sensor的設定尤為重要,具體設定方法和嗅探器類似
,很多人曾經都
安裝過嗅探
器,在大型網路中這種做法並不像主機接入網路那樣簡單。作為網路管理人員,應該清楚所管理網路環境
的具體情況
。如圖2-2
所示的為
某企業的網路拓撲結構。
圖2-2如何選擇嗅探器的位置
下面主要討論交換式網路和路由式網路中的嗅探方法。
1.交換式網路
在交換式網路中
,採用埠映象是捕獲流量最簡單的方法,但所使用的交換機必須支援埠映象(
port mirroring
)功能,以及有乙個空閒埠,可插入嗅探器。大多數中檔以上的交換機都支援埠映象功能,但支援程度不同。
支援span
的裝置:
tp-link
常用的有映象功能的交換機有
tplink sf2005 5
口映象交換機
tp-link 2428web 24
口可網管映象交換機
cisco ws-c6509
、ws-c4006
、ws-c3750g-24t-e
、ws-c3550-48emi
、ws-c2950g-24-ei
華為s2008/s2016/s2026/s2403h/s3026
均支援埠映象
。因為span的設定是重中之重,下面詳細講解。
圖2- 3
交換式網路中的
sensor部署
cisco catalyst系列交換機上配置映象(span)埠步驟
在進行網路故障排查、網路資料流量分析的過程中,有時需要對網路節點或骨幹交換機的某些埠進-行資料流量監控分析,而在交換機中設定映象(span)埠,可以對某些可疑埠進行監控,同時又不影響被監控埠的資料交換。
span(switched port analyzer)的作用主要是為了給某種網路分析器提供網路資料流。它既可以實現乙個vlan中若干個源埠向乙個監控埠映象資料,也可以從若干個vlan向乙個監控埠映象資料。span 任務不會影響交換機的正常工作。當乙個span任務被建立後,根據交換機所處的不同的狀態或操作,任務會處於啟用或非啟用狀態,同時系統會將其記入日誌。通過「show monitor session」命令可顯示span的當前狀態。
span資料流主要分為三類:
(1)輸入資料流(ingress span):指被源埠接收進來,其資料副本傳送至監控埠的資料流;
(2)輸出資料流(egress span):指從源埠傳送出去,其資料副本傳送至監控埠的資料流;
(3)雙向資料流(both span):即為以上兩種的綜合。
在配置span任務時應遵循以下原則:
(1)對資料進行監控分析的裝置應搭接在監控埠上;
(2)冗餘鏈路埠只能作為span任務的源埠;
(3)span任務中所有的源埠的被監控方向必須一致;
(4)在設定埠為源埠時,如果沒有指定資料流的監控方向,預設為雙向;
(5)當span任務含有多個源埠時,這些埠可以來自不同的vlan;
(6)取消某乙個span任務的命令是:no monitor session任務號;
(7)取消所有span任務的命令是:no monitor;
(8)span任務的目的埠不能參與到生成樹的距離計算中,但由於源埠的bpdu包可以被映象,所以span目的埠可以監控到來自源埠的bpdu資料報。
配置span的源埠,命令格式如下:
switch(config)#[no]monitorsession}[,|-|rx|tx| both]
以下例子顯示如何配置源埠為fastethernet 5/l的span任務,其監控物件為雙向資料流:
switch(config)# monitor session 1 source inte***ce fastethrnet 5/l
配置span的目的埠,命令格式如下:
switch(config)# [no] monitor session(session_number)}
以下例子顯示如何配置目的埠為fastethernet 5/48的span任務:
switch(config)#monitor session l destination inte***ce fastethernet 5/48
當span任務的源埠為trunk埠時,命令格式如下:
switch(config)#[no]monitor session[,|-]}
以下例子是當源埠為trunk埠時,如何配置監控其中的vlanl~vlan5和 vlan9:
switch(config)# monitor session 2 filter vlan 1-5,9
以下是乙個綜合例子,將用到前面所提到的各種命令:
監控trunk埠fastetheraet4/10上的雙向資料流(在該埠上承載著vlanl~ vlanl005的資料流),只監控其中vlan57中的資料流,埠
fastethernet4/15為目的埠,具體配置方法如下:
switch(config)# monitor session 1 source inte***ce fastethernet 4/10
switch(config)# monitor session 1 filter vlan 57
switch(config)# monitor session 1 destination inte***ce fastethernet 4/15
如果想釋放該span任務,輸入如下命令:
switch(config)# no monitor session 1
以下語句顯示如何檢驗span任務的配置結果:
switch# show monitor session 2
在配置映象埠(span)過程中,還應考慮到資料流量過大時,裝置的處理速度及埠資料快取的大小,要儘量減少被監控資料報的丟失。
2.
走近OSSIM感測器(Sensor)外掛程式
走近ossim感測器 sensor 外掛程式 sensor啟用外掛程式列表,管理它們非常簡單 下面看看外掛程式全域性配置檔案 plugins apache etc ossim agent plugins apache.cfg nmap monitor etc ossim agent plugins ...
Ossim系統常見測試方法
ossim系統常見測試方法 ossim系統由若干開源安全系統所組成,對於這樣乙個複雜系統,部署完畢後,系統到底怎麼樣,穩定性如何?等一系列問題,我們需要經過一些測試才能知曉。通常,對防火牆 檢測測試的測試和評估有著嚴格的測試方法和流程,下文中我僅對ossim系統中常見的日誌流量和網路資料報流量進行 ...
手機中sensor 的原理簡介
手機中所用到的各種感測器原理介紹 地磁感測器 1,原理 各向異性磁致電阻材料,感受微弱的磁場變化,導致自身電阻產生變化,所以手機要旋轉或晃動幾下才能準確指示方向。2,用途 手機中的指南針,gps導航,定位 光感 距離感測器 1,原理 光敏三極體,接受外界光線時,會產生強弱不等的電流,從而感知環境光亮...