Sniffer方案白皮书new.docx
- 文档编号:15280058
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:45
- 大小:2.69MB
Sniffer方案白皮书new.docx
《Sniffer方案白皮书new.docx》由会员分享,可在线阅读,更多相关《Sniffer方案白皮书new.docx(45页珍藏版)》请在冰点文库上搜索。
Sniffer方案白皮书new
Sniffer方案白皮书
美国网络联盟公司(NAI)
1概述
在网络经济时代的今天,网络系统已经成为现代企业的神经,而神经系统是否工作正常,是否高速、高效,直接关系到企业的生死存亡。
随着我国电信行业的飞速发展,和电信市场激烈竞争的日益加剧,如何合理、有效地使用和发展电信资源,保障网络、主机、数据库及应用系统各方面运行的稳定、安全,进一步提高服务质量和水平已经成为了电信行业目前急需解决的一个重要问题。
这不仅为网络系统管理带来了挑战和压力,也提出了运行效率、可用性、可靠性和安全性等诸多方面的要求。
♦如何提高网络的生产效率,在有限的资源条件下发挥网络系统的最高性能;
♦如何提高网络系统的可用性,最大限度地减少网络系统的异常行为;
♦如何提高网络系统的可靠性,最大限度地减少网络系统停机、数据丢失等故障;
♦如何保证网络系统的安全性,保护企业的信息资源,防止病毒和恶意代码的入侵;
♦如何有效、简便地进行维护和管理,提高系统的可视性。
一个运行良好的网络系统,所产生的经济效益和节约的运行费用是非常可观的,而一个运行不好的网络系统,可能带来的损失是难以估量的。
因此,企业网络和应用的监控和管理已经成为一个倍受瞩目的焦点,越来越多的人认识到它是整个企业网络环境中必不可少而且非常重要的一个组成部分。
作为全球业界领先的网络安全与高可用性解决方案提供商,美国网络联盟公司(NAI)一直致力于为电信企业提供最完善的解决方案和最坚实的技术保障和服务。
做为世界十大网络公司之一,NAI公司拥有诸如McAfee、Sniffer等优秀的高技术产品和事实上的工业标准,并坚持网络安全和高可用性全面解决方案的方向,将各个产品集成为紧密相关、有机组合的网络监控、性能分析和安全管理全面解决方案,为电信企业关键业务网络的网络安全和管理提供服务。
NAI的SnifferTechnologies是业界网络和应用管理领域的先锋,其Sniffer网络嗅探器的技术和产品已经成为网络监视、协议分析和故障排除领域事实上的工业标准。
据来自IDC(国际数据公司)的市场调查报告,Sniffer产品拥有在全球网络协议分析市场上最领先的市场份额。
2000年10月Sniffer获得著名的NetworkComputing杂志评选的过去十年来十项最伟大的网络产品称号。
非常多的Sniffer用户来自于电信行业,其中包括了诸如美国AT&T、Sprint,以及与中国采用类似网络标准的欧洲大型电信企业,如法国电信(FranceTelecom),德国DeTeLine,英国电信(BritishTelecom)和日本NTT/DoCoMo等,国内的电信企业有,中国网通公司、中国广东省移动通信公司、中国联通公司、北京通信公司、华为公司等。
同时,世界上许多大的网络厂商和行业客户(如Cisco、3COM、Lucent等)都使用Sniffer设备分析、维护和开发他们的网络产品。
2Sniffer的技术优势和特点
2.1Sniffer在网络管理系统中的作用
网络的安全性和高可用性是建立在有效的网络管理基础之上的,网络管理包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。
对于企业计算机网络来说,网络故障管理主要侧重于实时的监控,而网络性能管理更看中历史分析。
