络监控软件

络监控软件一般能够监控QQ软件、MSN软件，可以在不安装客户端的情况下轻松封堵屏蔽这些聊天软件的使用。可以监控到每台电脑实时的上行流量，下午流量；FreeEIM 同时可以监控到公司整个 络的带宽流量大小。可以监控到下面电脑的屏幕和电脑里的文件，还可以设置对下面的电脑屏幕定时截取照片，内 管控还可以实现控制USB存储，控制应用程序的运行等。　　

一、 络监控软件定义[回目录]

　　 络监控软件是指针对局域 内的计算机进行监视和控制；针对内部的电脑上互联 以及内部行为与资产等过程管理；包含了上 监控（上 行为监视和控制、上 行为安全审计）和内 监控（内 行为监视、控制、软硬件资产管理、数据与信息安全）；

二、 络监控应用背景[回目录]

　　首先，我们谈谈email。比起传统信件，email速度快，还更有效率，在许多企业，电子邮件已渐渐具备正式公文的性质，企业档案资料的管理已不仅限于各类纸张文挡，也包括各类来往的电子邮件。如果对电子邮件进行管理、备份，企业可更有效地管理对内对外的档案。方便的email，也可能被员工当作有意或无意泄漏机密的主要管道。据调查，美国大约四分之三的大型企业，利用特殊软件，检查员工的电子邮件，防止泄漏公司机密。电子邮件也正在变成调查犯罪的重要证据，许多案件都追查过嫌犯的电子邮件，发现他们使用的讯息类型，以及在 络上找到的讯息等。许多证券公司，都根据规定，将企业往来的电子邮件，储存一段时间。基于此，对企业电子邮件进行备份已经相当必要。同样，互联 的其他应用，如最基本的 页浏览功能，msn、QQ等IM即时通讯工具，Google、百度等搜索引擎，以及企业 站等等，也越来越成为企业必不可少的业务通道。一句话，我们已经进入了互联 时代。

三、 络监控软件应包含的基本功能[回目录]

　　1、上 监控软件（上 行为管理、 络行为审计、内容监视、上 行为控制）   　　应包含如下基本功能：上 监控、 页浏览监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、 络行为审计、操作员审计、软 关功能、端口映射和PPPOE拨 支持、通过WEB方式发送文件的监视、通过IM聊天工具发送文件的监视和控制等；   　　2、内 监控软件（内 行为管理、屏幕监视、软硬件资产管理、数据安全）   　　应包含如下基本功能：内 监控、屏幕监视和录象、软硬件资产管理、光驱和USB等硬件禁止、应用软件限制、打印监控、 ARP防火墙、消息发布、日志 警、远程文件自动备份功能、禁止修改本地连接属性、禁止聊天工具传输文件、通过 页发送文件监视、远程文件资源管理、支持远程关机注销等、支持MSN、ICQ、SKYPE、YAHOO通、google talk、淘宝旺旺、飞信、QQ等常见IM软件的聊天内容记录等功能；

四、 络监控软件4种工作模式[回目录]

　　1、 关模式：原理是把本机作为其他电脑的 关（设置被监视电脑的默认 关指向本机），分别可以作为单 卡方式和双 卡甚至多 卡方式，原始的PROXY模式目前基本淘汰了一般不再有人采用，目前常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因此控制力极强，但由于存储转发的方式，性能多少有点损失；不过效率已经比较好了；缺陷是假如 关死了，全 就瘫痪了；   　　2、 桥模式：原理是双 卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条 线，因此性能是最好的几乎没有损失；WINPCAP本身并不支持该模式；该模式可以说是最理想的了，即使桥坏了，只要简单做个跳线就可以了，因为桥是透明的可以看成 线，即使桥坏了就可以理解为 线坏了换一条而已；支持多VLAN、无线、千M万M、以及VPN、多出口等等几乎所有的 络情况，原因很简单，因为透明桥嘛等于理解为那是 线而已；   　　3、旁路模式：原理是使用ARP技术建立虚拟 关，只能适合于小型的 络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如 内同时多个旁路将会导致混乱而中断 络；但只要条件该方式是最简单的部署以及最方便的安装设置；   　　4、旁听模式：原理是旁路监听，是通过交换机的镜像功能来实现监控， 该模式需要采用共享式HUB或交换机镜像；可是如采用老式的共享式HUB将影响 络出口性能；如采用镜像模式，一方面需要投资支持双向的镜像交换机设备，另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活，只要在交换机上面配置镜像端口即可，不需要改变现有的 络结构；而且旁路监控设备一旦停止工作，也不会影响 络的正常运行。缺点在于，旁听模式通过发送RST包只能断开TCP连接，不能控制UDP通讯，如果要禁止UDP方式通讯的软件，需要在路由器上面做相关设置进行配合。

