txwwy 发表于 2004-11-16 02:16:37
二、1拖N清理解决方案原理介绍: 1拖N清理解决方案的技术原理主要包括代理服务的监测和代理服务的阻止两大功能。 1、监测代理服务的功能原理: 经过研究发现,每台计算机都有自己的一些独特特征,就好像人的指纹(fingerprinting)一样。运行特定操作系统的计算机,有自己特定的操作系统指纹;运行特定的应用程序的计算机,有自己特定的应用程序指纹;使用不同传输特征的软件,又会产生不同的TCP指纹。所有这些信息可以统称为网络指纹技术。这里描述的网络指纹(Finger Printing)是指每台计算机向网络发送数据时包含的特定信息:这些特定信息包含了一些可以识别主机身份的特定参数。 就地址转换设备(NAT)或Proxy Server而言,这些设备实际只是修改了需要转换或代理计算机的源IP地址和源端口号(Port),对包的其它信息并没有作任何修改。因此,这些包在离开地址转换设备(NAT) 或Proxy Server进入公共网络以后,依然携带着可以辨别出它们身份的网络指纹。 通过端口镜像或者分光的办法,在上行端口侦听用户发出的数据包,根据数据包所含的网络指纹的特定参数来识别是否有多台终端发出的数据包经过了NAT/Proxy Server进行了地址和端口的转换。 目前采用的监测设备所利用的网络指纹主要包括IP指纹和TCP指纹。IP指纹包含Version、Time to Live等参数,TCP指纹包含Sequence Number、Acknowledgment Number、Slide Window、Time Stamp等参数。如利用Sequence Number“流轨迹”去检测在地址转换设备(NAT) 或Proxy Server后有多少台计算机。 2、阻止代理服务的功能原理: 监测设备通过向目标用户发送阻止命令,去阻止非法用户的通讯连接。目前只能阻止使用TCP协议的通讯,还不支持使用UDP协议的通讯。事实上,当前大部分的应用都是使用TCP协议,而流媒体、语音等应用,一般用UDP来传输实际内容,以TCP协议来控制通讯。所以监测设备能阻止非法的用户使用大多数的网络应用内容。 阻止TCP协议通信的作法是在用户发起TCP连接请求的时,当目的服务器还未对用户的请求进行应答的时,由监测设备模拟目的服务器给用户返回一个中断TCP连接请求的应答,在目的服务器的应答到达用户之前,中断用户发起的TCP请求,使得用户无法建立起TCP连接。 三、1拖N清理解决方案的设备介绍: 1拖N监测设备采用上海上大雷克网络系统公司厂家提供的NetSniper-II,该设备的核心技术采用的是美国有限电视网的监测技术,属于较成熟的技术。 NetSniper-II的侦听端口有百兆端口和千兆端口两个类型: 侦听端口:1个10/100M以太网RJ45接口 管理端口:1个RS232接口 控制端口:1个10/100M以太网RJ45接口 同步端口:1个10/100M以太网RJ45接口 电源:220V/50Hz,150W;可选110V/60Hz输入 冷却:内置四个高性能风扇 尺寸:1U 440×431×44(宽×深×高) 工作温度/湿度:0~50℃/5~95%无冷凝 控制用户数目:500、1000、2000和4000 侦听端口:1个1G以太网SC光纤接口 管理端口:1个RS232接口 控制端口:1个10/100M以太网RJ45接口 同步端口:1个10/100/1000M以太网RJ45接口 电源:220V/50Hz,150W;可选110V/60Hz输入 冷却:内置四个高性能风扇 尺寸:4U 430×605×175 (宽×深×高) 工作温度/湿度:0~50℃/5~95%无冷凝 控制用户数目:1000、2000、4000和8000 四、1拖N设备部署建议: 根据我省的实际网络情况,建议将检测设备安装在各市城域网主节点或城域网出口,对主节点或出口的设备(6509)上行线路进行侦听,检测设备的控制端口连接到主节点或出口的设备上。 目前主要连接方案有三种:单出口时镜像连接、双出口负载均衡时镜像连接和使用分光连接。 1、单出口时镜像连接: 使用本这个方案时要求出口是唯一的,这样可以保证网络尖兵可以获取完整的用户上行信息。本方案实现起来非常简单,不会影响网络的正常运行,可以在任何时间安装。下图是一个实际连接的案例。 