自己动手打造公司内网监管利器

【独家特稿】这次经济危机对大型企业伤害很大，国内除了一些内需型的基本不受影响之外，各个公司都开始了寒冬之际的裁人行为。这期间，为了顺利推行裁人，降低企业赔偿金，一些平时不使用的手段大家都用了上来，一切为了让员工犯错，为了一切犯错的员工。本文虽然写的是监控方案，但希望读者朋友们通过下面这个故事，逆推出一些解决方案。

俗话说天有不测风云，前两天我还和冷阳悠闲地打剑侠世界，这两天一过，我们老板找我谈话，说要和谐人口了，公司人太多。考虑到公司要让我卷铺盖回家了，所以能利用的资源还是赶紧利用下吧。

公司虽然对网络方面不太重视，可是设备还是很舍得投资的：全三层华三交换机构建的网络。为了最后做一次好人，我决定帮老板抓几个上班乱看网站的家伙，让他一口气全开了，节约资金。

嗅探的干活

下个Sniffer Pro ，安装过程简单，切记要重启，不重启根本抓不到数据包注① 。

还有必须要下JAVA，不下不显示仪表盘信息，打开http://www.java.com/zh_CN/ ，鲜红的JAVA+等你到来。如图1所示。

装好一切，就可以干活了，不过这玩意直接在局域网内嗅探，是抓不到什么好东西的，所以我们还得设置端口镜像注② 。

这次我是拿我的最贵的那台交换机开刀的。一般路由器有两个接口，一个外，一个内，正常接法是外口光猫，内口接交换机。但是这种低级的方法我不用。为啥？因为公司有钱，带宽是100M的，这样用很浪费。唉，这么有钱的公司还是要开我。

最终接法是光猫接入交换机，然后路由器的两个端口也同样接入交换机。这样接有两个好处：1.可以对交换机上的其他主机设置外网IP；2，可以用交换机直接对各个端口进行限速和VLAN划分，或者隔离网络。

内网入口插入交换机，在23 端口；找一台PC，接入交换机，在11端口。

开始配置H3C的交换机，鼠标全部搞定，根本不用命令行，如图2所示。

点击端口>镜像，设置监控口和镜像口

其实如果没有web界面，用语句写也很简单。telnet到交换机的IP下,开始如下操作：  #p#

配置文件给个全的。这交换机基本没有做别的用途，所以配置清单很清爽。

********************************************************************************

*  Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.   *

*  Without the owner's prior written consent,                                  *

*  no decompiling or reverse-engineering shall be allowed.                     *

********************************************************************************

Login authentication

Username:tt （输入用户）

Password: （输入密码，默显）

%Apr 12 08:38:16:685 2000 H3C SHELL/5/LOGIN:- 1 - jh(172.30.38.21) in unit1 logi

ndis         

^ % Incomplete command found at '^' position.

sy （进入system模式，华为和思科的设备都可以简写，只要不存在歧义，多短都可以，但是很明显，现在最短是2字节。）

System View: return to User View with Ctrl+Z.

[H3C]dis cu （display current-configuration的缩写，作用是打印配置文件，作为一个耍酷装帅的IT工程师，简写是一定要学会的，要不就跟我一样得失业。。）

#

sysname H3C

#

super password level 3 simple *******（配置没改，明文。。。一个敬业的IT工程师一定要明文保存密码，以保证离职之后能顺利找回。）

#

radius scheme system # domain system

#

local-user h3c

password simple h3c

service-type telnet

level 3

local-user tt

password simple ******(z这里其实是明文密码)

service-type telnet

level 3

#

vlan 1

#

interface Vlan-interface1

ip address 172.30.30.204 255.255.0.0

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#

interface Ethernet1/0/9

#

interface Ethernet1/0/10

#

interface Ethernet1/0/11

monitor-port     （监视此端口）

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15
#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#