Sniffer网络分析仪是一个网络故障、性能和安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极大地简化了发现和解决网络问题的过程,广泛适用于Ethernet、FastEthernet、TokenRing、SwitchedLANs、FDDI、X.25、DDN、FrameRelay、ISDN、ATM和Gigabits等网络。
Sniffer产品的基本功能包括:
♦网络安全的保障与维护
1.对异常的网络攻击的实时发现与告警;
2.对高速网络的捕获与侦听;
3.全面分析与解码网络传输的内容;
♦面向网络链路运行情况的监测
1.各种网络链路的运行情况;
2.各种网络链路的流量及阻塞情况;
3.网上各种协议的使用情况;
4.网络协议自动发现;
5.网络故障监测;
♦面向网络上应用情况的监测
1.任意网段应用流量、流向;
2.任意服务器应用流量、流向;
3.任意工作站应用流量、流向;
4.典型应用程序响应时间;
5.不同网络协议所占带宽比例;
6.不同应用流量、流向的分布情况及拓扑结构;
♦强大的协议解码能力,用于对网络流量的深入解析
1.对各种现有网络协议进行解码;
2.对各种应用层协议进行解码;
3.Sniffer协议开发包(PDK)可以让用户简单方便地增加用户自定义的协议;
♦网络管理、故障报警及恢复
运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障;
♦集中控制整个网络运行情况
2.2实时监控统计和告警功能
根据用户习惯,Sniffer可提供实时数据或图表方式显示统计结果,统计内容包括:
●网络统计:
如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。
●协议统计:
如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。
●差错统计:
如错误的CRC校验数、发生的碰撞数、错误帧数等。
●站统计:
如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。
最多可统计1024个站。
●帧长统计:
如某一帧长的帧所占百分比,某一帧长的帧数等。
当某些指标超过规定的阈值时,Sniffer可以自动显示或采用有声形式的告警。
Sniffer可根据网络管理者的要求,自动将统计结果生成多种统计报告格式,并可存盘或打印输出。
2.3Sniffer实时专家分析系统
高度复杂的网络协议分析工具能够监视并捕获所有网络上的信息数据包,并同时建立一个特有网络环境下的目标知识库。
智能的专家技术扫描这些信息以检测网络异常现象,并自动对每种异常现象进行归类。
所有异常现象被归为两类:
一类是symptom(故障征兆提示,非关键事件例如单一文件的再传送),另一类是diagnosis(已发现故障的诊断,重复出现的事件或要求立刻采取行动的致命错误)。
经过问题分离、分析且归类后,Sniffer将实时地,自动发出一份警告、对问题进行解释并提出相应的建议解决方案。
Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(ExpertSystem)。
简单地说,Sniffer能自动实时监视网络,捕捉数据,识别网络配置,自动发现网络故障并进行告警,它能指出:
●网络故障发生的位置,以及出现在OSI第几层。
●网络故障的性质,产生故障的可能的原因以及为解决故障建议采取的行动。
●Sniffer还提供了专家配制功能,用户可以自已设定专家系统判断故障发生的触发条件。
●
有了专家系统,您无需知道那些数据包构成网络问题,也不必熟悉网络协议,更不用去了解这些数据包的内容,便能轻松解决问题。
2.4OSI全协议七层解码
Sniffer的软件非常丰富,可以对在各种网络上运行的400多种协议进行解码,如TCP/IP、NovellNetware、DECnet、SunNFS、X-Windows、HTTP、TNSSLQ*Netv2(Oracle)、Banyanv5.0和v6.0、TDS/SQL(Sybase)、X.25、FrameRealy、PPP、Rip/Ripv2、EIGRP、APPN、SMTP等。
