任何一款工具軟件都有豐富的功能,所以在日常的網(wǎng)吧維護(hù)中,對于一款軟件,不僅要知道其表面的功能,更要深入了解其工作原理,這樣才能更有效地挖掘軟件更高級的應(yīng)用及功能,以此來解決網(wǎng)絡(luò)中的疑難故障。下面結(jié)合一些日常網(wǎng)絡(luò)故障實例,介紹一下Sniffer和網(wǎng)絡(luò)執(zhí)法官兩款網(wǎng)絡(luò)工具軟件在網(wǎng)吧網(wǎng)絡(luò)維護(hù)中的綜合應(yīng)用。
Sniffer——提高網(wǎng)絡(luò)傳輸質(zhì)量好幫手
Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件,具有捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析、實時監(jiān)控網(wǎng)絡(luò)活動、利用專家分析系統(tǒng)診斷問題、收集網(wǎng)絡(luò)利用率和錯誤等功能。Sniffer Pro 4.6可以運行在各種Windows平臺上,只要安裝在網(wǎng)絡(luò)中的任何一臺機(jī)器上,都可以監(jiān)控到整個網(wǎng)絡(luò)。以下以Sniffer 4.70漢化版本為例,介紹一下Snffer在網(wǎng)吧網(wǎng)絡(luò)維護(hù)中的具體應(yīng)用。
一、Sniffer軟件的安裝
在網(wǎng)上下載Sniffer軟件后,直接運行安裝程序,系統(tǒng)會提示輸入個人信息和軟件注冊碼,安裝結(jié)束后,重新啟動,之后再安裝Sniffer漢化補(bǔ)丁。運行Sniffer程序后,系統(tǒng)會自動搜索機(jī)器中的網(wǎng)絡(luò)適配器,點擊確定進(jìn)入Sniffer主界面。
二、Sniffer軟件的使用
打開Sniffer軟件后,會出現(xiàn)主界面(如圖1),顯示一些機(jī)器列表和Sniffer軟件目前的運行情況,上面是軟件的菜單,下面有一些快捷工具菜單,左側(cè)還有一排快捷菜單按鈕。由于使用的是漢化版軟件,因此部分詞語漢化不是太準(zhǔn)確。
1、獲取網(wǎng)絡(luò)中的機(jī)器列表
Sniffer軟件運行后,首先要搜索網(wǎng)絡(luò)中的機(jī)器。在“工具”菜單中找到“地址簿”選項并運行,在“地址簿”中的左側(cè)工具菜單中,可以找到一個“放大鏡”的圖標(biāo),這是“自動搜索”的按鈕。運行“自動搜索”功能后,在IP地址段中輸入網(wǎng)絡(luò)的開始IP地址和結(jié)束地址,然后系統(tǒng)會自動搜索。搜索完成后,會出現(xiàn)一個如圖1的機(jī)器列表。
2、保存機(jī)器列表
Sniffer搜索網(wǎng)絡(luò)中所有的機(jī)器列表后,可以在“數(shù)據(jù)庫”菜單中選擇“保存地址簿”選項,將當(dāng)前的機(jī)器列表保存,以備日后使用。由于Sniffer的地址簿保存了網(wǎng)絡(luò)中客戶機(jī)的IP地址、網(wǎng)卡的MAC地址等信息,如果網(wǎng)絡(luò)中的客戶機(jī)更換了網(wǎng)卡,則必須重新搜索機(jī)器列表并重新保存地址簿。如果網(wǎng)絡(luò)中沒有新機(jī)器增加,就無需更新此地址簿。
三、Sniffer菜單及功能簡介
Sniffer進(jìn)入時,需要設(shè)置當(dāng)前機(jī)器的網(wǎng)卡信息。進(jìn)入Sniffer軟件后,會出現(xiàn)如圖2的界面,可以看到Sniffer軟件的中文菜單,下面是一些常用的工具按鈕。在日常的網(wǎng)絡(luò)維護(hù)中,使用這些工具按鈕就可以解決問題了。
1、主機(jī)列表按鈕:保存機(jī)器列表后,點擊此鈕,Sniffer會顯示網(wǎng)絡(luò)中所有機(jī)器的信息(如圖1),其中,Hw地址一欄是網(wǎng)絡(luò)中的客戶機(jī)信息。網(wǎng)絡(luò)中的客戶機(jī)一般都有惟一的名字,因此在Hw地址欄中,可以看到客戶機(jī)的名字。對于安裝Sniffer的機(jī)器,在Hw地址欄中用“本地”來標(biāo)識;對于網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備,Sniffer只能顯示這些網(wǎng)絡(luò)設(shè)備的MAC地址。