interface Ethernet1/0/20

#

interface Ethernet1/0/21

line-rate inbound 32000

line-rate outbound 40000

mirroring-port both  （限速还有镜像此端口）

#

interface Ethernet1/0/22

#

interface Ethernet1/0/23

line-rate inbound 32000

line-rate outbound 40000

#

interface Ethernet1/0/24

#

interface GigabitEthernet1/1/1

#

interface GigabitEthernet1/1/2

#

interface GigabitEthernet1/1/3

#

interface GigabitEthernet1/1/4

#

undo irf-fabric authentication-mode

#
 
interface NULL0

#

voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000

#

snmp-agent

snmp-agent local-engineid 800063A2000FE25E69A26877

snmp-agent sys-info version v3

#

user-interface aux 0 7

ser-interface vty 0 4

authentication-mode scheme

#

return

华为的机器其实很简单，比如手工设置21端口，给他限速和端口镜像。

interface Ethernet1/0/21

line-rate inbound 32000

line-rate outbound 40000

mirroring-port both 

配置部分是这样的，我们可以逆推出命令行，telnet到交换机：

[H3C]int（输入3个字母之后点tab可以自动连写后面可能存在的单词）

[H3C]interface

[H3C]interface ?（命令后面带？可以列出可能可以使用的参数）  Aux             

Aux interface  Ethernet        

Ethernet interface  GigabitEthernet  GigabitEthernet interface  LoopBack        

LoopBack interface  NULL            

NULL interface

Vlan-interface   VLAN interface

[H3C]interface Ethernet ? 

<1-1>  Unit number（提示你给哪个单元接口设置）

[H3C]interface Ethernet 1/0/21

[H3C-Ethernet1/0/21]

[H3C-Ethernet1/0/21]mirroring-port both

[H3C-Ethernet1/0/21]sa（保存配置文件）

同志们仔细看，所谓的配置文件完全是积木一样堆积命令行而成的，配置交换机的综合难度非常低。当然，以上操作的目的就是为了完成最开始用鼠标两下就解决的问题。 #p#

完成任务继续下面走，看Sniffer pro是工作的。

因为配置好了镜像，所以嗅探器工作正常，打开后有个仪表盘，数据很直观。如图3所示

点第2排按钮中的电脑图标，看个排行榜，然后左下角选择成IP模式，因为模式是显示MAC地址的，很不直观。

看到了吧，排行榜前头的就是用流量最大的，如果机器卡，毫无疑问，这些娃娃要罚钱了。因为今天我的目的就是罚钱，所以前10名里头我准备一个都不放过，如图4所示。

继续后面操作，点矩阵那个按钮，可以看到下面的宝贝，如图5所示

最右边如果集中到一个点，说明大部分人访问这个站。反之同理。左边的集中到一个点，那这个人很可能在迅雷，所以链接很多IP。顺便看看排行榜。过了10分钟最后，右边开始有大量线条集中到左边一个IP，我很容易又抓到一个人开始罚款。

再旁边可以看到这个按钮，不过这玩意用处不大。他显示的是一个服务器到客户端响应时间的排行榜，如图6所示。

接下来，让我们知道协议分布，不过Sniffer只可以监不能控。知道了也没大作为。 当然我的目的就是只监不控，一切为了罚款和裁员！如图7所示。

我们点一下工具栏按钮的捕获，好玩的东西来了。如图8所示

点一下左边的objects ，如图9所示

协议，双方地址，后面还有访问的毫秒数，一些其他信息，访问时间等等。非常适合抓捕现行犯，从上图我们可以看到有个可怜的孩子正在上youku，毫无疑问，这是要罚款的。

点一下左边的connection，显示一下当前连接，如图10所示。

下图就相当详细了。很有用。还能看到这个链接已经交流了多少数据量……，如图11所示。

这小子下了778M。

注：

①嗅探的意义：sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号与密码，可以是一些商用机密数据等等。随着internet及电子商务的日益普及,internet的安全也越来越受到重视。在internet安全隐患中扮演重要角色之一的sniffer以受到越来越大的关注，这里我们主要用的是他采集数据的功能。

②端口镜像：由于部署产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

【编辑推荐】

1. 打造安全的内网可网管型交换机选购
2. 安全交换机：内网安全的关键
3. PWN2OWN黑客大赛2009到底有哪些猛料？

网站栏目：自己动手打造公司内网监管利器
网站URL：http://www.shufengxianlan.com/qtweb/news6/479906.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联