还广泛支持专用的网络互联桥/路由器的帧格式。
Sniffer可以在全部七层OSI协议上进行解码,目前没有任何一个系统可以做到对协议有如此透彻的分析;它采用分层方式,从最低层开始,一直到第七层,甚至对ORACAL数据库、SYBASE数据库都可以进行协议分析;每一层用不同的颜色加以区别。
Sniffer对每一层都提供了Summary(解码主要规程要素)、Detail(解码全部规程要素)、Hex(十六进制码)等几种解码窗口。
在同一时间,最多可以打开六个观察窗口。
Sniffer还可以进行强制解码功能(ProtoclForcing),如果网络上运行的是非标准协议,可以使用一个现有标准协议样板去尝试解释捕获的数据。
Sniffer提供了在线实时解码分析和在线捕捉,将捕捉的数据存盘后进行解码分析二种功能。
2.5Sniffer企业级管理系统
分布式Sniffer、nPOManager、nPOVisualizer共同构成了Sniffer企业级管理系统,
Sniffer的企业级网络管理系统集成网络流量分析、协议解码、专家系统、管理、长期流量分析报告等功能;同时能通过标准的SNMP、RMON同其他的网络管理系统相集成,共同构成企业的整体网络管理系统。
Sniffer企业级网络管理系统的功能可以分为几大类:
1)应用特征描述
如果不了解某一应用程序应当如何运行,就很难知道是否存在问题。
Sniffer强大的流量监控能力能帮您确立网络里的应用特征,包括:
确定基准:
建立通信量、带宽利用以及响应时间等,用来描述对于某一应用来说,何种情况是正常的。
容量规划:
预先确定应用资源需求以避免出现性能问题。
检查使用趋势和增长率、跟踪网络过载或堵塞等问题出现的频率能够为前瞻性网络规划提供支持。
2)应用和服务监控
Sniffer能根据用户的需要进行长期实时的数据收集。
这些数据能帮助用户实时的监控网络应用,并为趋势分析和前瞻性管理提供基础。
需要收集的数据可以是几天或数月或更长。
3)快速的故障诊断(故障排除)
Sniffer强大的网络流量分析能力、七层网络协议解码能力和全面的Expert分析功能,可有效地查找网络、数据库和应用故障发生的根本原因,当您的网络出现故障的时候能帮您快速的进行故障诊断,使网络故障能被迅速隔离并排除。
4)问题分析
Sniffer的高级流量分析能力能帮您及时的发现网络问题并对问题产生的深层次原因进行分析,从而使网络问题在演变成网络故障之前得到解决,实现主动的网络管理,避免由于网络故障给您带来的损失。
5)长期的报告
NPOVisualizer企业级网络流量报告产品能通过收集SnifferDistributedAgent监控的流量信息生成长期的流量报告,使用户能对网络系统的整体性能、网络的运行状况、网络的流量趋势进行分析,帮助用户优化网络、提供投资依据。
6)实时的告警功能
分布式Sniffer能实时监控网络流量状况,一旦发现流量异常就可以产生实时的告警,从而使网络管理员能快速反应,保证网络的正常运行。
7)网络安全监控功能
分布式Sniffer能及时的对威胁网络安全的流量进行实时监控和分析,并且能根据网络攻击的特征定义过滤器,实时监控网络攻击对网络的威胁。
采用Sniffer企业级网络管理系统,能帮助用户保证网络的高可用性、高效性和安全性,从而保证业务应用的正常安全运行,降低由于网络问题给用户业务造成的损失。
3Sniffer网络故障诊断与管理解决方案
3.1Sniffer的网络故障诊断功能
Sniffer提供了能够缩减公司IT支出成本的故障管理解决方案。
事实证明,在解决网络问题的过程中有80%的时间都耗费在问题识别上,而解决问题本身仅占全部用时的20%。
选择Sniffer工具可以将“问题解决平均时间”大大地缩减。
发现问题之后,Sniffer软件会给出与该网络问题有关的详尽信息,包括网络性能下降以及应用响应速度缓慢等内容,从而帮助技术支持部门对问题进行识别和解决。
