基于端口鏡像的ＯｍｎｉＰｅｅｋ網(wǎng)絡(luò)協(xié)議分析

摘要：校園網(wǎng)是一個(gè)高度集成的系統(tǒng)工程，各種網(wǎng)絡(luò)設(shè)備、應(yīng)用程序與聯(lián)網(wǎng)用戶的交互作用日益復(fù)雜，網(wǎng)絡(luò)管理的地位越顯得重要。OmniPeek網(wǎng)絡(luò)協(xié)議分析軟件，通過對(duì)交換機(jī)鏡像端口捕獲數(shù)據(jù)并分析，能幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)排除網(wǎng)絡(luò)故障并優(yōu)化網(wǎng)絡(luò)性能。

關(guān)鍵詞：OmniPeek；協(xié)議分析；端口鏡像；校園網(wǎng)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0828-03

OmniPeek Network Protocol Analysis Based on Port Mirroring

WEI Ping1，2

(1.School of Information Technology Jiangnan University，Wuxi 214122，China;2.Network Center of WXSTC， Wuxi 214028，China)

Abstract: Campus Network is a highly integrated system project. With an increasing complexity of the interaction among a variety of network devices， applications， and networking users， network management tends to be more important. OmniPeek network protocol software based on switch port mirroring， can capture and analyze network data， help network administrators monitor network status， remove network errors quickly and optimize network performance.

Key words: omniPeek; protocol analysis; port mirroring; campus network

1 引言

隨著信息化在我國(guó)的不斷深入和發(fā)展，校園網(wǎng)為高等教育事業(yè)注入了新的活力。Internet的接入擴(kuò)大了校園網(wǎng)的應(yīng)用范圍，網(wǎng)絡(luò)技術(shù)的高速發(fā)展帶來了許多新技術(shù)應(yīng)用，各類網(wǎng)絡(luò)信息平臺(tái)廣泛應(yīng)用于“產(chǎn)、學(xué)、研”。這些都成為衡量高等院校信息化水平的重要標(biāo)志，信息化全面帶動(dòng)了我國(guó)高等教育事業(yè)的現(xiàn)代化。在校園網(wǎng)物理拓?fù)浠A(chǔ)架構(gòu)已經(jīng)確立，各種網(wǎng)絡(luò)設(shè)備、應(yīng)用程序與聯(lián)網(wǎng)用戶的交互作用卻日益復(fù)雜。在大型網(wǎng)絡(luò)架構(gòu)中，確保網(wǎng)絡(luò)的快速響應(yīng)和高效率運(yùn)行，這是基本的網(wǎng)絡(luò)故障檢測(cè)和網(wǎng)絡(luò)管理研究的范疇。

如何對(duì)校園網(wǎng)進(jìn)行全方位有效的管理，及時(shí)掌握網(wǎng)絡(luò)的運(yùn)行狀況并在網(wǎng)絡(luò)發(fā)生故障后能及時(shí)分析、排查，已成為網(wǎng)絡(luò)管理員的重要工作并日益受到重視。網(wǎng)絡(luò)分析軟件提供了復(fù)雜環(huán)境中維護(hù)、分析和管理網(wǎng)絡(luò)的優(yōu)秀工具。OmniPeek是美國(guó)WildPackets公司推出的一款功能強(qiáng)大的協(xié)議分析軟件，與sniffer類似，它提供了優(yōu)秀的網(wǎng)絡(luò)實(shí)時(shí)管理和故障檢測(cè)等功能。

2 網(wǎng)絡(luò)協(xié)議分析在校園網(wǎng)管理中的重要性

校園網(wǎng)是一個(gè)高度集成的系統(tǒng)工程，由于各種不確定因素，網(wǎng)絡(luò)管理員時(shí)刻面對(duì)著大量網(wǎng)絡(luò)管理方面的問題，需要全面了解網(wǎng)絡(luò)的運(yùn)行狀況，及時(shí)作出判斷和決策。如：

1）當(dāng)前網(wǎng)絡(luò)中有多少計(jì)算機(jī)在訪問Internet？每個(gè)校園網(wǎng)內(nèi)部IP所占的數(shù)據(jù)流量有多大？

