查看:30998|回复：281
近段时间，看到很多朋友的求助公司网络遭受ARP攻击。我跟大家分享一下我是如何在网络中防止ARP攻击。
首先ARP攻击：导致瞬间掉线和大面积断网的罪魁祸首。在局域网中，通过ARP协议来进行IP地址（第三层）与第二层物理地址（即MAC地址）的相互转换。公司中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表，以提高通信速度。目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击，通过伪造的MAC与局域网内的IP地址对应，并修改路由器或电脑的ARP缓存表，使得具有合法MAC的电脑无法与IP对应，从而无法通过路由器上网。在掉线重启路由器后，ARP缓存表会刷新，网络会在短时间内恢复正常，待ARP攻击启动后，又出现断网现象，如此反复，很容易被误断为路由器“死机”，从而使得公司网管员无法及时采取行动迅速恢复公司的正常营运。
　　由于我们公司用的是TP-LINK公司专用宽带路由器TL-R4148，我以此为例，介绍一下如何防范ARP攻击：
　　如果路由器上有“IP与MAC地址绑定”功能（一般普通路由器都有这个功能呢个），一般可以有效防范ARP攻击。在公司网络正常时，启用IP与MAC地址绑定功能（如图一），可将公司内的每一台电脑的MAC与内网IP建立一一对应的关系保存到ARP缓存表中（如图二），如果公司网络即使受到ARP攻击也不能修改ARP缓存表，从根本上排除ARP攻击对路由器的影响，保证其他用户网络的正常运营。
(357.05 KB)
(357.05 KB)
　　而且，设置IP与MAC绑定功能很简便，无须逐一输入电脑的IP与MAC，不论公司规模如何，只需在公司工作正常时在路由器管理界面的ARP映射表中点击一下“全部绑定”按钮（如图三），就可以完成IP与MAC绑定；点击“全部导入”按钮将已建立的IP与MAC绑定关系保存到系统，即使重新启动也无需重新绑定。
(357.05 KB)
　　另外，在公司的设备中，一般只有两类设备带有ARP缓存，一类是路由器，另一类是用户上网电脑，也只有这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达电脑一样，上网电脑受到ARP攻击时，数据包也不会发送到路由器上，而是发送到一个错误的地方，当然也就无法通过路由器上网了。因此，公司要对付ARP攻击，除对路由器进行IP与MAC绑定以外，在电脑上进行IP与MAC绑定也必不可少。
　　对路由器进行的IP与MAC绑定上面已经介绍过，在电脑上进行IP与MAC绑定该如何操作呢？其实微软的操作系统中都带有ARP这一命令行程序，运行 cmd 在电脑的Windows命令行界面中输入“arp　-s回车路由器IP如192.168.1.1＋路由器LAN口MAC地址”就可以将的路由器IP和MAC绑定到电脑的ARP表中。 若通过Windows命令行界面中输入ARP命令来绑定IP与MAC，电脑每次在重启后都需要先输入ARP命令，还有更简单的办法，可以让电脑每次启动时，自动将路由器的IP与MAC绑定到电脑的ARP表中：
　　第一：新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入ARP命令，并保存。
(22.14 KB)
　　要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN运行状态”。
　　第二：
将建立好的批处理文件static_arp.bat拷贝到系统的启动目录中。电脑每次启动时将自动运行该文件，自动绑定IP与MAC。
(63.95 KB)
　　第三：将static_arp.bat文件拷贝到公司内所有电脑的系统启动目录中。（如果公司有域环境，直接脚本运行就可以，不然可以共享）
　　至此，公司中的所有电脑都将路由器的IP与MAC绑定到ARP表中，无需再担心因ARP攻击而无法上网。