入埠數(shù)據(jù)包和出埠數(shù)據(jù)包,指的是該客戶機(jī)發(fā)送和接收的數(shù)據(jù)包數(shù)量,后面還有客戶機(jī)發(fā)送和接收的字節(jié)大小??梢該?jù)此查看網(wǎng)絡(luò)中的數(shù)據(jù)流量大小。
2、矩陣按鈕:矩陣功能通過圓形圖例說明客戶機(jī)的數(shù)據(jù)走向,可以看出與客戶機(jī)有數(shù)據(jù)交換的機(jī)器。使用此功能時,先選擇客戶機(jī),然后點擊此鈕就可以了。
3、請求響應(yīng)時間按鈕:請求響應(yīng)時間功能,可以查看客戶機(jī)訪問網(wǎng)站的詳細(xì)情況。當(dāng)客戶機(jī)訪問某站點時,可以通過此功能查看從客戶機(jī)發(fā)出請求到服務(wù)器響應(yīng)的時間等信息。
4、警報日志按鈕:當(dāng)Sniffer監(jiān)控到網(wǎng)絡(luò)的不正常情況時,會自動記錄到警報日志中。所以打開Sniffer軟件后,首先要查看一下警報日志,看網(wǎng)絡(luò)運行是否正常。
四、Sniffer在網(wǎng)絡(luò)維護(hù)中的應(yīng)用——解決網(wǎng)絡(luò)傳輸質(zhì)量問題
Sniffer在網(wǎng)吧網(wǎng)絡(luò)中的應(yīng)用,主要是利用其流量分析和查看功能,解決網(wǎng)吧中出現(xiàn)的網(wǎng)絡(luò)傳輸質(zhì)量問題。
1、廣播風(fēng)暴:廣播風(fēng)暴是網(wǎng)吧網(wǎng)絡(luò)最常見的一個網(wǎng)絡(luò)故障。網(wǎng)絡(luò)廣播風(fēng)暴的產(chǎn)生,一般是由于客戶機(jī)被病毒攻擊、網(wǎng)絡(luò)設(shè)備損壞等故障引起的。可以使用Sniffer中的主機(jī)列表功能,查看網(wǎng)絡(luò)中哪些機(jī)器的流量最大,結(jié)合矩陣就可以看出哪臺機(jī)器數(shù)據(jù)流量異常。從而,可以在最短的時間內(nèi),判斷網(wǎng)絡(luò)的具體故障點。
2、網(wǎng)絡(luò)攻擊:隨著網(wǎng)絡(luò)的不斷發(fā)展,黑客技術(shù)吸引了不少網(wǎng)絡(luò)愛好者。于是,一些初級黑客們,開始拿網(wǎng)吧來做實驗,DDoS攻擊成為一些黑客炫耀自己技術(shù)的一種手段,由于網(wǎng)吧本身的數(shù)據(jù)流量比較大,加上外部DDoS攻擊,網(wǎng)吧的網(wǎng)絡(luò)可能會出現(xiàn)短時間的中斷現(xiàn)象。對于類似的攻擊,使用Sniffer軟件,可以有效判斷網(wǎng)絡(luò)是受廣播風(fēng)暴影響,還是來自外部的攻擊。
3、檢測網(wǎng)絡(luò)硬件故障:在網(wǎng)絡(luò)中工作的硬件設(shè)備,只要有所損壞,數(shù)據(jù)流量就會異常,使用Sniffer可以輕松判斷出物理損壞的網(wǎng)絡(luò)硬件設(shè)備。
網(wǎng)絡(luò)執(zhí)法官——智能監(jiān)控高手
網(wǎng)絡(luò)執(zhí)法官是一款網(wǎng)管軟件,可用于管理局域網(wǎng),能禁止局域網(wǎng)任意機(jī)器連接網(wǎng)絡(luò)。對網(wǎng)管來說,這個功能很實用,可是,現(xiàn)在這一優(yōu)秀的管理工具軟件,卻成為許多搗亂分子的“兇器”,他們經(jīng)常利用這一功能禁止一些機(jī)器正常上網(wǎng)。不過,只要充分了解網(wǎng)絡(luò)執(zhí)法官的具體功能,就可以輕松對付這些惡意的搗亂了。
一、網(wǎng)絡(luò)執(zhí)法官簡介
在局域網(wǎng)中任意一臺機(jī)器上運行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe ,都可以穿透防火墻、實時監(jiān)控、記錄整個局域網(wǎng)用戶上線情況,限制各用戶上線時所用的IP、時段,并可將非法用戶踢下局域網(wǎng)。該軟件適用范圍為局域網(wǎng)內(nèi)部,不能對網(wǎng)關(guān)或路由器外的機(jī)器進(jìn)行監(jiān)視或管理,適合局域網(wǎng)管理員使用。
