通常在一般大型的网络一般在1000信息以上时,网络通常是多网段,网络设备多样化,应用也相对多且复杂,给安全管理带来很多的问题。如何实时了解到网络中各部门,各网段的网络流量,流量中有些什么应用?如何实时了解到网络内的攻击行为,病毒发作,如何定位?如何应急处理?
通常我们在实时监控大型网络一般采用MRTG流量监控这一类的实时监控软件,实时以图形化方式监控网络中各网段、网络总出口、PC服务器及网络设备端口负载、及相应的进流量和出流量;由此可直观判断出网络整体流量峰值情况;通过对进出流量对比可判断出网络非法应用,网络病毒攻击发作的情况。也可通过防火墙的安全日志定位网络攻击区域,通过IDS进行报警。
这时网络分析软件如sniffer、Etherpeek/OmniPeek及科来等就在这些具体区域发挥重要作用,采用布署进行网络行为过滤抓包,并进行分析,准确定位攻击源、病毒源、IP或MAC的网络具体行为。这也是比较考基本功的时候。网络管理者一般要熟悉TCP/IP中各协议的包封装格式,各种流行的应用协议的数据包过滤特征等,能确认并分析出重点故障。
不过网络分析的确也是一把双刃剑,很多网上的信息对于它是比较透明的,大家应能合理,合法的加以利用。
我只是抛砖引玉,说一点点而已,希望大家多拍砖,多交流!呵呵!
[ 本帖最后由 jiesen 于 2006-5-31 17:51 编辑 ] |
发表于 2006-5-31 17:48:37
发表于 2006-6-1 11:08:01