特别提示：当使用了ARP防范功能（IP和MAC绑定功能）后，电脑应使用固定IP，而不要使用动态IP（通过DHCP自动获取IP），因为若使用动态IP，电脑每次启动时所获得的IP可能不一样，从而可能造成与路由器中保存的IP与MAC绑定条目不一致，这样电脑将无法上网
除了上面这两个方法，也可以利用第三方软件，我这边就简单介绍几个吧。如彩影ARP防火墙（此工具小巧方便，可以判断和阻止普通的ARP工具，并能帮助找出攻击主机排除故障）、聚生网管（这边有绿色版1000用户的。需要可以回帖。我邮箱发过去。我以前经常用，如果网络瘫痪，一查看那台的上传和下载特别大。估计就是这台中ARP了。直接给他网线扒了网络就恢复正常）、网路岗工具也很好（破解程序和视频教程都有）、也可以使用一些抓包软件分析（抓包工具需要的也可以留邮箱）。具体看人技术掌握程度
不幸中ARP的紧急处理措施：只开一台电脑链接路由测试，进入路由，点击恢复路由出厂设计！
精彩内容！
路由+电脑绑定&&
双绑，能够起到一定的作用
不过 也不能从根本上解决
引用:原帖由 liuxiangai2008 于
16:23 发表
路由+电脑绑定&&
双绑，能够起到一定的作用
不过 也不能从根本上解决 不知您老有啥高招，可以彻底解决呀。呵呵。
网络管理、H3C、华为
这是一个老生常谈的话题，ARP，什么时候都会中，时代在变，变种在变，解决的方法在变。纠结。
引用:原帖由 dhqlx 于
19:28 发表
这是一个老生常谈的话题，ARP，什么时候都会中，时代在变，变种在变，解决的方法在变。纠结。 嗯。老头说的在理。不过。我是想大家的一点思路。不至于碰到的时候。手忙脚乱。上面的方法还是可以解决大部分麻烦的。
二层的故障& &
ARP，可以试着抓包，找出源头，进而消灭& &
这也是目前常用的一种方法
更多的还得根据实际情况
这是最近看到的最详细的关于防止ARP攻击的文章!!!
kankan学习
求楼主给聚生网管破解版的和网路岗的，谢谢！邮箱：
引用:原帖由 不改了 于
16:54 发表
跪求网路岗软件和教程:) 明天给个邮箱地址。邮给你
引用:原帖由 yuanji21 于
19:50 发表
这是最近看到的最详细的关于防止ARP攻击的文章!!! 学习最重要哈
目前解决办法很多，但是解决不了的也很多啊
助理工程师
楼主啊，给我个 软件吧：聚生网管，喜欢绿色版的东西:ldw17: :ldw17: :ldw17:
有没好一点的软件推荐一下
引用:原帖由 风云儿 于
22:54 发表
楼主啊，给我个 软件吧：聚生网管，喜欢绿色版的东西:ldw17: :ldw17: :ldw17: 喜欢就留个邮箱。我邮给你
引用:原帖由 ya 于
23:13 发表
有没好一点的软件推荐一下 请问你想做什么呢。我才好推荐
助理工程师
我想找出公司里那台电脑中毒了。。。
最近 弄得网速很慢很慢，发个带有附件30K的邮件，都不成功。。很是痛苦。。。
1、用pppoe可以解决。
2、每个人一个vlan,同样解决，就是需要设备支持。
我这里的网络老是被别人剪断还有限制了怎么才能不被别人限制呢
引用:原帖由 风云儿 于
23:26 发表
我想找出公司里那台电脑中毒了。。。
最近 弄得网速很慢很慢，发个带有附件30K的邮件，都不成功。。很是痛苦。。。 建议用排除法。软件的话。用个聚生吧。看下哪台的流量走的最多，最大。重点突破◆◆欢迎进入网路岗技术博客！技术问题请咨询：400 630 6112
记住本站网址：/blog/
当前位置 :
简单好用的网管软件主要就是帮助网络管理人员更好的管理局域网的使用，随着互联网的发展，办公、学习、娱乐都离不越来越离不开网络了。无线WiFi的使用也越来越普及，这样也会让网络管理人员管理网络更加麻烦。不管是企业，还是政府单位，还是学校，大多数情况下都需要针对网络进行一定的控制。如果不对网络进行控制，那么网络资源的使用就会现出泛滥，违规，浪费宽带资源的情况。大多数IT部门负责管理公司的硬件，软件，网络，这包括一些服务器，网站，信息应用等。所以网络管理人员必须要用网管软件来分担一部分工作，不然网络管理这一块就会占去他们大部分的时间，这样的工作效率明显是提不上去的。网络管理软件可以帮助他们监控管理网络使用，可以随时统计上网行为，网络流量，邮件，聊天软件的使用情况。网路岗作为网管软件的领导者，在上网行为管理软件发展了近10年了。不断开发新功能，帮助企业管理人员更好的管理公司的网络。针对越来越复杂的网络，网路岗可以帮助他们实现上网行为监控、上网行为过滤、流量带宽控制、聊天软件监控、邮件监控、电脑桌面屏幕监控、外接USB控制、敏感文档拷贝报警等。