五、 络监控软件技术驱动原理：[回目录]

　　1、UNIX系统提供了标准的API支持   　　（1）Packet socket   　　（2）BPF（主要的流行手段）   　　A、BSD抓包法   　　. BPF是一个核心态的组件，也是一个过滤器   　　. Network Tap接收所有的数据包   　　. Kernel Buffer，保存过滤器送过来的数据包   　　. User buffer，用户态上的数据包缓冲区   　　B、Libpcap(一个抓包工具库)支持BPF   　　. Libpcap是用户态的一个抓包工具   　　. Libpcap几乎是系统无关的   　　C、BPF是一种比较理想的抓包方案   　　. 在核心态，所以效率比较高，.但是，只有少数OS支持(主要是一些BSD操作系统)   　　2、Windows平台上通过驱动程序来获取数据包   　　（1）驱动程序   　　模式一、在核心层驱动，和WINDOWS操作系统核心结合紧密,效率非常高性能最好；因为 络火墙都在 络上层运行（也就是说在火墙核心层驱动上面运行），因此核心层驱动将不受 络火墙干扰；   　　模式二、在 络层驱动， 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较；并受防火墙限制和干扰；   　　（2）WinPcap驱动标准接口（目前国产 络监控软件90%采用）   　　WINPCAP是目前免费的接口程序，支持100M通讯；但缺点也是同样明显的，可控制性很差导致很多功能都无法实现，只能监听模式无法 关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点；另外由于WINPCAP版本互相不兼容可能导致无法监控，无法识别千兆 卡或无法读到 卡列表；只能同时监控单 卡等；   　　（3）kercap驱动标准接口   　　Kercap内核抓包驱动引擎是国内自主研发的具有世界领先水平的Windows内核驱动程序，利用IMD技术实现的Kercap内核抓包引擎本来在稳定性、兼容性和安全性上比其它技术实现方式有极大的优势，比传统的winpcap内核程序速度快10倍以上，能支持更大的 络抓包。   　　（4）secspyit   　　secspyit是国内自主研发的核心引擎。多用于C/S架构的产品。

六、流行的 络监控软件[回目录]

1、 络人远程控制软件

　　 络人(Netman)是一款完全免费的远程控制软件，通过输入对方的IP和控制密码就能实现远程监控。软件使用UDP协议穿透内 ，不用做端口映射，用户就能在任何一台可以上 的电脑都连接远端电脑，进行远程办公和远程管理。它是正规合法的软件，完全绿色，不写注册表，不会被杀毒软件当作病毒查杀，不会影响系统的稳定性。   　　【主要功能】   　　1.实现隐蔽监控：隐藏被控端 络人程序图标及相关提示，被控时不被发觉。   　　2.远程访问桌面：同步查看远程电脑的屏幕，能使用本地鼠标键盘如操作本机一样操作远程电脑。   　　3. 可对远程电脑屏幕进行拍照或录像。控制端只需点击功能键便可以切换双方身份。应用于远程电脑维护、远程技术支持、远程协助等。   　　4.远程文件管理：上传、下载文件，远程修改、运行文件，实现连接双方电脑的资源共享，用于远程办公等。   　　5.远程开启视频：开启远端电脑摄像头，进行语音视频聊天。支持视频录制，可远程旋转带有旋转功能的摄像头，用于家庭安全监控等。   　　6.远程命令控制：远程开机（需配合使用 络人电脑控制器硬件）、远程关机、远程重启、远程注销、锁定本地或远端电脑的鼠标键盘等。   　　7.文字聊天。   　　8.控制方管理。用户可以在自己软件上设定特定的访问人及其权限，这样就算帐 跟控制密码外泄，如果没设定对方为允许访问人，对方也无法侵入自己的电脑，大大增强了软件的使用安全性。

