一、为什么要使用局域网网络监控软件
很多单位很舍得对网络以及电脑设备的投入,但却不舍得对应用软件特别是安全软件投入是不恰当的,如果组建了性能出色的网络环境以及购买了现代化的办公设备,但却成了沉迷、浪费公司人力和财力;甚至是纵容员工上班时间做单位之外的事情就成了问题;反而降低了工作效率,甚至导致更大损失;因此网络监控非常必要;
目前很多单位请了网络管理人员还建设了网站;但是把设备是管好了,可设备带来的方便却降低了工作效率(都用网络干别的事情去了),网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户了;因此仅购买设备是不够的,仅仅建设网站也是不够的,只管理设备也还是不够的,还需要把员工使用网络的内容监视和并把网络行为管理起来;特别是外贸企业、技术含量较高的企业(如软件、工程类)、政府关键部门等等对员工的上网监督管理的意义尤为重要。
二、局域网网络监控软件主要目标
网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容(比如外贸企业的定单过程),对电脑的各种端口和设备实施全面管理和控制,对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制;
1.防止并追查重要资料、机密文件等外泄;
2.监督、审查、限制、规范网络使用行为;
3.限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;
4.备份重要网络资源文件(比如业务邮件);
5.监视QQ/MSN聊天记录内容和行为过程;
6.流量限制以及网站访问统计,用于分析员工使用网络情况;
三、网络抓包技术
1.UNIX系统提供了标准的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A.BSD抓包法
.BPF是一个核心态的组件,也是一个过滤器
.Network Tap接收所有的数据包
.Kernel Buffer,保存过滤器送过来的数据包
.User buffer,用户态上的数据包缓冲区
B.Libpcap(一个抓包工具库)支持BPF
.Libpcap是用户态的一个抓包工具
.Libpcap几乎是系统无关的
C.BPF是一种比较理想的抓包方案
.在核心态,所以效率比较高,
.但是,只有少数OS支持(主要是一些BSD操作系统)
2.Windows平台上通过驱动程序来获取数据包
(1)驱动程序
模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;
模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;
(2)WinPcap驱动标准接口(目前国产网络监控软件90%采用)
WINPCAP是目前国际标准的接口程序,稳定性良好支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;