现在网上的视频资源越来越丰富，电影院新上映的电影，大片在网上也都能很快找到资源，导致现在很多公司的员工上班时偷看电影，偷偷下载视频。用户的带宽资源严重浪费了，影响了员工的正常网络办公。网路岗9最新版本从9.02.60开始加入了大量过滤视频，在线电影的过滤库。用户想要禁止哪款P2P的视频播放软件，只需要网路岗的规则里选上你要禁止的视频软件就可以轻松禁止掉了。
电影，电视，综艺节目资源比较丰富的就是那几款主流的视频播放软件。如PPTV、迅雷看看、PPS、搜狐影音、爱奇艺、百度影音、快播QVOD、腾讯视频、暴风影音、乐视TV、风行、皮皮影视、芒果TV、cntv-box，这些是目前最主流的视频播放软件。用户通过这些P2P视频播放软在线看视频时，会占用很大的网络带宽资源。如果用户用了网路岗的网桥模式，还可以对用户进行带宽的，上行，下行流量来控制，这样也是可以控制员工在线看视频电影。可是大多数用户使用的都是网路岗的旁路方式部署监控的，那如何禁止这些P2P视频软件呢？网路岗最近发布的新版本就很好的解决了这些问题，通过特征码，P2P协议，视频流格式，URL过滤库等来匹配过滤，有效的禁止员工在线看视频。
&网路岗服务端都是支持在线升级的，只要有新版本了，用户都可以能过软件里的在线升级把网路岗主控端升级到当前的最新版本。那么如果网路岗的客户端也发布了新版本了，用户该如何把局域网内的客户端在线升级呢？网路岗升级客户端有两种方式，一种是在线升级，另一种是在线推送最新的客户端。1、如何在线升级客户端程序呢，用户可以把下载的最新客户端文件，解压后的安装包哟，拷到网路岗安装目录下的Client_SetupFiles这个文件夹下，然后重启网路岗的上网监控服务和内网管控服务，这样下面的客户端就会在线升级到最新版本。...
互联网普及的今天，不管是什么行业的企业办公都离不开互联网，互联网带宽资源对正常的办公也显得越来越重要。目前所有规模的网络都可能面对滥用互联网的问题，员工随时都可能在利用公司的互联网在工作或是非工作时间使用Internet带宽干私活，下载电影，在线听音乐看视频等。公司却要为这些非工作相关Internet活动支付工资和宽带费用。 非工作与互联网相关活动还可以影响员工工作的效率，从事非法的网络活动，还可能会导致网络安全和责任问题。很多网路岗的用户都会对公司的一些部门设置比较严格的上网行为管理规则，最近一些网路岗9用户和售后技术反映，如果给员工设置了只允许访问指定的网站后，员工电脑上的QQ就不能发送，接收在线文件、离线文件了。不少用户不知道该如何设置才能让员工正常收发文件。设置了白名单的上网规则的话，如果收发文件有问题的话，只需要去看一下现场观察里的过滤事件，看有哪些域名或是IP被过滤掉了，把这些提示没有开放的域名和IP地址，记录下来，添加到网路岗的对应的规则里就可以了。
网路岗技术在深圳这边采用同样的规则，测试QQ收发文件，找到了一些需要放行的IP地址。这只要是深圳这边用电信的宽带测试出的结果，可能不同的地方都会用到不到的服务器IP，主要是知道了方法后，自己可以多次尝试查找下，基本上放行后，以后也就不会有什么问题了。 &
&随着移动互联网的发展普及，网络环境也越来越复杂，公司的网络管理工作也越来越难，以前公司只管理现有的有线网络相对比较简单。但现在的网络很多都是有线网络和无线网络混合使用，那么网络管理人员要想有效的监控管理这样的网络都会感到比较头疼。因为主流的局域网管理软件要想实现全面的监控管理，都是需要把上网监控软件部署到网络的出口处，或是在出口的主交换机上配置端口镜像才可以实现整个局域网的监控。可实际上网路岗的售前技术接触到很多小企业对上网监控管理有强烈的需求，但是他们的上网监控环境很简单，但却不好部署安装网路岗上网监控软件。...