2、TeamViewer

　　 TeamViewer 是一个在任何防火墙和NAT代理的后台用于远程控制，桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机，只需要在两台计算机上同时运行 TeamViewer 即可而不需要进行一个安装的过程。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的 ID 到 TeamViewer，然后就会立即建立起连接。   　　为了连接到另一台计算机,只需要在两台计算机上同时运行TeamViewer即可而不需要进行一个安装的过程.该软件第一次启动在两台计算机上自动生成伙伴ID.只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接.

3、信安上 行为管理系统

　　 信安上 行为管理系统是一款C/S架构的纯软件产品，其核心引擎采用了secspyit内核。已通过国家应用软件质量监督检验中心（NAST）的认证。 信安上 行为管理系统的主要功能如下：   　　一、上 记录查看：查看员工 络聊天记录（如QQ、msn、飞信、旺旺等16种TM软件）；收发邮件内容； 页浏览记录等；程序运行记录。   　　二、电脑操作查看：查看员工电脑文件、实时桌面、下载情况、使用进程等，并提供电脑使用分析 告。

络监控的拓扑图

二、有客户端的外 监控

　　信安上 行为管理系统和Phantom系统（外 管理和内 管理功能都提供）。   　　不牵涉部署模式，因为他们的实现原理都是在C/S模式，通过部署在被监控计算机上的客户端来实现各种功能，在这种模式下，服务器的安装部署对 路环境就没有特别的要求， 络内随意找一个电脑就可以做服务器，而且功能、 络速度、效率都不受影响，不需要对原有 络架构、环境进行改动。   　　唯一的缺点就是需要安装客户端。

