零成本搭建校园嗅探系统

企业应用

征途

笔者一直负责教育城域网络的管理与维护,至今已经有近10年了。对于学校特别是中小学内部校园网来说,病毒、流量异常等问题时常困扰着学校的网管教师。但是由于经费少、行政制度复杂等多方面的原因,并不是每个学校都能够采购专业的流量管理与控制设备的。那么是否有办法花尽可能少的钱,最大程度地监控校园内网的各种应用与日常通信呢?答案是肯定的,今天笔者就为大家介绍一个零成本搭建校园嗅探系统的方案。

●系统选择

一般来说,学校内部网络的问题主要表现在两大方面:一个是病毒扩散与传播,即学校内部某一台或某几台计算机感染了蠕虫病毒或木马,这些感染病毒的主机会不停地向学校网络发送大量广播及组播数据包,这一方面会影响其他机器上网,另一方面也大大增加了网络设备的负载,造成学校网络缓慢甚至瘫痪;另外一个问题则是基于应用的,一些教师频繁登录聊天工具或SNS类网站,反复使用对带宽占用较大的P2P网络工具,从而影响教学并造成内部网络带宽“吃紧”。

对于以上两个主要问题,我们可以通过三种方式来解决:第一,可以通过购买专业流量管控设备对校园内网进行管理和限速;第二,选择免费流控工具如Panabit这样的软件自行搭建;第三,利用Sniffer(嗅探器,一种基于被动侦听原理的网络分析方式)类工具在网络出口进行监控,抓取所有网络数据包进行统计与分析。对于大多数学校来说,购买专业流控设备带来的巨大开销难以承受,自行搭建的Panabit系统上手又比较难,最后笔者决定采用通过Sniffer之类的工具进行监控的方法来管理学校的内部网络。

●准备环节

零成本搭建校园嗅探系统的关键是选择Sniffer软件并在网络中部署,在部署时以及部署完毕实际运行时,要尽可能少地影响学校网络的正常使用。首先是工具的选择,Sniffer类工具的种类非常多,大名鼎鼎的Sniffer Pro、中规中矩的Ethereal、跨越平台兼容性好的Snort、国内企业开发的科来网络分析系统等都是笔者考虑的范畴,不过由于日后的嗅探应用由学校网管来完成,所以在Sniffer类工具的选择上应该选择好上手的软件。另外学校内部服务器和客户机系统基本上还是以Windows系列为主,所以不用考虑是否跨平台兼容Linux系统的问题,最终笔者将Sniffer类工具的选择定位到国内开发的全中文科来网络分析系统上。当然在实际使用时通过Sniffer Pro、Ethereal等其他嗅探工具,同样可以实现零成本搭建校园嗅探系统的目的。

除了嗅探软件外,要想实现全面监控的效果,还需要交换机的配合,利用交换机的镜像端口、数据转发等功能对单点数据包进行分析,同时对校园嗅探系统层次化、分区域化部署,能够更好地提升嗅探效果,毕竟只在网络出口建立嗅探存在很多弊端。

●搭建实战

系统选择与准备工作做好以后,就要在学校内部校园网上实际搭建这套零成本校园嗅探系统了。笔者选择了一所规模中等的中学进行实战操作,具体学校的网络拓扑结构如图所示。

30-i03-02.jpg

第一步:确认嗅探软件的部署位置,从拓扑结构图可以看出,该学校由两个小学分部以及中学本部三个部分组成,为了实现对校园嗅探系统层次化、分区域化部署,笔者决定在该学校网络的三个点进行实施,一方面在核心接入设备华为5516交换机上对学校整体网络流量进行嗅探,另一方面在服务器群接入设备上对学校应用服务器做关键数据嗅探,同时针对中学机房这个容易出现流量问题的地方进行重点部署,这种分层次、分主次的部署方式能够大大提高嗅探系统的实际效率。

第二步:上面提到的这三个点的接入设备默认上行端口都是24,笔者选择23端口作为嗅探接口,因此进入这三个点的路由交换设备将24端口与23端口设置为镜像端口,具体命令则是通过“mirror-port,monitor-port”以及“mirroring-group”来完成。

小提示:嗅探系统搭建完成后,3台路由交换设备上的23端口作为嗅探端口存在,只在分析网络流量时连接终端计算机,平时不能作为普通终端的上网接口使用。

第三步:将安装了科来网络分析系统的移动终端(笔记本)依次连接三台路由交换设备的23端口,打开科来网络分析系统,点“网卡测试”,如果出现“安装部署测试成功”的提示,则说明之前的镜像端口操作没有问题,校园嗅探系统搭建完成。

第四步:开启监控,针对网络数据包进行抓取,当有终端上网时,科来网络分析系统会自动抓取到该终端机器的网络流量数据,通过分析就可以发现学校内部哪台机器在访问非法网站或开心网等SNS社区,或使用BT疯狂下载,或感染了蠕虫病毒等。确定主机IP地址以及名称后,直接通过交换机封杀或利用行政手段限制。

由于镜像端口的设置以及科来网络分析系统的使用都是免费的,因此通过以上四步即可实现零成本搭建校园嗅探系统的目的,通过交换机封杀和行政手段限制的方式能够对学校内部多点流量进行有效管理与监控。

总结>>

部署完毕后的嗅探系统的效果是非常好的,学校内部的异常流量以及非法访问都能够通过部署在几个点的科来网络分析系统监测到,可以实现对MSN、QQ等IM工具软件的监控,以及对非法站点访问的监控等等。不过通过本文介绍的方法搭建的嗅探系统,主要以监控嗅探功能为主,并不能直接对流量进行管理与限速,因此有时候需要和其他手段(交换机封锁、行政干预等)相互结合才能更好地提高学校网络应用效率。