技术博客<>【图文】网络安全业厂商介绍-_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
网络安全业厂商介绍-
上传于|0|0|暂无简介
大小：759.50KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢蓝色动力网络，提醒您：找网吧系统，到网吧系统下载站！
当前位置：&>&网络管理软件
LaneCat网猫(外网版)v2.1.1307.0161.4MLaneCat网猫(外网版)是国内领先的上网信息安全管理软件，它以现代上网行为管理的需要为目标，利用自主研发的底层抓包技术、上网内容检测技术、邮件分析技术、聊天内容解析技术、上网控制技术等自主核心技术，向企事业单位和机关用户提供互联网行为监管服务
LaneCat网猫(内网版)v2.1.1311.1973.5MLaneCat网猫内网监控软件(又名LaneCat网猫内网安全管理系统)是一款基于B/S(Browser/Server浏览器/服务器)架构的电信级网络监控软件
第三只眼破解版17.4M第三只眼网络监控软件，让您对公司的所有计算机的使用情况了如指掌，附注册机，最下面有详细破解教程
反P2P终结者2012 增强版512KB由于目前P2P终结者破解版流传很广，被很多人滥用作为控制别人的恶意工具，所以我们特别提供本工具，只要你认为有可能被别人使用P2P终结者控制时，运行一下，就可以杀掉局域网中别人使用的P2P终结者
P2P终结者破解版V4.292.4M该版本为去广告、破解最高权限，P2P终结者是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件，针对目前P2P软件过多占用带宽的问题，提供了一个非常简单的解决方案
百络网警(禁止局域网游戏)V6.6 C56.3M百络网警是上海百络信息技术有限公司推出的最优秀的上网监控软件，内置具有世界先进水平的网络安全内核抓包引擎Kercap,真正做到对互联网进行全面控制管理，规范公司人员上网行为，提高人力资源效率，强化网络安全，保护企业商业秘密！
超级嗅探狗(wfilter free)V1.0.165 官方版3.7M可以实现基本的网络管理，包括屏蔽网站、禁止p2p下载、禁止视频、实时流量监控等功能。你只需要在一台电脑上安装wfilter free就可以监控管理整个局域网
Wireshark(网络包分析工具)V1.11.1官方版32.2MWireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包, 并尽可能显示出最为详细的网络封包资料
Wireshark中文版v1.4.919.0M一款非常棒的Unix和Windows上的开源网络协议分析器，此版wireshark中文版，按提示安装完成后最后会是中文版的
远程监控软件TeamViewer QuickSupport9.0.24322绿色中文版4.3M该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的 ID 到 TeamViewer，然后就会立即建立起连接
TeamViewer(内网远程控制)V9.0.24322 绿色版10.7MTeamviewer是一个在任何防火墙和NAT代理的后台用于远程控制，桌面共享和文件传输的简单且快速的解决方案
网络幽狗（局域网管理）VIP破解版3.3M网络幽狗，听这个名字就知道这款软件的强大了，拥有狗的嗅觉的局域网监控软件，能不牛吗?
