设置交换机的侦听口以监视网络会话作者-网络安全焦点.PDFVIP

设置交换机的侦听口以监视网络会话 作者：SQL （SQL@263.net ） 网站： 以前公司里用HUB 的时候，可是非常幸福哦，我随便开一个IRIS 就能监视整个公司里 的网络数据包，能很方便和清楚的看到大家都在做什么，简直就是没有秘密可言了。后来玩 IDS 测试SESSIONWALL 的时候我用URL 的预先阻断功能，就能做到想黑那里就黑那里的 假像，后来很多人纷纷效仿把公司网络简直搞的是一团糟糕。总结一下就是基于HUB 的网 络安全性能实在是非常低，而且几乎没有什么可管理性。如果您正在筹划一个新的网络结构， 我强烈建议采用交换机代替HUB 来实现（当然费用的差距也必须考虑）。 采用交换机的网络基本上就没有可被监听的危险了，但是前提就是交换机也必须好好 配置和管理，否则把买来的设备用默认状态摆在那里也是很危险的。还是以我们公司为例子 好了。我们用的是3COM 的3300 的交换机24 口的那种，我简单的把我的网络接口配置成 了一个侦听接口，还是可以轻松的监听整个网络的数据包，下面简单的介绍下步骤。说明下 就是现在的网络监视软件如 IDS 和信息审计系统等等都是需要把自己的网络接口在交换机 上设置为侦听口的，否则是没有办法正常监视网络流量的。 首先是用串口从后面接上交换机给设备设置一个IP 地址，这个可以随便设置当然和我 们在一个网段是最方便的了。然后默认情况下 3COM 的WEB 服务就是打开的我们可以用 IE 登陆上去。 默认的口令和用户名我们可以用：security 登陆这是3COM 设备的一个默认管理帐号，很多 人都没有改有意思的是我在互联网上用SNMP 扫描找到的3COM 交换机99%用这个帐号都 可以进去。 成功通过验证后我们就可以看到如上的管理界面了，感觉3300 的管理界面做的还是不错的。 简单易用，功能还很强大，听说4400 更厉害可惜还没有用过。 我们点击左面的configuration 选项，再从右边出来界面中选择Roving AnalysisPort 。这个 界面就是配置交换机侦听口的地方了。当然你如果实现知道自己的网络接口接在交换机那个 口上就比较方便可以直接配置了，如果你不知道的话可以点击Advanced Stack Setup 这里 来查看当前IP 地址和交换机端口的对应关系。 从上面界面中，很方便的可以查看这个交换机一共有多少个接口 VLAN 以及对应的MAC 地址都是什么。 看到没有上面 00:00:59:59:2e:00 对应的第 9 个口就是接的我的计算机上面的地址是我的网 卡的MAC 地址，记住这个下面就可以把交换机上第9 口设置为整个交换机的侦听口了。 回到刚才的Roving Anaysis Port 设置地方，在左面的Available Monitor Ports 里面选择Unit 1 Port 1 代表选择整个交换机的所有端口，并不是我一开始理解的只是PORT1 上的流量内 容而是交换机上所有的流量报文。右边的Available Analysis Ports 选择我们刚才看到自己的 Port 9 然后在STATE 里面选择Enabled 就可以了。 打开IRIS 又可以监视整个网络中的报文了，正好看到一个同事的计算机在疯狂的发送445 和80 的数据包，一看目的IP 都是随机的肯定又是中了NIMUDA 了，赶快通知他杀毒避免 了部门里其他同事的受害，是不是很有成就感。 这是3COM 的交换机下面的简单的把CISCO 的设置办法也帖出来，国内目前这两种设备 用的算是比较多的了。 所谓侦听端口是指这样一个端口，所有通过被侦听端口的流量都会被自动复制一份传至 该端口，缺省的情况下交换机上的这种功能是被屏蔽(Disable)的。如果需要可以手工设置。 见下图。 Egress Traffic: 离开交换机的流量 Ingress Traffic: 进入交换机的流量 Source Span ports: 被侦听端口 Destination Span Port: 侦听端口 Administrative Source : 所有配置为被侦听口或被侦听vlan 的列表 一、 Cisco Catalyst 4000, 5000, and 6000 Series 系列交换机，有关设置侦听端口的命 令由一系列set span 命令组成。