除了Sniffer的故障定位功能之外,Sniffer故障诊断专家系统可以对解决网络应用与性能问题以及当前网络环境中的常见的安全威胁提供帮助。
除了对RMON1,2的支持之外,Sniffer更是通过下述功能实现了故障诊断的能力:
♦Sniffer故障管理专家系统可为在网络中检测到的每个VLAN和域创建全局对象。
Sniffer故障管理专家系统会对交换协议例如VTP、ISL以及CDP进行分析以获悉网络上的VLAN。
♦Sniffer故障管理专家系统关注的是跨网络的实际数据传输(例如,它可对广播帧的数目和在预定义时间间隔内传输的字节数进行跟踪,目的是对网络负载进行检测)。
也可以对物理故障例如CRC故障以及那些很短的帧进行检测。
♦Sniffer故障管理专家系统可对网络寻址和路由问题进行检查。
它还可对子网间的通信进行解释并依照路程跳转对子网之间的距离进行测量。
♦Sniffer故障管理专家系统可对端到端通信和故障恢复的有效性进行检查。
♦Sniffer故障管理专家系统还可以针对会话应用层上各类问题提供自动甄别和定位,甚至包括了如Sybase、Oracle、SQLServer等各类数据库系统、DCOM/Corba应用服务器、以及其他各类互联网应用系统。
♦交换网络环境给网络分析和管理提出了独有的难题。
SnifferSwitchExpert使用户可以对交换机进行分析并针对单个端口或VLAN通讯启动捕获行动。
3.2Sniffer的故障管理能力
通过结合上述故障诊断模块的快速实现,Sniffer还拥有完整的故障管理功能,实现完整的故障管理机制。
3.2.1与故障诊断功能无缝集成
Sniffer的故障诊断功能可以带来快速的故障排除能力和大量的专家诊断信息。
在Sniffer故障管理功能中,能够完整的结合所有这些分析能力,充分利用故障诊断获取的信息,嵌入到整体故障诊断功能当中。
3.2.2警报
Sniffer的警报功能可以提供一个检测并记录异常事件(警报)的综合方法。
有两种警报来源:
♦SnifferExpert在数据捕获期间会发出警报。
当检测到故障现象或相应的分析诊断后,它可以将事件记录到日志中。
♦当您启动Sniffer后,监视器的警报管理器就会自动打开。
当用户指定的阈值被超过后,相关事件就会被记录到日志中。
警报日志可以显示所生成的警报的信息,包括警报状态、事件类型,警报生成的时间、警报的严重等级以及错误描述。
此外,您还可以为每一种严重等级指定最多四种警报通知行动(例如,您可以通过配置Sniffer,让它在发生危急或重大警报时发送电子邮件)。
警报通知行动可以在一天的特定时间段或一周的特定(一或几)天被激活。
除了浏览警报日志外,您还可以使用警报管理器应用来浏览探测器警报。
当代理上的SNMP选项设置正确时,可以将代理警报和警告作为SNMP捕获信息(traps)发送给警报管理器应用。
Sniffer可以提供针对所有ISO七层的警报通知:
♦数据库服务器响应缓慢
♦Telnet服务器缓慢
♦OracleSQL服务器缓慢
♦VoIP–高呼叫量,不完整呼叫过多
♦数据库安全违背企图
♦SAPR3服务器连接缓慢
♦多余IP地址
♦重传输过多
3.2.3帧捕获与解码技术
当需要确认通讯故障发生的位置时,对协议解码进行查看是非常必要的。
Sniffer支持500多种解码,可以对IGRP,OSPF,RIP,EIGRP等各类路由,IP,ARP,Bootps,DHCP等各类网络通讯、包括PPP,HDLC等各类封装进行解析,深入了解每一字节的含义。
在发生故障时,可以采取最深入、直接的分析手段,获取最确切的判断依据。
3.2.4第三方集成
Sniffer产品易于扩展,并支持与其他第三方产品的完全集成,例如:
♦HPOpenview
SnifferAgent生成的告警信息可以被HPOpenview用来对重大网络问题进行警告。