三、没有客户端的外 监控

　　大概分为四种安装模式：旁路、旁听（共享式HUB、端口镜像）、 关、 桥。   　　1．旁路模式：   　　基本采用ARP欺骗方式虚拟 关，让其他计算机将数据发送到监控计算机。只能适合于小型的 络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如 内同时多个旁路将会导致混乱而中断 络。   　　此类软件较多，主要有聚生 管系统、P2P终结者、 络执法官局域 管理软件等。   　　2．旁听模式：   　　原理是旁路监听，是通过交换机的镜像功能来实现监控， 该模式需要采用共享式HUB或交换机镜像；可是如采用老式的共享式HUB将影响 络出口性能；如采用镜像模式，一方面需要投资支持双向的镜像交换机设备，另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活，只要在交换机上面配置镜像端口即可，不需要改变现有的 络结构；而且旁路监控设备一旦停止工作，也不会影响 络的正常运行。缺点在于，旁听模式通过发送RST包只能断开TCP连接，不能控制UDP通讯，如果要禁止UDP方式通讯的软件，需要在路由器上面做相关设置进行配合。   　　此类软件有超级嗅探狗 络监控软件、LaneCat 猫 络监控软件等。   　　3． 关模式：   　　是把本机作为其他电脑的 关（设置被监视电脑的默认 关指向本机），常用的是NAT存储转发的方式；简单说有点像个路由器工作的方式；因此控制力极强，但由于存储转发的方式，性能多少有点损失；不过效率已经比较好了。但维护和安装比较麻烦；无法跨越VLAN和VPN；假如 关死了，全 就瘫痪了。此类软件有 ISA、anyrouter软 关等，这里没有引用，ISA目前在一些银行金融机构仍在使用，海天上 监控软件是专门针对ISA而开发的。   　　4． 桥模式：   　　双 卡做成透明桥，而桥是工作在第2层的，所以可以简单理解为桥为一条 线，因此性能是最好的几乎没有损失。支持 桥模式的软件比较少，主要有Anyview 络警局域 管理软件、百络 警局域 管理软件、 路岗局域 管理软件。   　　5．获取数据包的技术   　　除了模式，我们讲一下获取数据包的技术，目前大概有两种方式：   　　1) 采用操作系统核心NDIS中间层驱动模式，   　　2) 公开免费接口WINPCAP协议层驱动。   　　Anyview 络警局域 管理软件采用NDIS中间层驱动，百络 警说采用的是kercap内核技术（不了解）、 路岗则采用的是WINPCAP技术。   　　由于WINPCAP本身设计的天生弱点，所以在流量限制方面无法实现、阻断UDP也将导致 络中断、无法支持千M 络和无线 络、性能也必然很低；也无法实现NAT等更多的扩展功能，由于在协议层运行会被火墙禁止；而NDIS中间层驱动模式由于在NDIS层位置驱动，因此性能效率将非常高，更多功能也将成为可能；能够克服WINPCAP所有的弱点，因此成为主流技术；但实现起来很大难度需要很强的开发实力；   　　6．结论：   　　按照部署模式分：通过对比我们可以知道， 桥模式是最理想的一种模式，这种模式唯一的缺点就是额外开支，需要购买一台足够 络处理能力服务器，而且还要连接在交换机和路由器之间的 络上。主要有Anyview 络警、百络 警、 路岗、activewall等。再按照获取数据包的技术分：显然Anyview 络警和activewall采用NDIS中间层驱动技术更好。

四、总结

　　如果需要内 管理与外 管理都需要，那么所有软件都需要客户端，显然Phantom和信安上 行为管理系统是最好的选择，其次是Anyview 络警局域 管理，因为Anyview 络警需要买一台服务器，部署在交换机和路由器之间。   　　如果只需要外 监控，那末就需要选择了，Anyview 络警这时不需要部署客户端，但需要买一台服务器，部署在交换机和路由器之间。而信安上 行为管理系统和Phantom则可以任选一台电脑做服务器；缺点是要安装客户端。

五、Winpcap的主要缺陷如下

　　1) 免费开放的国外代码，因此安全性欠缺；原理上是采用旁听模式，所以无法阻断UDP应用，无法流量限制，并容易数据丢包；阻断规则有可能引起 络中断或无效；   　　2) 原理上决定不适合超过100个电脑的 络环境，如采用老式共享式HUB速度限制在10M带宽损失严重；如采用交换机镜像是共享100M方式，由于一些交换机本身的缺陷，采用镜像后会导致交换机阻塞现象的可能，因此 络带宽会大约损失40%；   　　3) 由于是免费接口只提供总线抓包功能，所以不支持集群环境也不支持任何内 监控功能；   　　4) 由于是高层协议借口同时未提供适合监控的加密压缩数据库；所以不支持即时大规模数据存储，不适合大用户 络；不包含千M、无线 ；如需支持多 VLAN或VPN应采用镜像技术，需额外投资支持双向镜像技术的交换机并正确设置和维护；   　　5) 由于提供的接口都是通用的有限代码，缺乏良好的可控性，所以很多功能无法实现；

六、Arp欺骗

　　欺骗局域 内计算机，使其他计算机误认为监控计算机为 关计算机，将所有数据发送到监控计算机）只能适合于小型的 络，并环境中不能有限制旁路模式；路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功，因为你一边在禁止旁路一边却正在旁路，所以自相矛盾；同时如 内同时多个旁路将会导致混乱而中断 络。