2）網(wǎng)絡(luò)中運(yùn)行著哪些應(yīng)用協(xié)議？各種應(yīng)用協(xié)議所產(chǎn)生的傳輸流量占多大的比例？

3）某個(gè)時(shí)段校園網(wǎng)與Internet的通信總量有多少？網(wǎng)絡(luò)利用率如何，有沒有傳輸性能上的瓶頸？能否優(yōu)化網(wǎng)絡(luò)性能？

4）通訊主機(jī)的源MAC地址、源IP地址、源端口是什么？目的MAC地址、目的IP地址、目的端口是什么?數(shù)據(jù)包解碼后的具體內(nèi)容是什么？能否實(shí)時(shí)顯示每個(gè)IP的網(wǎng)絡(luò)連接圖？

5）有沒有廣播風(fēng)暴和網(wǎng)絡(luò)攻擊行為？有沒有中毒計(jì)算機(jī)在不斷向網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包？能否及時(shí)判斷和排查等等？

上述都涉及到了校園網(wǎng)中比較復(fù)雜的、深層次管理方面的問題，在許多情況下可以利用網(wǎng)絡(luò)協(xié)議分析軟件來輔助判斷和決策。

3 OmniPeek網(wǎng)絡(luò)分析軟件的特點(diǎn)

OmniPeek利用計(jì)算機(jī)網(wǎng)卡捕獲交換機(jī)鏡像端口數(shù)據(jù)，并實(shí)時(shí)統(tǒng)計(jì)分析出結(jié)果，能全面反映網(wǎng)絡(luò)底層的運(yùn)行狀況。OmniPeek主要特點(diǎn)如下：

1）提供了針對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)（或者子網(wǎng)）的實(shí)時(shí)故障檢測(cè)。

2）包括功能強(qiáng)大的、與現(xiàn)有網(wǎng)絡(luò)很高相關(guān)性的分析工具，能識(shí)別大量主流的應(yīng)用協(xié)議。

3）界面友好、清晰直觀，與sniffer相比，操作和配置均比較簡(jiǎn)單。

4）基于數(shù)據(jù)包流的專家級(jí)和應(yīng)用程序級(jí)分析，支持分布式錯(cuò)誤分析與無線網(wǎng)絡(luò)。

5）以O(shè)SI（開放系統(tǒng)互聯(lián)）參考模型為基礎(chǔ)，提供了從物理層到應(yīng)用層的全七層實(shí)時(shí)解碼、顯示網(wǎng)絡(luò)數(shù)據(jù)包。

6）自動(dòng)生成各類分析報(bào)告及圖表，為保護(hù)并優(yōu)化網(wǎng)絡(luò)性能提供決策依據(jù)。

4 OmniPeek網(wǎng)絡(luò)分析平臺(tái)的構(gòu)建

建議采用Windows2000server以上操作系統(tǒng)作為OmniPeek的OS平臺(tái)，為了確保網(wǎng)絡(luò)抓包和協(xié)議分析的高效、穩(wěn)定，通常采用高性能CPU處理器、大容量?jī)?nèi)存和千兆網(wǎng)卡的服務(wù)器平臺(tái)。在小型局域網(wǎng)中（一般不超過20臺(tái)計(jì)算機(jī)），可以采用百兆集線器（HUB）抓包。但在大型網(wǎng)絡(luò)中，核心層采用HUB抓包會(huì)造成網(wǎng)絡(luò)傳輸性能的嚴(yán)重瓶頸。所以通常采用高性能的千兆智能交換機(jī)，如思科的Catalyst系列全千兆三層交換機(jī)。利用思科的SPAN（Switched Port Analyzer）功能，把交換機(jī)的某1個(gè)或者多個(gè)源端口中全部接收和發(fā)送的數(shù)據(jù)流實(shí)時(shí)復(fù)制（鏡像）到某1個(gè)目的端口上，其中目的端口連接OmniPeek的服務(wù)器網(wǎng)卡。

網(wǎng)絡(luò)中心通常分析整個(gè)校園網(wǎng)與Internet出口處的網(wǎng)絡(luò)通訊數(shù)據(jù)包，也可以針對(duì)某個(gè)VLAN、或某個(gè)匯聚層、接入層交換機(jī)分析數(shù)據(jù)包。以思科WS-C3750G-24T-S交換機(jī)為例，進(jìn)行如下配置：其中交換機(jī)的Port1連接防火墻的lan口，Port2連接核心交換機(jī)Catalyst6509的千兆以太網(wǎng)模塊，Port24作為Port1的鏡像端口。即把校園網(wǎng)中全部通過防火墻的數(shù)據(jù)包復(fù)制到Port24，同時(shí)Port24連接OmniPeek的服務(wù)器網(wǎng)卡，以便抓包和分析統(tǒng)計(jì)。

