三种不同的网络管理软件.doc

摘 要随着计算机技术和internet的发展，网络的安全问题日趋严重。网络的安全问题来自多方面的各种原因。有不可避免的,也有一些可以避免的。比如硬件方面的设施，但是有些是可以避免的，比如一些人为性的网络攻击，这些可以利用网络管理软件来预测或者发现判定网络的情况。利用这些预测到的数据来判定网络故障.本文就是介绍常用的网络管理软件的功能和应用， 怎么去维护网络安全，怎么去判断网络中的故障,采取一些常用的网络管理软件来解决办法。而本文就是介绍常用的网络管理软件的，一些常用的功能和在网络中的应用。而重点介绍sniffer, 因为sniffer pro是一款一流的便携式网绚和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网绚管理人员实时的网络监视、数据包捕获以及故障诊断分析能力，且能够让用户获得强大的网绚和应用故障诊断功能。关键词 sniffer 功能 应用 管理软件1 前言 随着网络技术的飞速发展，网络管理软件也出现了多样化的发展。但是它们总体上的功能是一样的，都是维护网络的安全。不同的是它们应用的领域，和它们的特点。网络安全问题的日益突出，促使网络安全企业不断采用最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，也进一步促进了网络安全技术的发展。网络安全技术的发展也使网络管理软件的不断发展。而本文就重点介绍sniffer, sniffer pro是一款一流的便携式网绚和应用故障诊断分析软件，不管是在有线网络还是在无线网络中，它都能够给予网绚管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。对于在现场迚行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网绚和应用故障诊断功能。2 几种常见的网络管理软件其中最常见的网络管理软件有hp公司的openview、ibm公司的netview、sun公司的sun net manager、cisco公司的cisco works、3com公司的transce nai的sniffer等 下面将介绍openview sun net manage sniffer 其重点将介绍sniffer。2.1 openviewhp openview是第一个综合的、开放的、基于标准的管理平台，它能建立从局域网到广域网等各种计算环境的基础，在此基础上提供标准的、多功能的网络系统管理解决方案。hp openview的特点是得到了第三方应用开发厂家的广泛接受和支持，它不仅是第三方应用开发商的简单开发平台，而且还提供最终用户直接安装使用的实用产品，可在多个厂商硬件平台和操作系统上运行。hp openview具有以下特点： 自动发现网路拓扑结构图：hp openview具有很高的智能，它一经启动，就能自动发现缺省的网段，以图标的形式显示网络中的路由器、网关和子网。 性能分析：使用openview中的应用软件hp lan prob ii可进行网路性能分析，查询snmp mib，可监控网络连接故障。 故障分析：openview提供多种故障告警方式，例如，通过图形用户接口来配置和显示告警。 数据分析：openview提供有效的历史数据分析功能，可实时用图表显示任何指标的数据分析报告。2.2 sun net managersun net manager(snm)是一个基于unix的网络管理系统，是最流行的snmp网管平台之一。它只能运行在sun sparc工作站环境下，提供包括最终用户工具的开发环境，提供故障、配置、计费和安全管理服务。snm有三个关键组成部分：用户工具、分布式结构、应用程序开发界面(api)。sun net manager具有以下特点： 图形用户界面，简化安装和网络管理，供网络管理所需的缺省值，学习和使用方便。 基于工业标准，能管理所有支持snmp、tcp/ip的设备，能提供对snmp v.2的支持。 分布式体系结构，能将网络管理负载分散到整个网络中，使管理负载最小化以及使网络性能和效率最大化。2.3 sniffersniffer软件是nai公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。sniffer pro 4.6可以运行在各种windows平台上，只要安装在网络中的任何一台机器上，都可以监控管理到整个网络。3 sniffer网络管理软件的使用3.1使用sniffer pro监控网络流量一、首先要安装好sniffer软件,如果本身有就打开它。二、加载sniffer pro 特殊的驱动程序，点安装(图1)。三、安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。图1 本地连接属性四、我们来启动sniffer pro。第一次启动sniffer pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：file-select settings-new名称自定义、选择所在网卡下拉菜单，点击确定即可(如图2)。图2 定义用户名五、测试一个网段的流量情况，选择菜单栏中tools-address book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的ip地址段，本例输入：校园网中连续的20个地址点击ok，系统会自动扫描ip-mac对应关系。扫描完毕后，点击database-save address book 系统会自动保存对应关系，以备以后使用(如图3)。 图3 定义ip地址的范围六、点击monitor-host table，选择host table界面左下角的mac-ip-ipx中的mac。（为什么选择mac？在网络中，所有终端的对外数据，例如使用qq、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的。如图4)。 图4 mac ip的流量图七、选择single station-bar（下面的ip网段都是在10.0.164.100到10.0.164.130）图5为实时流量图。在此之前如果我们没有做扫描ip（address book）的工作，右边将会以网卡物理地址-mac地址的方式显示，现在转换为ip地址形式（或计算机名），现在很容易定位终端所在位置。