| 网络流量数据获取技术是网络通信安全审计的关键技术之一,常见的技术方法有共享网络监听、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)等。其中,共享网络监听利用Hub集线器构建共享式网络,网络流量采集设备接入集线器上,获取与集线器相连接的设备的网络流量数据,如下图所示。
|
|
|
|
|
|
|
| 图中服务器A和服务器B的网络流量数据都可以被网络流量采集设备获取到。
|
|
|
| 网络流量采集设备通过交换机端口镜像功能,获取流经交换机的网络通信包,如下图所示。
|
|
|
|
|
|
|
| 对于不支持端口镜像功能的交换机,通常利用网络分流器(TAP)把网络流量导入网络流量采集设备,如下图所示。
|
|
|
|
|
|
|
| 网络流量采集设备安装网络数据捕获软件,从网络上获取原始数据,然后再进行后续处理。目前,常见的开源网络数据采集软件包是Libpcap(Library for Packet Capture)。Libpcap是由美国劳伦斯伯克利国家实验室开发的网络数据包捕获软件,支持不同平台使用,如下图所示。
|
|
|
|
|
| (1)设置嗅探网络接口。在Linux操作系统中,大多数为eth0。
|
|
|
| (2)初始化Libpcap。设定过滤规则,明确获取网络数据包的类型。
|
|
|
| (3)运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包。
|
|
|
|
|
|
|
| 除了Libpcap外,还有Winpcap,它支持在Windows平台捕获网络数据包。Windump是基于Winpcap的网络协议分析工具,可以采集网络数据包。Tcpdump是基于Libpcap的网络流量数据采集工具,常常应用于Linux操作系统中。如下图所示,Wireshark是图形化的网络流量数据采集工具,可用于网络流量数据的采集和分析。
|
|
|
|
|
|
|
| 上图显示的是对桌面服务RDP进行网络流量监测,可以看到网络包的地址信息和传输内容信息。
|
|
|