思科WS-C3750G-24T-S交換機(jī)的SPAN端口鏡像配置命令如下：

Switch>enable

Switch#config terminal

Switch(config)#no monitor session 1

Switch(config)#monitor session 1 source interface gigabitethernet1/0/1

Switch(config)#monitor seesion 1 destination interface gigabitethernet1/0/24

Switch(config)#end

Switch#copy running-config startup-config

Switch#exit

5 OmniPeek的具體應(yīng)用與分析實(shí)例

啟動(dòng)OmniPeek軟件后，點(diǎn)擊“NewCapture”，設(shè)定抓包緩沖區(qū)“Bufferr Size”的大小，如“300 M”字節(jié)，如圖1所示。當(dāng)服務(wù)器存在多塊網(wǎng)卡，必須在“Adapter”中選擇當(dāng)前用于抓包的網(wǎng)卡。點(diǎn)擊“確定”后選中“Start Capture”，即開始一次新的抓包過程。在網(wǎng)絡(luò)使用的高峰時(shí)間段，或者網(wǎng)絡(luò)發(fā)生故障、性能不穩(wěn)定、傳輸流量異常等情況時(shí)啟用OmniPeek，就可以實(shí)時(shí)分析網(wǎng)絡(luò)的運(yùn)行狀況。

1） 流量分析與交換機(jī)端口速率優(yōu)化。

通常網(wǎng)絡(luò)流量越大，對(duì)整個(gè)網(wǎng)絡(luò)造成的影響就越嚴(yán)重。根據(jù)校園網(wǎng)內(nèi)部每個(gè)IP的網(wǎng)絡(luò)流量從大到小進(jìn)行排序，發(fā)現(xiàn)某些IP流量較大，如圖2所示。主要是實(shí)驗(yàn)室代理服務(wù)器、圖書館光盤鏡像服務(wù)器、多媒體教室計(jì)算機(jī)等。代理服務(wù)器集中控制實(shí)驗(yàn)機(jī)房計(jì)算機(jī)的上網(wǎng)接入，OmniPeek能檢測(cè)出其WAN口網(wǎng)卡的流量。光盤鏡像服務(wù)器用于圖書館非書資源的上傳和下載，而多媒體教室的計(jì)算機(jī)經(jīng)常要用到視頻課件點(diǎn)播服務(wù)，因此產(chǎn)生的流量都比較大。其它一些計(jì)算機(jī)流量大，是因?yàn)橛械挠脩粼跒E用BT、迅雷、Emule等P2P工具進(jìn)行大流量下載。因此在接入層交換機(jī)端口，根據(jù)不同的應(yīng)用需求，靈活的設(shè)置不同端口速率，如代理服務(wù)器等設(shè)置端口速率上下行達(dá)到20M ，普通辦公計(jì)算機(jī)設(shè)置端口速率上下行達(dá)到2M，以優(yōu)化網(wǎng)絡(luò)的整體傳輸速率。對(duì)于一些常用的工具軟件、視頻課件等，網(wǎng)絡(luò)中心可以在校園網(wǎng)核心層設(shè)置一臺(tái)內(nèi)部FTP服務(wù)器，以 LAN方式供用戶下載，從而大大減輕Internet出口路由器的傳輸壓力。

2） 某個(gè)子網(wǎng)上網(wǎng)故障分析和排查。

某天上午，9網(wǎng)段用戶報(bào)告網(wǎng)絡(luò)故障，反映其整個(gè)網(wǎng)段不能接入校園網(wǎng)。啟用OmniPeek協(xié)議分析后，根據(jù)IP通訊列表排序。發(fā)現(xiàn)整個(gè)192.168.9.0網(wǎng)段的計(jì)算機(jī)與Internet沒有任何通訊流量，但其它網(wǎng)段用戶均能正常訪問Internet?？梢猿醪脚懦诵慕粨Q機(jī)、防火墻和Internet出口路由器的故障。因此故障原因可以從核心交換機(jī)的9網(wǎng)段光纖模塊起，到其匯聚和接入層交換機(jī)及綜合布線處查找。經(jīng)排查，發(fā)現(xiàn)9網(wǎng)段匯聚交換機(jī)端光纖模塊松動(dòng)，導(dǎo)致其整個(gè)子網(wǎng)數(shù)據(jù)傳輸鏈路中斷。經(jīng)重新插緊光纖模塊后，數(shù)據(jù)鏈路接通，上網(wǎng)恢復(fù)正常。