流量以3d柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中239.255.255.250与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此ip是否有大流量相关的操作。图5 实时ip流量图如果要查看10.0.164.255（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的-map按钮如图(6)所示,网关与内网间的所有流量都在这里动态的显示。 图6 动态ip流量图说明一下图：绿色线条状态为：正在通讯中；暗蓝色线条状态为：通信中断；线条的粗细与流量的大小成正比；如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送），并自动计算流量占当前网络的百分比。最后，有一种基于ip的网络流量, 这种我就不详细的介绍了,他只是对其中的一个可疑的ip进行分析,看看它在做些什么?前面的步骤基本相同,就最后用工具栏的协议分析来判断它在做什么, 比如正在使用p2p类软件进行bt下载、或者正在观看p2p类在线视频等。 3.2 使用sniffer pro监控arp一、启动snffer pro程序。选择菜单栏中monitordefine filter 来定义我们需要的过滤器。在弹出的define filter对话框中选择profilesnew 来新建一个过滤器，我们这里取名为jingzhu。图7 定义用户名二、系统默认过滤器为default，我们来选择刚才新建过滤器arp。首先，选择monitorselect filter。图8 选择过滤器三、鼠标点击工具栏中host table按钮（联网图标），在弹出的子窗口中选择detail工具（放大镜图标）。注意观察本图同之前程序使用默认default filter过滤器的不同之处。如（图9）现在，按照我们的定义，监视器内protocol(协议类型)仅包括ip_arp.这对于我们查找问题，层次上更加分明。这里需要注意的是：这里的address（地址）以ip或者机器名的形式显示，如果显示mac，请先使用toolsaddress book进行扫描，ip-mac的显示转换后，将有利于我们快速定位节点。网内终端中所有arp广播包的和，合计后等于broadcast数据包（广播包）。图9 显示ip机器名四、我们先来观察，在正常网络状况下，arp协议的top流量分布图，这将方便我们的区分、判断。鼠标点击左边工具栏中的bar（柱形图标），我们知道bar会将目前数据包流量排行前10位，通过动态柱型图的方式显示出来。同上图的detail（详细显示方式）一样，只不过bar在界面上对于观察者来讲更为直观。broadcast（网内所有节点的广播）占top排行第一位。图10 ip的top流量分布图 top1 节点10.0.164.255占据网内最大arp流量。 top3中的流量急速增大且与top4差距悬殊。 我们知道，在网络常的情况下，不同节点的arp流量会有差距，但应该相差不大。同时我们比在网络正常情况下arp流量top图，并以它做为基准，问题就显而易见了。 这里需要解释的是，broadcast在图10中排行第二，为什么呢？因为broadcast是网内广播总计，但arp分为请求（广播）、和回应（单播）两种，当239.255.255.250的回应（也就是单播数量）大于arp请求（广播的数量）将可能出现arp总流量大于broadcast的情况，这也印证我们在开场所说的：当节点出现arp欺骗时，它会向网内arp reply。最后还有一种通过专用sniffer程序监视异常arp, 这些工具也是sniffer的一种，只是在功能上更有针对性，更能判断和发现arp的攻击.这个软件能到网上下载到的，这里就是做详细的介绍了。3.3 使用sniffer pro监控广播风暴一、设置广播过滤器。打开snifferpro后，选择monitor菜单下的definefilter。我们首先来新键过滤器，并将其名定义为broadcast。定义好名称后，选择address标签下的knownaddress(dragable)选择框，从中展开broadcast/multicastaddress。将其下的broadcast(ffffffffffff)使用鼠标左键拖入station1中，（如图11）。图11 选择广播过滤器二、同样在monitor菜单下，选择selectfitler,选中我们刚才定义好的broadcast, 如图12。 图12 选择定义好的过滤器三、我们先通过snifferpro提供的“仪表盘”来查看，以下分别是广播包合计统计,广播包平均数统计图。需要说明的是：1、由于之前定义好了过滤器，现在所统计的数据均为广播数据。2、在仪表盘详细统计界面，除了统计network相关数据外，还对数据包大小分布、错误数据包进行详细的分类，以供查看。3、错误数据包捕获和查看，需要专用网卡的支持。图13 仪表盘四、这里没有测到广播风暴,只有借用网上的一些信息来说明下。下面的图14是产生广播风暴的信息。五、由于没有正版的软件,下面用到的功能不能用,只能在网上找来.通过snifferpro提供的alarm告警系统，查看“广播风暴”（图14）为snifferpro在“广播风暴”时的告警。我们可以通过monitor下的alarmlog查看。软件默认broadcasts每秒2000，超过设定的阀值，软件则会报警。图14 产生广播风暴的图六、snifferproalarm告警系统修改，alarm告警系统默认阀值都可以修改，选择tools下options,然后点击mac-threshold选项卡即可。软件提供了20个可以修改的项目，如果你觉得utilization(利用率)在你现有网络上，50%上显的太小，可以将其更改为80%（快速以太网一般利用率不超过80%）。而broadcast/s2000的数值又显的太大，都可以在这里做出更改。如图（15）图15 告警系统图除了可以修改默认阀值外，在系统出现警告时，可以选择通知方式甚至可以使用vb程序自定义动作来打开第三方程序。比如设置告警音，或者通过发送电子邮件等方式通知网络管理员。snifferpro将alarm告警划分为不同级别：有严重、重要、次要、警告、通知。我们可以在alarm选项卡里做出调整。4 总结以上介绍了三种不同的网络管理软件，它们都有不同的特点，但是它们都在维护网络的安全。hp open view是分布式的客户机/服务器模式的软件平台，用于为企业的系统、应用或服务提供服务驱动信息和性能管理。使用hp open view管理分布式网络内的设备、服务的性能和告警信息，可以尽早发现故障隐患。减小故障所造成的损害，节约成本。而sun net manager是一种可以经