在網(wǎng)絡(luò)執(zhí)法官中,如想限制某臺機(jī)器上網(wǎng),只要點擊“網(wǎng)卡”菜單中的“權(quán)限”,選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行,從右鍵菜單中選擇“權(quán)限”即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡,可以這樣限定其上線:設(shè)定好所有已知用戶(登記),將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC,使其找不到網(wǎng)關(guān)真正的MAC地址,這樣就可以禁止其上網(wǎng)。
二、網(wǎng)絡(luò)執(zhí)法官的功能
1、查看機(jī)器流量:對于在網(wǎng)絡(luò)執(zhí)法官監(jiān)控范圍內(nèi)的客戶機(jī),在主界面中,點一下客戶機(jī)的網(wǎng)卡,然后查看“本機(jī)狀態(tài)”就可以看到這臺機(jī)器的流量了。網(wǎng)絡(luò)執(zhí)法官與Sniffer軟件一樣,都可以查看網(wǎng)絡(luò)中客戶機(jī)的數(shù)據(jù)流量,但網(wǎng)絡(luò)執(zhí)法官不如Sniffer的流量顯示方便直觀。
2、智能監(jiān)控:運行網(wǎng)絡(luò)執(zhí)法官軟件后,可以通過“網(wǎng)卡”菜單中的“權(quán)限”限制一部分機(jī)器上網(wǎng),這個功能很容易被搗亂分子利用來搞破壞。機(jī)器上安裝并運行網(wǎng)絡(luò)執(zhí)法官軟件后,機(jī)器圖標(biāo)在網(wǎng)絡(luò)執(zhí)法官軟件中是紅色的,其他正常運行的機(jī)器是淡綠色(如圖3)。紅色代表機(jī)器處于網(wǎng)絡(luò)混雜模式,利用這點可以輕松找到運行網(wǎng)絡(luò)執(zhí)法官軟件的機(jī)器,從而就可以找到搞破壞者所在的機(jī)器了。但是,在手工監(jiān)控時一定要注意,我們本機(jī)也是安裝了網(wǎng)絡(luò)執(zhí)法官軟件的,機(jī)器也處于網(wǎng)絡(luò)混雜模式,千萬不要把自己清除出去了。
如果發(fā)現(xiàn)網(wǎng)絡(luò)中有搗亂者,網(wǎng)絡(luò)執(zhí)法官的監(jiān)控功能會自動發(fā)出警報的??梢栽诰W(wǎng)絡(luò)執(zhí)法官“設(shè)置”菜單中找到“安全”選項,設(shè)置管理機(jī)器的IP,當(dāng)網(wǎng)絡(luò)中有破壞者搗亂時,機(jī)器就會自動發(fā)出聲音提示。這一智能監(jiān)控功能,大大方便了對一些利用網(wǎng)絡(luò)執(zhí)法官搗亂者的監(jiān)控。
三、典型應(yīng)用——封殺“傳奇殺手木馬程序”
傳奇殺手病毒,是專門為了盜竊傳奇帳號和密碼而開發(fā)的一種木馬軟件,通過對局域網(wǎng)進(jìn)行ARP欺騙,虛擬網(wǎng)吧網(wǎng)關(guān)地址以收集局域網(wǎng)中傳奇游戲登陸信息并進(jìn)行分析,從而得到用戶信息的破壞性木馬軟件。
傳奇殺手木馬程序的出現(xiàn),使很多網(wǎng)吧用戶受到了攻擊,有一些用戶在安裝有傳奇多面手木馬程序的網(wǎng)吧運行傳奇程序,結(jié)果帳號和密碼被盜,網(wǎng)吧老板為此不得不賠償用戶的經(jīng)濟(jì)損失。盛大密保雖然可以解決帳號和密碼被盜的難題,但一些用戶不愿意增加成本來保護(hù)自己帳號和密碼的安全。因此,傳奇殺手木馬程序成為令網(wǎng)吧維護(hù)人員頭疼的一大技術(shù)難題。
想要監(jiān)控傳奇殺手木馬程序,必須先搞清楚它的工作流程。首先,它將安裝了傳奇殺手機(jī)器的MAC通過ARP欺騙廣播至局域網(wǎng),使局域網(wǎng)中的工作站誤認(rèn)為本機(jī)是網(wǎng)絡(luò)的網(wǎng)關(guān)。該流程會造成局域網(wǎng)與Internet連接中斷,使游戲與服務(wù)器斷開連接。當(dāng)用戶重新啟動游戲并進(jìn)行帳號登陸時,帳戶信息并不會直接通過網(wǎng)關(guān)傳遞到代理服務(wù)器,而是把信息傳送到正在進(jìn)行ARP欺騙的傳奇殺手軟件中。傳奇殺手自身有對傳奇帳號的解密手段,從而可以輕松獲得該帳戶的真實用戶名及密碼,達(dá)到竊取玩家?guī)ぬ柕哪康摹S纱丝梢钥闯觯褂镁W(wǎng)絡(luò)執(zhí)法官并配合ARP命令,對傳奇木馬有一定的預(yù)防作用。
