抛弃镜像端口 随意监控内网通讯流量

 作为企业的网络管理员都知道维护企业内网各个网络通讯与应用的重要，然而在实际使用过程中总有这样或那样的员工恶意使用下载工具或者访问限制站点，病毒以及黑客入侵等问题也无时不刻困扰着网络管理者。就笔者多年维护经验最好的办法就是通过sniffer类工具检测内网数据通讯，快速定位问题主机。而今天笔者要为各位介绍的则是另类使用sniffer类工具的办法，通过此方法可以让我们更加灵活更加不受限制的监控企业内网通讯。

　　一，使用sniffer类工具的前提条件：
　　有一定经验的网络管理员都知道在我们使用sniffer类工具对内网进行监控时如果只在本机上开启工具执行嗅探的话，我们能够捕获到的仅仅是本机网卡的相关流量，这里的数据主要包括本机通讯数据包以及网络内的广播通讯数据包，当然如果幸运的话可以获取部分组播数据包。

　　从捕获的数据包数量和准确度来说单机sniffer监控效果都非常不好，毕竟我们要针对的是企业内网进行检测而不仅仅只针对广播数据包。要想提高sniffer监控的效果我们需要在路由交换设备上设置相应端口为镜像端口，而且这个镜像端口要作为企业外网出口端口的镜像，从而针对所有数据包进行复制后转发到该端口。之后我们再将监控设备（计算机）连接到此镜像端口上就可以接收到和企业外网出口端口一样的数据流量了，自然获取了企业内网所有员工计算机的数据通讯信息以及所有组播广播数据包。

　　总的来说要想能够最大限度的实现监控功能，我们需要在企业内网设置镜像端口，否则单网卡模式下只能够接收到很少量的数据信息。（如图1）

    

二，小技巧抛弃镜像端口随意监控内网通讯：
　　但是在实际使用过程中我们也许没有条件针对外网接口做镜像端口设置，又或者设置镜像端口后流量过大而造成本机网卡假死状态。那么有没有办法可以不使用镜像端口而尽可能多的监控企业内网所有客户端的数据通讯呢？答案是肯定的，下面笔者就为各位读者介绍如何抛弃镜像端口随意监控内网通讯。

　　第一步：在企业内网我们使用单网卡模式而没有设置镜像端口的话通过sniffer类工具监控内网数据包时你会发现除了本机通讯的数据外其他计算机获得的都只有广播数据包。（如图2）

   

    
    第二步：接下来我们要做的则是通过“本地连接”属性针对本机网卡做设置，让其可以顺利的接收到本网段内所有通讯数据包而不需要我们设置任何镜像端口。具体方法是将网卡IP地址设置为本网段的网关地址，假设本机原来的IP地址是58.129.1.23，那么修改IP地址为网段网关地址58.129.1.254，同时自身网关地址依然指向58.129.1.254，保存设置后确定即可。（如图3）
    
  

    
    第三步：当然由于网络内存在着58.129.1.254这个地址，所以在设置时会提示“刚配置的静态IP地址已在网络上使用，请重新配置一个不同的IP地址”，与此同时我们本机设置的IP不会生效，依然通过自动获得地址信息的方式获取网络参数。（如图4）
    
  

    
    第四步：正常设置不生效的话我们可以通过其他方式让本机IP设置生效，具体方式是在设置IP地址完毕后进入到“网络连接”属性中在网卡对应的“本地连接”上点鼠标右键选择“禁用”，然后再次点右键选择“启用”。（如图5）
    
  

    
    第五步：通过网卡禁用再启用后我们的58.129.1.254这个网关地址就成功配置完毕，通过ipconfig我们可以看到地址的生效。（如图6）
    
  

    
    第六步：之后我们再次启动sniffer类监控工具针对本机进行扫描我们会发现内网所有主机的数据通讯都被本机轻松获取了。（如图7）
   

  第七步：通过流量查询我们可以了解到当前网络内流量最大的几个主机对应的IP地址信息，对他们的数据发送以及接收有一个清晰的了解，具体到数据包内容也可以通过软件查看。（如图8）
   

    
    第八步：在流量矩阵中我们可以全面了解当前网络内各个主机的通讯情况，包括内网通讯以及外网通讯，所有主机之间的通讯在矩阵图中都以连线的形式存在。（如图9）
   

    
    第九步：经过分析我们可以知道当前网络内哪些网络服务与应用最频繁，通过协议列表的排序可以将他们从多到少的进行排序。（如图10）
   

    
    第十步：所有数据包的具体内容我们都可以通过双击的方法来详细查看，如果数据通讯以明文形式存在的话我们可以看到通讯双方的详细信息。关于通过sniffer类工具监控企业内网应用与流量的文章笔者也撰写过很多，感兴趣的读者参考之前我们的文章并自行研究即可。（如图11）
   

  三，总结：
　　通过本文介绍的方法我们可以在无法设置镜像端口或者临时针对内网通讯做监控的条件下完成扫描工作，该方法实现的原理实际上是利用了假冒IP地址的办法来完成，将自己本机的IP地址设置为网关地址，这样内网所有设备也会将自己的通讯数据包发送到网关地址，从而让本机可以获取到这些数据。不过这种方法也存在着一定的不足，首先伪造IP地址会造成网络通讯速度缓慢，丢包现象发生概率会大大增加；其次修改IP后本机是无法顺利上网的，而设置镜像时本机也可以顺利上网，再次由于此方法是不得已而为之，所以与真正的设置镜像端口对内网进行监控所检测到的数据包数量会有一定的差别，相比正规方法而言捕获的数据包会少一些，会在一定程度上影响内网监控效果。所以说本方法只适合临时使用而不能拿来长期监控企业内网数据通讯。