摘要：校園網(wǎng)是一個高度集成的系統(tǒng)工程，各種網(wǎng)絡設備、應用程序與聯(lián)網(wǎng)用戶的交互作用日益復雜，網(wǎng)絡管理的地位越顯得重要。OmniPeek網(wǎng)絡協(xié)議分析軟件，通過對交換機鏡像端口捕獲數(shù)據(jù)并分析，能幫助網(wǎng)絡管理員了解網(wǎng)絡運行狀況，及時排除網(wǎng)絡故障并優(yōu)化網(wǎng)絡性能。

關鍵詞：OmniPeek；協(xié)議分析；端口鏡像；校園網(wǎng)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2009)04-0828-03

OmniPeek Network Protocol Analysis Based on Port Mirroring

WEI Ping1，2

(1.School of Information Technology Jiangnan University，Wuxi 214122，China;2.Network Center of WXSTC， Wuxi 214028，China)

Abstract: Campus Network is a highly integrated system project. With an increasing complexity of the interaction among a variety of network devices， applications， and networking users， network management tends to be more important. OmniPeek network protocol software based on switch port mirroring， can capture and analyze network data， help network administrators monitor network status， remove network errors quickly and optimize network performance.

Key words: omniPeek; protocol analysis; port mirroring; campus network

1 引言

隨著信息化在我國的不斷深入和發(fā)展，校園網(wǎng)為高等教育事業(yè)注入了新的活力。Internet的接入擴大了校園網(wǎng)的應用范圍，網(wǎng)絡技術的高速發(fā)展帶來了許多新技術應用，各類網(wǎng)絡信息平臺廣泛應用于“產(chǎn)、學、研”。這些都成為衡量高等院校信息化水平的重要標志，信息化全面帶動了我國高等教育事業(yè)的現(xiàn)代化。在校園網(wǎng)物理拓撲基礎架構已經(jīng)確立，各種網(wǎng)絡設備、應用程序與聯(lián)網(wǎng)用戶的交互作用卻日益復雜。在大型網(wǎng)絡架構中，確保網(wǎng)絡的快速響應和高效率運行，這是基本的網(wǎng)絡故障檢測和網(wǎng)絡管理研究的范疇。

如何對校園網(wǎng)進行全方位有效的管理，及時掌握網(wǎng)絡的運行狀況并在網(wǎng)絡發(fā)生故障后能及時分析、排查，已成為網(wǎng)絡管理員的重要工作并日益受到重視。網(wǎng)絡分析軟件提供了復雜環(huán)境中維護、分析和管理網(wǎng)絡的優(yōu)秀工具。OmniPeek是美國WildPackets公司推出的一款功能強大的協(xié)議分析軟件，與sniffer類似，它提供了優(yōu)秀的網(wǎng)絡實時管理和故障檢測等功能。

2 網(wǎng)絡協(xié)議分析在校園網(wǎng)管理中的重要性

校園網(wǎng)是一個高度集成的系統(tǒng)工程，由于各種不確定因素，網(wǎng)絡管理員時刻面對著大量網(wǎng)絡管理方面的問題，需要全面了解網(wǎng)絡的運行狀況，及時作出判斷和決策。如：

1）當前網(wǎng)絡中有多少計算機在訪問Internet？每個校園網(wǎng)內(nèi)部IP所占的數(shù)據(jù)流量有多大？

2）網(wǎng)絡中運行著哪些應用協(xié)議？各種應用協(xié)議所產(chǎn)生的傳輸流量占多大的比例？

3）某個時段校園網(wǎng)與Internet的通信總量有多少？網(wǎng)絡利用率如何，有沒有傳輸性能上的瓶頸？能否優(yōu)化網(wǎng)絡性能？

4）通訊主機的源MAC地址、源IP地址、源端口是什么？目的MAC地址、目的IP地址、目的端口是什么?數(shù)據(jù)包解碼后的具體內(nèi)容是什么？能否實時顯示每個IP的網(wǎng)絡連接圖？

5）有沒有廣播風暴和網(wǎng)絡攻擊行為？有沒有中毒計算機在不斷向網(wǎng)絡發(fā)送攻擊數(shù)據(jù)包？能否及時判斷和排查等等？

上述都涉及到了校園網(wǎng)中比較復雜的、深層次管理方面的問題，在許多情況下可以利用網(wǎng)絡協(xié)議分析軟件來輔助判斷和決策。

3 OmniPeek網(wǎng)絡分析軟件的特點

OmniPeek利用計算機網(wǎng)卡捕獲交換機鏡像端口數(shù)據(jù)，并實時統(tǒng)計分析出結果，能全面反映網(wǎng)絡底層的運行狀況。OmniPeek主要特點如下：