网路岗网络监控9.01.38(附注册码)官方版29.2M网路岗是一款广泛使用且很专业的网络监控软件产品，经过五年的升级换代，产品功能和稳定性得到丰富和加强，在同类产品中拥有很高的知名度，并得到广大用户的好评，是一款解决企业/学校网络安全的十分受欢迎的产品
天易成网管软件v3.24 官方版12.1M无需调整网络结构、安装在局域网内任意一台电脑即可全面监控局域网内所有电脑的上网行为.封开心农场、封qq游戏、封网游、封网络炒股、封网络聊天、封网络视频、封下载、网页浏览过滤、网络流量管理
聚生网管2012破解版11.4M聚生网管软件功能强大。可以有效地控制迅雷、QQ超级旋风、网际快车等P2P软件的使用；可以控制QQ、msn等各种聊天软件；可以限制大智慧、同花顺等等各种股票软件；禁止地下城勇士、穿越火线、魔兽、跑跑卡丁车QQ游戏等
P2P终结者(局域网流量管理工具)V4.213.0MP2P终结者是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件。
美萍网管大师9.7破解版1.1M美萍网管大师，美萍网管大师下载介绍:“美萍网管大师”软件是最实用的网吧管理系统
局域网助手(LanHelper)v1.99中文注册版1.6M局域网助手(LanHelper)中文版专门为高效率的局域网管理而设计，同时不需要任何服务端软件，节省您的时间和金钱，使您的网络管理更加轻松
局域网流量监控(网上特工二代)V7.232117.0M网上特工二代继承了网上特工高效稳定的内核，简单易用的管理界面和直观实时的网络图形观察的基础上，增加了对网络电视，网络游戏，网络炒股软件，和大量的BT下载，即时通信软件的分析和管理控制
局域网管家监控软件v2013.0912.4M局域网管家是一款局域网监控软件，是公司对员工、家长对孩子、老师对学生进行管理的最佳首选软件
小草网管软件v2.0.37.2.2免费版38.5M小草网络流量综合管理系统（以下简称小草网管软件）综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案
草蜢局域网管理工具v3.0绿色免费版747KB网上搜下局域网共享方面的软件不是很多，尤其现在家庭组网十分普遍，于是动心写了这个，不太常用的几乎没有罗列上去，左右部分均有右键菜
狼道万象破解器460KB使用万象系统的网吧很多，希望这个狼道万象破解器能给你带来一些帮助，适合网管、网友、学习爱好者
LAN Explorer(局域网资源管理)1.72 绿色中文版869KBLan-Explorer 是款局域网资源浏览器工具，可以方便找到工作组，主机，共享文档等
网管常用软件打包绿色版25.2Mpc6的网管为您精心挑选的网管常用软件工具集合，大部分是绿色便携版的
天音网管 V5.619347KB本软件为一简单易用功能强大的网管类软件，是学校机房，网吧，以及家长们的管理工具。
绿色童年孩子上网管理软件v11.4.1.0 正式版867KB绿色童年孩子上网管理软件是指一款保护未成年人上网的工具，可以屏蔽网络上的不良信息，避免上网者被网络的不良信息侵蚀，也可以控制上网 时间、管理聊天交友、管理游戏等功能
小孩电脑上网管理软件v8.36.8M小孩电脑上网管理软件是一款优秀的家长管理软件，该软件操作简单，功能实用
上网管家v2.5.11.1M上网管家可以帮助你解决这些问题，上网管家Android 版是专为为Android手机开发的一款非常适合中国特定国情需要的免费管理上网流量的软件，可以有效管理你的手机流量
p2p网络管理员v3.0绿色特别版1.2M网络管理员是一套可以为广大机关，企事业单位提供完美管理解决方案的网络管理软件。软件和同类产品相比，性能优异，部署方便，功能全面，是一套理想的网管软件
超讯网警2.7M超讯网警是一款电信级的网络监控软件，一机安装即可获取、收集、控制、管理并报告网络环境下的所有计算机活动，从而让您的企业能清楚地了解内部的计算机使用者如何使用企业的网络资源，监督、审查和限制网络使用行为，防止企业机密的商业数据通过互联网外泄，为您的业务提供保障
P2P 终结器v2.0287KB上网卡，网速慢，这种烦恼相信没个人都碰到过，怎么办呢，试试P2P终结器，本软件单文件，无公害，简直就是秒杀P2P的利器啊
