Iris是一款嗅探工具，能給我們提供一個良好的監(jiān)控和分析數(shù)據(jù)包平臺。針對目前網(wǎng)絡出現(xiàn)的新挑戰(zhàn)，如蠕蟲病毒的泛濫、P2P下載軟件的濫用以及入侵者的肆意攻擊等，網(wǎng)管人員可以運用該軟件對各種網(wǎng)絡災害實施有效的監(jiān)控，并做出正確的判斷和分析，保證網(wǎng)絡在一個相對安全、穩(wěn)定的環(huán)境中運行。軟件Iris簡單實用且代碼免費公開，對硬件要求也相當?shù)停容^適合在中小學推廣。
　　網(wǎng)絡的不斷發(fā)展和普及，一方面給人們帶來了便利的信息交流，另一方面也使我們面臨著許多新挑戰(zhàn)，如病毒爆發(fā)、惡意攻擊等。這些災害會耗盡有限的網(wǎng)絡資源，造成數(shù)據(jù)阻塞。通常采取的防范措施是利用ACL（訪問控制列表）控制數(shù)據(jù)流量，但到目前為止，大部分中小學的校園網(wǎng)并沒有相關設備，一旦發(fā)生上述網(wǎng)絡災害，網(wǎng)管人員往往顯得很被動，無計可施。倘若對網(wǎng)絡內的主機進行逐一排查，不僅費時，而且效果也不理想。下面筆者介紹如何使用Iris軟件對網(wǎng)絡內所有主機實施有效監(jiān)測。
　　
　　一、Iris簡介
　　
　　Iris是Eeye公司出品的一款網(wǎng)絡流量監(jiān)測工具，簡單實用且代碼免費公開，目前比較流行的版本是Iris4.0。該軟件通過監(jiān)控數(shù)據(jù)包的流量、端口和類型來分析網(wǎng)絡是否正常。
　　我們知道，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包都是從源地址出發(fā)，經過代理或者地址轉換尋找目的地址。對網(wǎng)絡實施監(jiān)控前，首先應該把Iris安裝在做代理或者地址轉換的主機上，并且主機的網(wǎng)卡要設置為混雜模式，而不選擇正常模式。因為在正常模式下，網(wǎng)卡只接收目的地址是本機的數(shù)據(jù)包或者廣播包；而在混雜模式下，網(wǎng)卡可以接收到包括目的地址不是本機的所有經過本機的數(shù)據(jù)包。目前，蠕蟲病毒的泛濫、P2P下載軟件的濫用以及入侵者的肆意攻擊已經成為干擾網(wǎng)絡正常運行的三大災害。筆者在此舉三個實例做分析研究。
　　
　　二、Iris應用案例
　　
　　啟動Iris，選擇“Filter”下拉菜單的“Edit Filter”命令，在“Hardware Filter”對話框中，選擇“Promiscuous”復選框。
　　實例一：監(jiān)控W32.Welchia蠕蟲病毒
　　W32.Welchia（中文稱“沖擊波殺手”）是一種通過網(wǎng)絡傳播的惡性蠕蟲病毒，會探測多種漏洞，屬于“沖擊波”病毒的變種。Welchia蠕蟲病毒能在短時間內向網(wǎng)絡發(fā)送大量的ARP數(shù)據(jù)包，使交換設備的數(shù)據(jù)處理能力快速下降，造成網(wǎng)絡癱瘓。被感染的主機在任務管理器里通常有“DLLHOST.EXE”這個進程。利用Iris監(jiān)控Welchia蠕蟲病毒，步驟如下。
　　步驟1：啟動軟件Iris，進行過濾設置
　　選擇“Filter”下拉菜單的“Edit Filter”命令，在“l(fā)ayer2.3”對話框中，選擇“ARP”復選框。進行過濾設置后可以保證捕獲的數(shù)據(jù)包僅僅是ARP數(shù)據(jù)包，而非其他類型的數(shù)據(jù)包，這樣便于觀察和分析問題。由于ARP數(shù)據(jù)包是不能跨網(wǎng)段