1）提供了針對整個網(wǎng)絡系統(tǒng)（或者子網(wǎng)）的實時故障檢測。

2）包括功能強大的、與現(xiàn)有網(wǎng)絡很高相關性的分析工具，能識別大量主流的應用協(xié)議。

3）界面友好、清晰直觀，與sniffer相比，操作和配置均比較簡單。

4）基于數(shù)據(jù)包流的專家級和應用程序級分析，支持分布式錯誤分析與無線網(wǎng)絡。

5）以OSI（開放系統(tǒng)互聯(lián)）參考模型為基礎，提供了從物理層到應用層的全七層實時解碼、顯示網(wǎng)絡數(shù)據(jù)包。

6）自動生成各類分析報告及圖表，為保護并優(yōu)化網(wǎng)絡性能提供決策依據(jù)。

4 OmniPeek網(wǎng)絡分析平臺的構建

建議采用Windows2000server以上操作系統(tǒng)作為OmniPeek的OS平臺，為了確保網(wǎng)絡抓包和協(xié)議分析的高效、穩(wěn)定，通常采用高性能CPU處理器、大容量內(nèi)存和千兆網(wǎng)卡的服務器平臺。在小型局域網(wǎng)中（一般不超過20臺計算機），可以采用百兆集線器（HUB）抓包。但在大型網(wǎng)絡中，核心層采用HUB抓包會造成網(wǎng)絡傳輸性能的嚴重瓶頸。所以通常采用高性能的千兆智能交換機，如思科的Catalyst系列全千兆三層交換機。利用思科的SPAN（Switched Port Analyzer）功能，把交換機的某1個或者多個源端口中全部接收和發(fā)送的數(shù)據(jù)流實時復制（鏡像）到某1個目的端口上，其中目的端口連接OmniPeek的服務器網(wǎng)卡。

網(wǎng)絡中心通常分析整個校園網(wǎng)與Internet出口處的網(wǎng)絡通訊數(shù)據(jù)包，也可以針對某個VLAN、或某個匯聚層、接入層交換機分析數(shù)據(jù)包。以思科WS-C3750G-24T-S交換機為例，進行如下配置：其中交換機的Port1連接防火墻的lan口，Port2連接核心交換機Catalyst6509的千兆以太網(wǎng)模塊，Port24作為Port1的鏡像端口。即把校園網(wǎng)中全部通過防火墻的數(shù)據(jù)包復制到Port24，同時Port24連接OmniPeek的服務器網(wǎng)卡，以便抓包和分析統(tǒng)計。

思科WS-C3750G-24T-S交換機的SPAN端口鏡像配置命令如下：

Switch>enable

Switch#config terminal

Switch(config)#no monitor session 1

Switch(config)#monitor session 1 source interface gigabitethernet1/0/1

Switch(config)#monitor seesion 1 destination interface gigabitethernet1/0/24

Switch(config)#end

Switch#copy running-config startup-config

Switch#exit

5 OmniPeek的具體應用與分析實例

啟動OmniPeek軟件后，點擊“NewCapture”，設定抓包緩沖區(qū)“Bufferr Size”的大小，如“300 M”字節(jié)，如圖1所示。當服務器存在多塊網(wǎng)卡，必須在“Adapter”中選擇當前用于抓包的網(wǎng)卡。點擊“確定”后選中“Start Capture”，即開始一次新的抓包過程。在網(wǎng)絡使用的高峰時間段，或者網(wǎng)絡發(fā)生故障、性能不穩(wěn)定、傳輸流量異常等情況時啟用OmniPeek，就可以實時分析網(wǎng)絡的運行狀況。