反p2p软件1.0 绿色版329KB能够终结主流p2p软件的进程，让您的网速不被它占用
数据伞内网信息保护软件V5.0336.9M数据伞电脑监控软件用来防止公司机密资料通过U盘和互联网非法外泄，并规范员工上班行为的信息安全
网络流量监控器Net MeterV2.0.0绿色版510KBNet Meter 是一个强大和容易的网络流量监控器。它同时监视一个或者多个 LAN 和 WAN 网络流量。它能实时图形化和数字化网络流量细节
网络流量监视专家V2.8免费版1.0M实时显示您电脑的网络流量的工具。能列出您电脑上所有的网卡列表。选中要监视的网卡后，程序会实时显示当前网卡的流量信息
TP-link NetAuditor(上网行为审计软件)v1.0.0.925官方版21MTP-link NetAuditor(上网行为审计软件)，是一款专门用于企业网络的上网行为监控、记录和分析的软件
NetworkConnectLog（网络连接记录工具）v1.01绿色版228KBNetworkConnectLog（网络连接记录器）是一个简单的工具反复扫描您的局域网（使用ARP和NetBIOS协议），并添加一个新的
简易局域网扫描工具v1.0绿色版491KB一款简易的局域网端口扫描工具，麻雀虽小五脏俱全，很不错的实用小工具
局域网简易网络协议分析工具v1.0绿色版185KB一款免费的局域网网络协议分析工具，软件虽然小巧，不过功能很全面，局域网内的协议、地址和数据等信息都可以显示，而且搜索分析速度很快，非常好用
CurrPorts(网络监测软件)VV2.09 绿色中文版84KBCurrPorts是一个免费又非常好的网络连接监测工具，除了常见的列出所有 TCP/IP 和 UDP 连接，列出打开端口的应用程序，并将终止程序以外，它提供的信息十分详细
wifi防蹭网软件(My WIFI Zone)4.0绿色中文版354KB防蹭网软件My WIFI Zone可以来建立自己的WiFi防线，既方便使用，又可以防止蹭网
最新软件应用合集
[!--zt.list--]
Copyright &
Corporation Powered by蓝色动力网络 版权所有 浙ICP备号
郑重申明：本站所有windows系统版权均归微软公司所有，我们不承担任何技术及版权问题，且不对任何资源负法律责任。所有资源请在下载后24小时内删除。如果您觉得满意，请购买正版！◆◆欢迎进入网路岗技术博客！技术问题请咨询：400 630 6112
记住本站网址：/blog/
当前位置 :
> 监控软件网路岗监控技术方案
监控软件网路岗监控技术方案
摘要：网络管理软件为什么选择网路岗？ 《网路岗》作为一款专业的局域网管理软件产品，经过8年的升级换代，目前已发展到第七代，产品功能和稳定性得到丰富和加强，在同类产品中拥有很高的知名度，并得到广大用户的好评，是一款解决企业/学校网络安全的十分受欢迎的产品，每天都有很多人搜索下载我们的监控软件网路岗软件安装使用,大家可以看看关于网路岗软件搜索相关的网路岗软件搜索百度指数，从百度指数的数据里可以清楚看到每天都...
网络管理软件为什么选择网路岗？《网路岗》作为一款专业的产品，经过8年的升级换代，目前已发展到第七代，产品功能和稳定性得到丰富和加强，在同类产品中拥有很高的知名度，并得到广大用户的好评，是一款解决企业/学校网络安全的十分受欢迎的产品，每天都有很多人搜索下载我们的监控软件网路岗软件安装使用,大家可以看看关于网路岗软件搜索相关的，从百度指数的数据里可以清楚看到每天都会有人次的搜索网路产品。我们有一支经验丰富的研发队伍，不断探索最新的网络监控、网络管理技术，不久将来，更完美、更强大的上网行为监控产品将呈现给广大用户。网路岗软件优势.多种接入方式：旁路式/网关式/拦截式聊天监控(内容/聊天中的文件传输；监控QQ/Msn/Yahoo Messenger 聊天记录及传输文件内容等)监控邮件（正文及附件／含Web邮件）记录/封堵BBS/申请服务/发表文章（外发尺寸限制）IP与MAC绑定监控网站访问记录发消息给客户机FTP上传文件的记录（上传文件内容和操作命令）提供上网流量统计提供完全免费的高速共享上网NAT周全的上网行为控制规则（分时段封堵各类活动&浏览网页、收发邮件、聊天工具、游戏端口/IP等）十多种专业的上网统计报表同时提供多种监控模式：基于网卡、IP对敏感信息报警（声音报警、邮件报警、短信报警）提供用户权限设置（分级查阅）支持大型日志数据转移，查询能应对各类复杂的网络环境。