常用的企業流量監控軟件有:校長上網行為管理系統、網路幫、網貓、聚勝網管、三只眼、易控王等。。。
局域網抓包技術的原理;
UNIX系統提供標準API支持。
(1)分組插座
(2)BPF(主要流行手段)
A.BSD抓袋方法
。BPF是核心部件和過濾器。
。網絡分接頭接收所有數據包。
。內核緩沖區,保存過濾器發送的數據包。
。用戶緩沖,用戶模式下的數據包緩沖。
b、Libpcap(抓取包的工具庫)支持BPF。
Libpcap是壹個用戶模式下的包抓取工具。
。Libpcap幾乎是獨立於系統的。
BPF是壹個理想的抓包方案。
處於核心狀態,所以效率比較高。
但是,只有少數OS支持它(主要是壹些BSD操作系統)
2.在Windows平臺上通過驅動程序獲取數據包;
首先要補充壹點,所有軟件功能其實都是基於引擎驅動完成的,上層接口應用只是引擎驅動的壹個擴展,所以引擎驅動效率是軟件最關鍵的部分;鴨子的DNA不可能造出老虎;性能和功能的對比,就是發動機驅動的對比;
(1)駕駛員模式
模式壹:核心層的驅動模式(或中間層驅動模式,如卡巴斯基7)與WINDOWS操作系統的核心緊密結合,效率非常高,性能最好;因為網絡防火墻運行在網絡的上層(也就是說,如果核心驅動無法管理軟件,效率當然很高),所以核心驅動不會受到網絡防火墻的幹擾;
模式二,在網絡協議層驅動模式下,自己編寫的驅動雖然易於控制和管理,但性能完全不能和核心層驅動相比;受到防火墻的限制和幹擾;
(2)WinPcap驅動標準接口(國外免費搶包驅動接口;目前90%采用國產網絡監控軟件)
WINPCAP是目前免費的協議層接口程序,支持100M通信,采用的原理是監聽模式。但是,缺點也是顯而易見的。可控性差導致很多功能無法實現,免費的東西自然安全性也是個大問題。唯聽模式導致流量限制、BT限制、UDP阻斷等天然弱點;此外,由於WINPCAP版本互不兼容,可能會導致無法監控、無法識別千兆網卡或無法讀取網卡列表、同時只能監控單個網卡等壹大堆問題。最大的問題是妳還是需要老的10M*** *才能享受集線器,或者把交換機變成老集線器的端口鏡像;所以,只要是有基本網絡知識的人,都不會選擇這種模式;