1） 流量分析與交換機端口速率優(yōu)化。

通常網(wǎng)絡流量越大，對整個網(wǎng)絡造成的影響就越嚴重。根據(jù)校園網(wǎng)內(nèi)部每個IP的網(wǎng)絡流量從大到小進行排序，發(fā)現(xiàn)某些IP流量較大，如圖2所示。主要是實驗室代理服務器、圖書館光盤鏡像服務器、多媒體教室計算機等。代理服務器集中控制實驗機房計算機的上網(wǎng)接入，OmniPeek能檢測出其WAN口網(wǎng)卡的流量。光盤鏡像服務器用于圖書館非書資源的上傳和下載，而多媒體教室的計算機經(jīng)常要用到視頻課件點播服務，因此產(chǎn)生的流量都比較大。其它一些計算機流量大，是因為有的用戶在濫用BT、迅雷、Emule等P2P工具進行大流量下載。因此在接入層交換機端口，根據(jù)不同的應用需求，靈活的設置不同端口速率，如代理服務器等設置端口速率上下行達到20M ，普通辦公計算機設置端口速率上下行達到2M，以優(yōu)化網(wǎng)絡的整體傳輸速率。對于一些常用的工具軟件、視頻課件等，網(wǎng)絡中心可以在校園網(wǎng)核心層設置一臺內(nèi)部FTP服務器，以 LAN方式供用戶下載，從而大大減輕Internet出口路由器的傳輸壓力。

2） 某個子網(wǎng)上網(wǎng)故障分析和排查。

某天上午，9網(wǎng)段用戶報告網(wǎng)絡故障，反映其整個網(wǎng)段不能接入校園網(wǎng)。啟用OmniPeek協(xié)議分析后，根據(jù)IP通訊列表排序。發(fā)現(xiàn)整個192.168.9.0網(wǎng)段的計算機與Internet沒有任何通訊流量，但其它網(wǎng)段用戶均能正常訪問Internet?？梢猿醪脚懦诵慕粨Q機、防火墻和Internet出口路由器的故障。因此故障原因可以從核心交換機的9網(wǎng)段光纖模塊起，到其匯聚和接入層交換機及綜合布線處查找。經(jīng)排查，發(fā)現(xiàn)9網(wǎng)段匯聚交換機端光纖模塊松動，導致其整個子網(wǎng)數(shù)據(jù)傳輸鏈路中斷。經(jīng)重新插緊光纖模塊后，數(shù)據(jù)鏈路接通，上網(wǎng)恢復正常。

3） 網(wǎng)絡攻擊分析和緊急處理。

某天下午，校園網(wǎng)用戶普遍反映上網(wǎng)速度奇慢，Internet網(wǎng)頁不能正常打開，網(wǎng)絡傳輸性能急劇下降。啟用OmniPeek協(xié)議分析后，根據(jù)IP通訊列表排序，發(fā)現(xiàn)核心層192.168.0.150這臺主機不停的向網(wǎng)絡發(fā)送大量UDP攻擊數(shù)據(jù)包，上傳流量特別大。再仔細檢查這臺計算機，發(fā)現(xiàn)系統(tǒng)日期被篡改，殺毒軟件已被禁用，肯定是感染了某類惡意計算機病毒引起的網(wǎng)絡攻擊。為了恢復網(wǎng)絡的正常工作，采取臨時措施果斷地拔下這臺主機的網(wǎng)線，整個校園網(wǎng)立即恢復了暢通。后經(jīng)重新安裝操作系統(tǒng)，徹底查殺計算機病毒，修復全部補丁， 192.168.0.150主機恢復了正常工作。在大型校園網(wǎng)中，由于聯(lián)網(wǎng)用戶眾多，網(wǎng)絡中心可以架設一臺網(wǎng)絡殺毒服務器，集中部署客戶端殺毒軟件，對聯(lián)網(wǎng)計算機進行病毒查殺和病毒庫統(tǒng)一升級，以提高網(wǎng)絡的整體安全性。

4） 網(wǎng)絡協(xié)議應用狀況查詢。

在OmniPeek的分析結果中，點擊“Protocols”，可以查看在某時段網(wǎng)絡協(xié)議的應用分布情況，如圖3所示。網(wǎng)絡管理員可以及時掌握當前主要網(wǎng)絡協(xié)議的占用比率，以及哪些IP在運行這些協(xié)議，比如HTTP傳輸協(xié)議所占的百分比。雙擊“HTTP”后，顯示出這個時段哪些IP用戶在通過HTTP瀏覽網(wǎng)頁，并可了解每個IP的HTTP傳輸字節(jié)數(shù)與數(shù)據(jù)包數(shù)。點擊 “BitTorrent”后，可以看到當前哪些IP在運行BT下載軟件等。圖3所示，在某個網(wǎng)絡使用的高峰時段，UDP協(xié)議所占比例較大，達到72%左右，反映出當前基于UDP協(xié)議的網(wǎng)絡應用程序利用率所占比例最大。

