牡丹江市氣象局局域網故障分析報警系統原理與應用

鐘 波，張玉成，姜繼祥

（牡丹江市氣象局，黑龍江 牡丹江 157000）

1 引言

隨著計算機網絡的迅猛發展，各政府部門和企事業單位都通過網絡進行大量信息查詢、郵件收發、數據共享等各種辦公操作。網絡的飛速發展給用戶帶來了便利的同時也對網絡管理提出了嚴峻的挑戰。局域網內部以及局域網與互聯網之間過多的數據通信使網絡及網絡設備在負載、工作效率以及安全性方面都承受著巨大的壓力，網絡時斷時續、速度慢、交換機無規律的堵塞、死機，網絡遭受攻擊卻無法定位攻擊源等故障一直制約著網絡的正常運行。在這種情況下，管理人員必須對網絡的流量占用、協議分布、通訊連接、數據包原始內容以及整個網絡的運行情況了如指掌，才能快速準確地定位故障點并將其排除。而牡丹江局開發的網絡分析報警系統能直觀的發現問題，快速有效的排除故障。

2 網絡布局概況

牡丹江氣象局局內網絡由網通2 M專線提供，寬帶作為輔助連接Internet的網絡。每個樓層的PC機連接在一個交換機上，這樣方便判斷故障的具體位置。

3 局域網的安全風險

局域網是一個通信系統，它允許很多彼此獨立的計算機在適當的區域內以適當的傳輸速率直接進行溝通。它是將分散的多臺計算機通過傳輸媒體連接起來的通信網絡，通過功能完善的網絡軟件，實現計算機間的相互通信和共享資源。

3.1 物理安全風險分析

網絡的物理安全主要包括地震、水災、火災等環境事故、電源故障、人為操作失誤、設備損毀、電磁干擾等。要避免這些安全隱患的發生，需要網絡管理員制定健全的安全管理制度，加強安全意識，做好備份，并加強設備管理。

3.2 網絡平臺的安全風險分析

局域網內的多臺計算機，都可以訪問同一臺專用的計算機（即內網服務器），同時，也可以上傳資料到這臺服務器。信息數據的安全性，機密信息的泄露，病毒程序的傳播等會直接危害到整個局域網的安全[1]。

4 網絡故障分析報警系統的工作原理

4.1 硬件要求

網絡分析系統安裝在專用的服務器上，服務器的配置如下：

4.2 工作原理

在以太網中，所有通訊都是以廣播方式完成，即任何主機發出的任意數據包，都會到達同一個網段內的所有機器。每一個網絡接口都有一個唯一的硬件地址，即MAC地址。在正常情況下，一個網絡接口只能響應兩種數據包，與自己MAC地址相匹配的數據包和發向所有機器的廣播數據包。在實際工作中，數據的收發一般都是由網卡完成的，網卡的工作模式有四種：廣播、組播、直接、混雜[2]。

首先網絡分析系統把安裝該系統的計算機的網卡設置為混雜模式，使其通過嗅探技術捕獲網絡中傳輸的所有數據包，再將這些數據包傳遞到系統內部進行分析，這樣就能發現故障的問題所在。

4.3 網絡分析系統應具備的功能

分析網絡中的流量占用情況；分析內部網絡和出口帶寬的利用率情況；分析網絡中特定主機的數據通訊；分析網絡中的異常數據通訊；分析網絡中的偽造 IP和MAC地址攻擊；分析網絡中的 TCP通信；分析網絡中的郵件收發是否正常等。其中最主要的是流量分析和協議分析，流量過大的主機被視為重要的檢測對象，通過得出當前網絡中占用流量最多的協議，即當前網絡中占用流量最多的服務類型，幫助網絡管理技術人員排查網絡速度慢、郵件蠕蟲病毒攻擊、網絡時斷時續以及終端無法上網等故障。

4.4 關鍵技術

4.4.1 數據采集

數據采集工作在數據鏈路層進行，通過此操作能夠獲得網絡中底層的以太網數據包。數據采集有3種方式。

（1）在 windows平臺安裝 NDISProtocol Driver（網絡驅動接口規范協議驅動），通過安裝協議驅動采集從網卡傳送過來的數據包；（2）在windows平臺安裝NDIS intermediate driver（網絡驅動接口規范中間驅動），通過安裝的中間層驅動采集從網卡傳送過來的數據包；（3）在windows平臺安裝TDI driver（接口層驅動），通過此驅動系統可采集不經過網卡的本地環回數據包。

4.4.2 數據分析

將采集到的數據進行過濾，并進行統計、檢測、解碼、TCP數據流重組、協議分析等。

4.4.3 數據輸出

網絡故障分析報警系統最后將分析好的數據結果以表格、圖表，或日志的形式輸出給用戶，便于快速找出問題所在。

5 小結

網絡中的數據傳輸是不透明的、抽象的，在不借助工具的情況下，很難達到上述要求。所以，隨著網絡規模的不斷擴大和網絡應用的不斷增多，網絡故障必將日益復雜，網絡攻擊事件也會不斷增加。因此，保障整個網絡的持續可靠和安全運行將變得至關重要。

[1]張衛華.企業局域網安全風險分析[J].計算機安全，2010(12).

[2]張建，周全.最新計算機網絡培訓教程[M].重慶：重慶出版社，2000.