Sniffer--會“抓毒”的網絡分析儀

造成網絡宕機的原因很多，而網絡流量問題是其中最為常見的故障，也是最主要的原因。因此，如何能夠快速、準確診斷出造成網絡流量問題的原因，是確保網絡高可用性的重要保證。美國網絡聯盟（NAI）的主打產品之一Sniffer目前已成為企業首選的網絡故障和性能管理的工具系列，它能夠自動地幫助網絡管理人員維護網絡、查找故障，有效簡化了發現及解決網絡問題的過程。

在去年年初，國家安全試點項目863計劃S219項目中，作為試點單位的農行上海分行就選擇了Sniffer。因為，一旦發生安全問題，網絡流量通常也會發生異常，通過網絡流量分析圖，可以幫助用戶及時找出引發異常流量的癥結所在。

　　在CodeRedⅡ肆虐的時候，Sniffer就曾經神奇地配合用戶及時地發現了問題。這個用戶是國內某大型企業，其網絡主干為ATM網，在去年8月，其網絡性能突然急劇下降，導致企業的網上應用全部陷于癱瘓。但是網管人員無法確定引起網絡癱瘓的原因，致使整個網絡連最基本的連接也無法恢復。這時候，他們請來了Sniffer的工程師。工程師首先利用Dashboard功能，對網絡的整體流量狀況進行監控（如圖所示），發現該用戶的整體網絡帶寬占用率并不高，只有10%左右，網絡中的絕對流量也不大，但網絡中的數據包卻非常多，甚至超過了Sniffer的缺省定義警戒值。從數值分析中他發現，這些數據包中數目最多的是64個字節以下的小數據包，因此，工程師初步斷定，這些太多的小數據包可能是引起網絡癱瘓的主要原因。為了確定到底是哪些計算機在生成這些數據包，技術人員又調用了Sniffer的另外一個流量監控功能HostTable，在監控中，他很快發現了用戶網絡中發包最多的計算機的網絡流量都有一個共同特點，即他們收到的數據包非常少，有的甚至為零。但是，這些計算機卻在拼命地發數據包，很不正常，而這也正是當時爆發的CodeRedⅡ病毒的特征，因為感染了CodeRed病毒的計算機會往網絡中發送大量的數據包，最終導致網絡的癱瘓。由此，工程師已經十分確定，造成這個用戶網絡的癱瘓原因就是由于那些感染了CodeRed病毒的計算機引起的。

　　為了進一步確定CodeRed病毒的特征，工程師又用Sniffer的Capture功能進行了抓包，并將數據包進行解碼分析，發現CodeRed就是通過發送特定的HttpGet請求，利用微軟IIS的漏洞進行傳播的，這些請求在傳播過程中產生大量的數據包，使得網絡路由器和交換機陷于癱瘓。

目前，“會抓毒”的Sniffer不僅能夠面向局域網和廣域網，同時還支持無線局域網和移動通信的網絡監視和故障解決。它具有便攜式、分布式、光網絡、無線網絡等多種形式，采取軟硬件相結合，以便于用戶使用。

　　今年5月，美國網絡聯盟又和ISS達成一個全面合作協議，它將把ISS的RealSecure入侵檢測技術與Sniffer先進的網絡故障隔離和性能管理技術相結合，在網絡管理系統中提供一流的網絡入侵檢測方案，這種產品預計陸續在今年年底和明年推出。

原文轉自：http://www.kjueaiud.com