5） IP網(wǎng)絡通訊連接圖

在OmniPeek的分析結果中，點擊“Peer Map”，可以清晰的看到每個IP之間的網(wǎng)絡連接交通圖。如IP為192 .168.0.198與218.90.175.169的兩臺主機建立了連接，而在網(wǎng)絡協(xié)議中這個連接是基于HTTP協(xié)議的，說明內(nèi)網(wǎng)中IP為192 .168.0.198的主機登錄到IP為218.90.175.169的主機，利用HTTP協(xié)議瀏覽網(wǎng)頁。通過IP網(wǎng)絡通訊連接圖還可以查看網(wǎng)絡廣播、組播等連接情況。

6） 網(wǎng)絡統(tǒng)計結果匯總表

在OmniPeek的分析結果中，點擊“Summary”，可以查看在某時段網(wǎng)絡利用率的統(tǒng)計匯總表，如圖4所示。包括開始分析的日期與時間、網(wǎng)絡丟包數(shù)、總的傳輸數(shù)據(jù)包數(shù)、當前利用率bits/s、平均利用率等參數(shù)。還包括了Email、FTP、ICMP、VoIP分析與Internet攻擊、WEB URLs等統(tǒng)計信息，為網(wǎng)絡管理員分析校園網(wǎng)總出口處的運行狀況提供了全面的統(tǒng)計數(shù)據(jù)。

7） 協(xié)議過濾與數(shù)據(jù)包分析

為了有針對性的分析某些網(wǎng)絡協(xié)議，可以點擊“Filters”，選擇一個或多個協(xié)議進行分析。以FTP協(xié)議為例，篩選FTP（FTP data or control packets）后，開始一次抓包過程。這時OmniPeek對進出防火墻的的“FTP連接與傳輸”單獨抓包并分析。點擊“Packets”后查看列表，可以看到源IP為192.168.0.193的主機與目的IP為218.90.174.165的FTP服務器進行連接并下載數(shù)據(jù)，同時顯示出這兩臺主機網(wǎng)卡的MAC地址，如圖5所示。雙擊某記錄后，能夠詳細的顯示這個IP數(shù)據(jù)包的完整結構信息。在解碼數(shù)據(jù)“summary”一欄中，顯示出登錄用戶名為“test”，密碼為“123456”。這說明了OmniPeek能夠?qū)?shù)據(jù)包中隱含的深層次信息進行分析解碼，同時反映了客戶機利用FTP下載，登錄用戶名與密碼以明文方式發(fā)送存在著一定的安全隱患。在一些網(wǎng)絡安全級別較高的環(huán)境中，可以通過SSH等加密方式進行遠程主機登錄和連接，以提高安全性。

■

圖5

以上是OmniPeek的基本應用與常見的實例分析，其它一些高級特性，如廣域網(wǎng)分析、無線網(wǎng)絡分析、“Expert”專家分析、Omni DNX分布式引擎應用等，可以隨著網(wǎng)絡架構的規(guī)模與大小、復雜程度等，作進一步深入研究與靈活應用。

6 結束語

網(wǎng)絡協(xié)議分析在網(wǎng)絡管理中的地位日益重要，并在廣域網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)、高校宿舍網(wǎng)、寬帶小區(qū)網(wǎng)等各類大中型網(wǎng)絡中得到了廣泛的應用。OmniPeek、sniffer 等協(xié)議分析軟件的許多設計思想和功能特性被集成到“行為監(jiān)管器”等網(wǎng)絡安全設備中，用于網(wǎng)絡日志的記錄與監(jiān)管。作為高職高專院校，可以把它列為一門重要的計算機網(wǎng)絡實訓課程，在修完“網(wǎng)絡基礎”、“TCP/IP協(xié)議原理”、“網(wǎng)絡工程”和“交換機與路由器配置”課程后學習。對于學生理論聯(lián)系實際、深刻理解網(wǎng)絡協(xié)議的基本原理與應用，提高動手能力和網(wǎng)絡管理水平，以及積累一定的實踐經(jīng)驗都有很大的幫助。

參考文獻：

[1] http://www.wildpackets.com/products.

[2] Robert J.Shimonski.SnifferPro網(wǎng)絡優(yōu)化與故障檢修手冊[M].北京:電子工業(yè)出版社，2001.

[3] Dmitry Bokotey.CCIE Security實驗指南[M].北京:人民郵電出版社，2000.