3） 網(wǎng)絡(luò)攻擊分析和緊急處理。

某天下午，校園網(wǎng)用戶普遍反映上網(wǎng)速度奇慢，Internet網(wǎng)頁不能正常打開，網(wǎng)絡(luò)傳輸性能急劇下降。啟用OmniPeek協(xié)議分析后，根據(jù)IP通訊列表排序，發(fā)現(xiàn)核心層192.168.0.150這臺(tái)主機(jī)不停的向網(wǎng)絡(luò)發(fā)送大量UDP攻擊數(shù)據(jù)包，上傳流量特別大。再仔細(xì)檢查這臺(tái)計(jì)算機(jī)，發(fā)現(xiàn)系統(tǒng)日期被篡改，殺毒軟件已被禁用，肯定是感染了某類惡意計(jì)算機(jī)病毒引起的網(wǎng)絡(luò)攻擊。為了恢復(fù)網(wǎng)絡(luò)的正常工作，采取臨時(shí)措施果斷地拔下這臺(tái)主機(jī)的網(wǎng)線，整個(gè)校園網(wǎng)立即恢復(fù)了暢通。后經(jīng)重新安裝操作系統(tǒng)，徹底查殺計(jì)算機(jī)病毒，修復(fù)全部補(bǔ)丁， 192.168.0.150主機(jī)恢復(fù)了正常工作。在大型校園網(wǎng)中，由于聯(lián)網(wǎng)用戶眾多，網(wǎng)絡(luò)中心可以架設(shè)一臺(tái)網(wǎng)絡(luò)殺毒服務(wù)器，集中部署客戶端殺毒軟件，對(duì)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行病毒查殺和病毒庫統(tǒng)一升級(jí)，以提高網(wǎng)絡(luò)的整體安全性。

4） 網(wǎng)絡(luò)協(xié)議應(yīng)用狀況查詢。

在OmniPeek的分析結(jié)果中，點(diǎn)擊“Protocols”，可以查看在某時(shí)段網(wǎng)絡(luò)協(xié)議的應(yīng)用分布情況，如圖3所示。網(wǎng)絡(luò)管理員可以及時(shí)掌握當(dāng)前主要網(wǎng)絡(luò)協(xié)議的占用比率，以及哪些IP在運(yùn)行這些協(xié)議，比如HTTP傳輸協(xié)議所占的百分比。雙擊“HTTP”后，顯示出這個(gè)時(shí)段哪些IP用戶在通過HTTP瀏覽網(wǎng)頁，并可了解每個(gè)IP的HTTP傳輸字節(jié)數(shù)與數(shù)據(jù)包數(shù)。點(diǎn)擊 “BitTorrent”后，可以看到當(dāng)前哪些IP在運(yùn)行BT下載軟件等。圖3所示，在某個(gè)網(wǎng)絡(luò)使用的高峰時(shí)段，UDP協(xié)議所占比例較大，達(dá)到72%左右，反映出當(dāng)前基于UDP協(xié)議的網(wǎng)絡(luò)應(yīng)用程序利用率所占比例最大。

5） IP網(wǎng)絡(luò)通訊連接圖

在OmniPeek的分析結(jié)果中，點(diǎn)擊“Peer Map”，可以清晰的看到每個(gè)IP之間的網(wǎng)絡(luò)連接交通圖。如IP為192 .168.0.198與218.90.175.169的兩臺(tái)主機(jī)建立了連接，而在網(wǎng)絡(luò)協(xié)議中這個(gè)連接是基于HTTP協(xié)議的，說明內(nèi)網(wǎng)中IP為192 .168.0.198的主機(jī)登錄到IP為218.90.175.169的主機(jī)，利用HTTP協(xié)議瀏覽網(wǎng)頁。通過IP網(wǎng)絡(luò)通訊連接圖還可以查看網(wǎng)絡(luò)廣播、組播等連接情況。

