qū)動接口規(guī)范中間驅(qū)動），通過安裝的中間層驅(qū)動采集從網(wǎng)卡傳送過來的數(shù)據(jù)包；（3）在windows平臺安裝TDI driver（接口層驅(qū)動），通過此驅(qū)動系統(tǒng)可采集不經(jīng)過網(wǎng)卡的本地環(huán)回數(shù)據(jù)包。

4.4.2 數(shù)據(jù)分析

將采集到的數(shù)據(jù)進(jìn)行過濾，并進(jìn)行統(tǒng)計、檢測、解碼、TCP數(shù)據(jù)流重組、協(xié)議分析等。

4.4.3 數(shù)據(jù)輸出

網(wǎng)絡(luò)故障分析報警系統(tǒng)最后將分析好的數(shù)據(jù)結(jié)果以表格、圖表，或日志的形式輸出給用戶，便于快速找出問題所在。

5 小結(jié)

網(wǎng)絡(luò)中的數(shù)據(jù)傳輸是不透明的、抽象的，在不借助工具的情況下，很難達(dá)到上述要求。所以，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)故障必將日益復(fù)雜，網(wǎng)絡(luò)攻擊事件也會不斷增加。因此，保障整個網(wǎng)絡(luò)的持續(xù)可靠和安全運行將變得至關(guān)重要。

[1]張衛(wèi)華.企業(yè)局域網(wǎng)安全風(fēng)險分析[J].計算機安全，2010(12).

[2]張建，周全.最新計算機網(wǎng)絡(luò)培訓(xùn)教程[M].重慶：重慶出版社，2000.