SnifferMIB符合HPElement管理系统的要求,可以把Sniffer集成到HPOpenView的管理中,因而可以充分发挥故障诊断和故障管理的优势。
♦MicromuseNetCool/CiscoCIC
借助我们的SnifferNPOManager产品,SnifferTechnologies支持与适用于NOC环境的NetCool事件管理系统的完全集成。
在识别了一个警报之后,就可以从NetCool控制台启动用于问题分析的ExpertAnalysis。
♦CAUnicenterTNG,IBMTivoli
Sniffer能够将捕获信息和警告内容通过预先定义的MIB格式,传递给TNG和Tivoli系统。
进一步发挥Sniffer故障诊断系统的长处。
♦第三方捕获管理器
所有专家警报都可以输入到捕获管理系统中,比如BMCPatrol。
3.2.5报告
Sniffer报告器代理(ReporterAgent)可以根据SnifferDistributed探测器应用收集的数据生成范围广泛的定制报告。
内置于Sniffer探测器中的报告引擎可以满足生成短期报告的需要。
也可以在其他报告的基础上生成详细的报告以了解应用响应时间、协议分布、TopN用户、TopN应用等信息。
这些报告是相互交互的活动页,可以提供更深层的“粒度”信息。
此外,nPOVisualizer报告解决方案可针对可管理探测器的所有数据生成企业报告。
这可以为网络运营者提供历史记录、基准、趋势分析以帮助他们了解网络的使用状况。
3.2.6易于使用的图形用户界面(GUI)
为了方便网络管理解决方案在大型企业中的应用,SnifferGUI为其所支持的拓扑结构:
LAN、WAN、VoIP以及无线,提供了一个统一的界面外观。
这样便于尽快将注意力转到网络问题上并分享有关解决问题的经验和知识。
3.2.7触发器
触发器功能允许您根据日期和时间、警报以及特定网络事件来启动和终止捕获。
当无人管理Sniffer(例如下班下时间或周末)或者有特定事件发生(例如有警报产生)时,可以使用触发器来捕获数据。
您可以定义三种触发器——启动触发器,这种触发器可以启动捕获会话;终止捕获器,可以终止捕获会话;以及启动和终止捕获器,它既可以启动也可以终止捕获会话。
与过滤器一样,一旦您定义了一个触发器并为之取名,此后就可以在恰当的时间再次使用它。
3.2.8过滤器
过滤器具有对受到性能降级影响的通讯进行数据复制的强大功能。
有两种类型的过滤器:
自定义的过滤器和自动过滤器。
过滤器可以根据地址、通讯内容、大小、协议种类进行多种条件的叠加过滤,集中针对相应主机、网段、应用、协议进行深入的故障管理。
确保相应网络中的问题能够被及时追踪和排除。
4运用Sniffer解决网络安全问题
也许很多人并不了解,Sniffer不仅在网络监视和故障解决领域是一个异常强大的工具,帮助您维护一个高性能网络和消除宕机,而且Sniffer在网络安全管理中也确实起到了非常重要的作用。
因为无论是防病毒软件还是网关防护硬件,都是针对一些既知的病毒和黑客攻击模式而设计的,对于已知的病毒有非常好的查杀能力。
但是企业需要不断地升级和更新最新的病毒定义和信息,如果企业不能及时升级产品,很可能就无法避免遭受病毒攻击的恶运。
而随着对网络攻击的愈发频繁和多样化,Sniffer提供了提高网络高可用性和可靠性的主动防御解决方案。
因为一旦发生网络安全问题,网络流量通常也会发生异常,Sniffer通过对网络流量的的分析,可以帮助用户及时找出引发异常流量的症结所在,以便确定安全隐患的存在。
4.1分解网络入侵
网络入侵可以简单地分为三个阶段:
攻击前、攻击中和攻击后。
按照这种方式划分当然很容易,但是如何防止别人非法使用您的网络就不那么容易了。
事实上,根据FBI和其他安全研究组织的调查,有50%到75%的入侵是来自于贵公司所“信任”的网络。
此外,如果入侵只是为了收集信息或资源的使用情况,而不是为了实施拒绝服务或搞破坏的话,攻击者是很容易把自己隐藏起来的。