设备需要:NetSniper网络尖兵一台、网管计算机一台(Intel Celeron 1.3G/256M/10GHDD/网卡)、如果侦听端口是光口责需要配GBIC卡、网线等。 2、双出口负载均衡时镜像连接: 由于实际的连接不同,许多网络采用了双出口负载均衡的连接方案,可以使用这种连接方法。 这种方法要求在每一个出口处安装一台网络尖兵,这样可以保证网络尖兵可以获取完整的用户上行信息。与单出口时镜像连接的方式不同,这几台网络尖兵之间需要用网线将级联端口连接起来。 本方案实现起来非常简单,不会影响网络的正常运行,可以在任何时间安装。下图是一个实际连接的案例。 设备需要:NetSniper网络尖兵二台、网管计算机一台(Intel Celeron 1.3G/256M/10GHDD/网卡)、如果侦听端口是光口责需要配GBIC卡、网线等。 3、使用分光连接: 有些时候,如没有多余的网络接口、某些交换机不适合做镜像、路由器端无法做镜像等,使得在实际连接时无法使用镜像,这个时候可以用分光的方式连接。 使用分光的方式连接使得连接的方式变得非常灵活,但需要在网络中增加一个分光器,使用分光器会降低原有光信号传输的功率,因而对原有的传输距离有影响。在安装分光器时需要断网,影响时间一般在10秒~20秒之间。下列二图是二个实际连接的案例。 设备需要:NetSniper网络尖兵一台、分光器一台、网管计算机一台(Intel Celeron 1.3G/256M/10GHDD/网卡)、如果侦听端口是光口责需要配GBIC卡、网线等。 五、设备管理软件的功能介绍: 1、NetSniper网络尖兵软件的体系结构 NetSniper网络尖兵的软件体系结构包含四部分:NetSniper网络尖兵控制终端程序、NetSniper LogManager日志接收器、LogView日志管理器和UserManager用户管理器。 2、NetSniper网络尖兵软件的快速操作简介 (1)NetSniper Console控制终端 NetSniper网络尖兵控制终端程序作为NetSniper网络尖兵的系统设置和管理工具,可用于设置NetSniper网络尖兵的各种参数、进行特殊设置以及设定访问日志等,所设置的参数供NetSniper网络尖兵控制器服务程序使用。 该程序使得整个网络设置变得非常简单,易于操作。 (2)NetSniper LogManager日志接收器 NetSniper LogManager用于NetSniper网络尖兵的日志接收与处理。它可以单独运行在一台计算机上。 NetSniper LogManager的使用非常简单,打开“开始/程序”,找到“NetSniper网络尖兵”下的“NerSniper 日志接收器”,单击运行该程序,进入主界面即可。唯一值得注意的是必须在“设置”命令中填写与NetSniper网络尖兵控制器中“发送日志”相同的“UDP端口号”。 “写入文件”和“写入数据库”为多选项。选择“写入文件”则会将接收到的日志信息自动写入到记事本NetSniper_log_当前日期.INI,即执行菜单“查看日志文件”时所显示的内容;选择“写入数据库”则会将接收到的日志信息自动写入到数据库NetSniper_log.mdb。 (3)NetSniper LogView日志管理器 提供专门的日志管理程序,用于分析NetSniper LogManager接收到的工作记录日志,根据各检测结果判断用户性质。在NetSniper LogView中的系统设置包含了一些重要的参数设置。 “更新及查询时的对应条件”为单选项,可根据实际情况选择以“以IP地址作为索引对应”、“以MAC地址作为索引对应”、“以用户帐号地址作为索引对应”或者“以上网认证记录作为索引对应”。本项设置对于数据检索非常重要。 “导入日志”设置为多选,可以同时选择“导入日志后,删除日志文件”和“导入日志前”,清空日志数据库。 (4)NetSniper UserManager用户管理器 UserManager主要实现对用户信息的管理,包括将已有的用户信息导入或导出数据库,对用户信息进行增加、删除、修改、查询,以及向NetSniper发送这些信息等功能。__________________心想事成 发表于 2004-11-16 08:11:41
嗯 ,很好资料,谢谢!smile787 发表于 2004-11-16 19:54:24
感动`~~~txwwy 发表于 2004-11-17 01:35:38
所以我看要完全破解网络尖兵还有点困难也
页:
[1]