在沒有網(wǎng)絡(luò)執(zhí)法官的情況下,可以使用ARP命令檢查網(wǎng)絡(luò)中是否有人使用傳奇殺手木馬程序。根據(jù)傳奇殺手木馬的原理,傳奇殺手是制造虛假的網(wǎng)關(guān)IP地址和MAC地址,因此在客戶機(jī)上使用ARP -a命令查看,如果有重復(fù)的MAC地址,則可以斷定網(wǎng)絡(luò)中有人使用傳奇殺手木馬程序。要想查到在哪一臺機(jī)器上安裝了傳奇殺手木馬,可以使用Ipbook類似的工具,查看當(dāng)前網(wǎng)絡(luò)中所有機(jī)器的MAC地址,并加以對比。由于運行傳奇殺手木馬程序的機(jī)器IP地址被更改,只能通過查詢機(jī)器的MAC地址找到該機(jī)器,找到該機(jī)器后,將機(jī)器重新啟動,再查找傳奇殺手程序并刪除就可以了。
如果用網(wǎng)絡(luò)執(zhí)法官就容易多了,其預(yù)防封殺傳奇殺手方案如下:
1、傳奇殺手與網(wǎng)絡(luò)執(zhí)法官的工作原理比較
細(xì)心的網(wǎng)管不難發(fā)現(xiàn),網(wǎng)絡(luò)執(zhí)法官的工作原理與傳奇殺手的工作原理相比,在某些方面是極為相似的。網(wǎng)絡(luò)執(zhí)法官在對網(wǎng)絡(luò)中的機(jī)器進(jìn)行管理時,運行網(wǎng)絡(luò)執(zhí)法的機(jī)器,通過ARP欺騙發(fā)給被管理的電腦一個假的網(wǎng)關(guān)IP地址及對應(yīng)的MAC,使其找不到網(wǎng)關(guān)真正的MAC地址,這樣就可以禁止機(jī)器上網(wǎng)。對于傳奇殺手木馬程序,當(dāng)此程序工作時,也是通過安裝此程序的機(jī)器發(fā)ARP欺騙給網(wǎng)絡(luò)中的機(jī)器,ARP的欺騙信息也是一個虛假的網(wǎng)關(guān)IP及對應(yīng)的MAC地址。
由此可以發(fā)現(xiàn),網(wǎng)絡(luò)執(zhí)法官與傳奇殺手木馬程序的工作原理是基本相同的。如果在同一個網(wǎng)絡(luò)中,分別在兩臺機(jī)器上安裝了網(wǎng)絡(luò)執(zhí)法官程序,由于網(wǎng)絡(luò)執(zhí)法官的工作在混雜模式下,同時啟動后,通過任何一臺機(jī)器的網(wǎng)絡(luò)執(zhí)法官程序都可以看到,網(wǎng)絡(luò)中有兩臺機(jī)器處于混雜模式下工作。這樣,可以通過網(wǎng)絡(luò)執(zhí)法官程序看到另外一臺安裝有網(wǎng)絡(luò)執(zhí)法官程序機(jī)器的MAC地址,從而輕松找到另外一臺安裝有網(wǎng)絡(luò)執(zhí)法官程序的機(jī)器。
2、徹底封殺傳奇殺手木馬程序
根據(jù)傳奇殺手木馬程序工作原理,傳奇殺手也是向網(wǎng)絡(luò)廣播虛假的網(wǎng)關(guān)地址及MAC地址消息,這是否意味著,當(dāng)在有傳奇殺手程序工作的網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)執(zhí)法官程序后,可以看到有兩臺機(jī)器也是處在網(wǎng)絡(luò)混雜模式下?經(jīng)過小片的實驗證實,傳奇殺手木馬程序與網(wǎng)絡(luò)執(zhí)法官程序的工作原理是一致的。只要網(wǎng)絡(luò)中有傳奇殺手程序在運行,就可以通過網(wǎng)絡(luò)執(zhí)法官程序來監(jiān)控。
為徹底封殺傳奇殺手木馬程序,有效保證用戶傳奇帳號和密碼的安全。可以在網(wǎng)吧收銀機(jī)端安裝網(wǎng)絡(luò)執(zhí)法官程序,并且按照上文的敘述設(shè)置智能監(jiān)控。當(dāng)網(wǎng)絡(luò)執(zhí)法官監(jiān)控程序發(fā)現(xiàn)網(wǎng)絡(luò)中有傳奇殺手木馬程序工作時,會自動發(fā)生聲音警報,以此來警告來上網(wǎng)的用戶。這樣技術(shù)人員就可以在第一時間內(nèi)發(fā)現(xiàn)傳奇殺手木馬程序,然后用最快的時間關(guān)閉傳奇殺手程序。