6） 網(wǎng)絡(luò)統(tǒng)計(jì)結(jié)果匯總表

在OmniPeek的分析結(jié)果中，點(diǎn)擊“Summary”，可以查看在某時(shí)段網(wǎng)絡(luò)利用率的統(tǒng)計(jì)匯總表，如圖4所示。包括開始分析的日期與時(shí)間、網(wǎng)絡(luò)丟包數(shù)、總的傳輸數(shù)據(jù)包數(shù)、當(dāng)前利用率bits/s、平均利用率等參數(shù)。還包括了Email、FTP、ICMP、VoIP分析與Internet攻擊、WEB URLs等統(tǒng)計(jì)信息，為網(wǎng)絡(luò)管理員分析校園網(wǎng)總出口處的運(yùn)行狀況提供了全面的統(tǒng)計(jì)數(shù)據(jù)。

7） 協(xié)議過濾與數(shù)據(jù)包分析

為了有針對(duì)性的分析某些網(wǎng)絡(luò)協(xié)議，可以點(diǎn)擊“Filters”，選擇一個(gè)或多個(gè)協(xié)議進(jìn)行分析。以FTP協(xié)議為例，篩選FTP（FTP data or control packets）后，開始一次抓包過程。這時(shí)OmniPeek對(duì)進(jìn)出防火墻的的“FTP連接與傳輸”單獨(dú)抓包并分析。點(diǎn)擊“Packets”后查看列表，可以看到源IP為192.168.0.193的主機(jī)與目的IP為218.90.174.165的FTP服務(wù)器進(jìn)行連接并下載數(shù)據(jù)，同時(shí)顯示出這兩臺(tái)主機(jī)網(wǎng)卡的MAC地址，如圖5所示。雙擊某記錄后，能夠詳細(xì)的顯示這個(gè)IP數(shù)據(jù)包的完整結(jié)構(gòu)信息。在解碼數(shù)據(jù)“summary”一欄中，顯示出登錄用戶名為“test”，密碼為“123456”。這說明了OmniPeek能夠?qū)?shù)據(jù)包中隱含的深層次信息進(jìn)行分析解碼，同時(shí)反映了客戶機(jī)利用FTP下載，登錄用戶名與密碼以明文方式發(fā)送存在著一定的安全隱患。在一些網(wǎng)絡(luò)安全級(jí)別較高的環(huán)境中，可以通過SSH等加密方式進(jìn)行遠(yuǎn)程主機(jī)登錄和連接，以提高安全性。

■

圖5

以上是OmniPeek的基本應(yīng)用與常見的實(shí)例分析，其它一些高級(jí)特性，如廣域網(wǎng)分析、無線網(wǎng)絡(luò)分析、“Expert”專家分析、Omni DNX分布式引擎應(yīng)用等，可以隨著網(wǎng)絡(luò)架構(gòu)的規(guī)模與大小、復(fù)雜程度等，作進(jìn)一步深入研究與靈活應(yīng)用。

6 結(jié)束語

網(wǎng)絡(luò)協(xié)議分析在網(wǎng)絡(luò)管理中的地位日益重要，并在廣域網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)、高校宿舍網(wǎng)、寬帶小區(qū)網(wǎng)等各類大中型網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。OmniPeek、sniffer 等協(xié)議分析軟件的許多設(shè)計(jì)思想和功能特性被集成到“行為監(jiān)管器”等網(wǎng)絡(luò)安全設(shè)備中，用于網(wǎng)絡(luò)日志的記錄與監(jiān)管。作為高職高專院校，可以把它列為一門重要的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)課程，在修完“網(wǎng)絡(luò)基礎(chǔ)”、“TCP/IP協(xié)議原理”、“網(wǎng)絡(luò)工程”和“交換機(jī)與路由器配置”課程后學(xué)習(xí)。對(duì)于學(xué)生理論聯(lián)系實(shí)際、深刻理解網(wǎng)絡(luò)協(xié)議的基本原理與應(yīng)用，提高動(dòng)手能力和網(wǎng)絡(luò)管理水平，以及積累一定的實(shí)踐經(jīng)驗(yàn)都有很大的幫助。

參考文獻(xiàn)：

[1] http://www.wildpackets.com/products.

[2] Robert J.Shimonski.SnifferPro網(wǎng)絡(luò)優(yōu)化與故障檢修手冊(cè)[M].北京:電子工業(yè)出版社，2001.

[3] Dmitry Bokotey.CCIE Security實(shí)驗(yàn)指南[M].北京:人民郵電出版社，2000.