这使得对您网络环境的监测和追踪变得更加困难。
大多数公司都采取了一些安全措施,比如防火墙和基于网络的入侵检测系统(IDS)。
同时还有一些工具可以帮助您在“攻击中”做出反应,比如基于主机的入侵检测。
最后,公司将会使用混合工具来帮助对入侵进行法律和事后分析。
下图显示了这些技术在攻击的三个阶段中所起到的作用。
SnifferTechnologies利用SnifferDistributed和SnifferPortable系列产品,可以通过向管理员通报入侵、根据特定标准对通讯进行过滤以及捕获数据/证据来重建系统实际受影响或危害的记录来对这些工具进行补充。
就像隐藏的安全摄像机可以记录一次银行抢劫一样,Sniffer日志同样可以提供重要数据来进行法律分析。
尽管网络入侵检测系统很有用也值得推荐,但目前还没有NIDS产品可以灵活到能够完全应对当今大型网络所采用的高速和大量分布式拓扑结构,而这正是SnifferTechnologies和SnifferDistributed产品系列能够弥补传统技术缺陷的地方。
SnifferDistributed不应该被视为NIDS的替代品,而是对现有NIDS的有益补充。
另一种能够引发严重后果的常见攻击是拒绝服务(DoS)攻击。
这种攻击会利用数目众多的服务器向您的关键服务器发出请求,从而产生大量通讯,使您的设备过载,以至于对正常请求也无法作出回应。
对网站和关键文件服务器而言,这是一种非常常见的攻击。
一旦您的服务器遭受攻击,您的设备资源就会被用于对其它的您根据就无从知晓的目标进行拒绝服务攻击。
这里就是Portable或SnifferDistributed能够为您提供帮助的地方。
我们在本建议书后面举了这样一个范例,从而使您了解如何使用Sniffer技术,在特定服务器收到大量请求时或您网络中的某个特定设备发送大量请求时触发警报。
这样IT支持团队就能够采取必要的措施来保护您的设备。
SnifferDistributed同样可以发现来自于未授权终端用户的重复请求,这样就可以将该用户“踢出”关键服务器。
可以设置很多触发器和警报来补充公司基于网络或基于主机的入侵检测系统的警报结构。
一个公司可以使用SnifferDistributed来检查潜在的网络安全隐患,比如Nimda蠕虫。
在本建议书中,我们将向您展示一个过滤器的范例,它可以轻松创建并阻止Nimda蠕虫的传播,同时还可以快速发现受感染的服务器,直到管理员采取修复措施为止。
该过滤器可以为公司节省大量被用于搜索和识别恶意代码的人力和时间。
SnifferDistributed的优势在于它的专家引擎,它可以允许用户捕获一个巨量追踪文件,并快速剔除不相干数据,来帮助您进行证据收集。
根据特定设备或通讯模型来设定过滤器有助于快速识别重要数据,从而能够追踪入侵者的意图和所做的破坏。
4.2Sniffer与网络入侵检测系统(NIDS)
网络入侵检测系统(NIDS)善于监听通讯,并能该将这些通讯与数据库中的已知攻击进行比较。
SnifferTechnologies执行的是不同的任务,但这并不意味着它不具备其他的用途。
Sniffer及其强大的引擎可以捕获通讯并执行下列功能:
∙过滤
Sniffer具备强大的过滤功能。
过滤功能允许一个网络管理员将精力集中于网络直至比特层。
通过定义过滤器,网络管理员可以快速缩减特定问题的监视范围。
∙捕获
Sniffer不仅可以检查网络中的每一个信息包,还可以存储和捕获追踪文件。
当利用这些捕获的追踪文件时,法律技巧就可以提供足够的证据来识别供给者或安全事件是否已经发生。
∙协议解码
Sniffer可以对范围广泛的协议进行解码。
Sniffer能够解码OSI模型上所有七层的协议。
例如,Sniffer可以对路由协议比如OSPF以及HTTP等应用协议进行解码。
广泛的解码覆盖率允许Sniffer处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sniffer 方案 白皮书 new