跨Vlan环境监控能力很强内网管控:截取屏幕、操作客户机硬盘、查看市面上决大多数IM工具聊天内容、禁止USB接口、禁止运行任意指定的应用程序（游戏）等拥有超过8000台以上电脑的客户同类产品中拥有最多量的国内知名企业客户完全独立自主的知识产权。 第一章、技术构架网路岗采用实时处理方式，对网络中的会话流，按通信的收发关系进行检测和审计，提供IP地址、邮件地址、URL和关键词等多种检测审计规则的会话和内容实时监测，对原始传输内容尽心解密、转换编码、多种文档内容的还原、压缩内容进行提取等。&第二章、产品技术特点应用协议处理功能支持所有基于 TCP 网络协议的应用会话还原。 支持网络应用协议类型和 IP 地址的过滤。 支持IP地址、URL、邮件地址的提取。 支持邮件附件的提取。编码处理功能支持常用的传输编码：BASE64、QuotePrinter、Hex、Bin、UUendecoder,Bit7, Bit8。 支持网页压缩传输编码：deflate, gzip。 支持的字符编码：GB2312、BIG5、ISO－8859－1、UniCode、CJK－JP、Koi8r。文档转换功能支持 XML/HTML 到 TXT 文档的转换。支持 Doc 文档到 TXT 文档的转换。支持 gzip、rar、zip、arj、lhz 压缩文档的还原。监测功能支持 IP、邮件地址类型监测条件的分向监测。 支持 URL 作为监测条件对网络会话行为进行监测。 支持关键词、布尔表达式、组合表达式内容监测条件，并支持关键词的模糊匹配。 提供窗口显示、声音报警、邮件报警、WinPop 等报警方式，并记录报警事件。 支持报警事件的分级定义、显示和处理。审计功能支持基于时间、应用协议类型、IP 地址、邮件地址、URL、文种类型等基本审计条件的会话行为和内容的审计。 支持监测条件类型、事件级别等审计条件的会话行为和内容的审计。 支持关键词表达式的信息内容反查。支持基于 IP 地址、邮件地址、URL 的统计。 支持基于监测条件类型的统计。 支持应用协议类型的统计。 支持多种类型统计和审计报表的输出：TXT、HTML、XLS。 支持统计结果的直方图、曲线图的输出显示。2.6 网络流量监测统计功能基于网络协议监测统计。 基于应用协议监测统计。 基于包大小分布监测统计。 基于网络流量监测统计。2.7 管理功能支持监测策略本地和远程的配置和下发。 支持在线数据的备份和自动删除。 支持历史数据的查询审计。 提供多级用户管理，支持不同用户权限的划分。第三章、监测与审计的对象基本概念为了便于用户完整、准确地理解网络信息安全审计系统的技术体系和应用领域，首先对下列概念进行说明。3.1.1 网络会话指在网络上为完成某一应用的数据交互而进行的一次通信。包括三个阶段：网络连接的建立、数据传输和连接的拆除。为了叙述方便，下文将网络会话简称为会话。3.1.2 会话行为使用者在网络上进行的会话活动。如点击网页、收发电子邮件、网络游戏、视频点播、上传下载文件等。3.1.3 会话内容指在网络上一次网络会话中所传输的内容。例如：发送和接收的邮件、浏览的网页、上传或下载的文件等。3.1.4 监测策略使用者为了监测网络的会话行为或会话内容而制定的策略。3.1.5 监测与审计监测是一个实时接收数据、处理信息的过程，当监测到满足报警条件的信息时产生报警 信息。审计与实时接收数据的过程无关。审计的目标是对已经接收到的信息的内容进行分析、 比较、判决的过程。3.1.6 会话行为监测使用者依据监测策略，对网络上的会话行为进行在线监测。简称行为监测。监测策略是针对被监测对象的上网时间、IP 地址、TCP/UDP 端口号、协议类型等多种监测条件的组合。3.1.7 会话内容监测使用者依据监测策略，对网络会话中传输的内容进行在线监测。简称内容监测。3.1.8 会话行为审计提取会话行为的特征信息并记录保存，用于事后分析。简称行为审计。3.1.9 会话内容审计提取会话内容并进行解码、转换、记录、保存，用于事后分析。简称内容审计。3.2 行为监测与审计网络信息安全审计系统对行为监测与审计的项目有:实时监测被监测 对象的上网时间、源地址（IP 和 MAC 地址）、源端口、目标地址（IP 和 MAC 地址）、目的端 口、协议类型等。提取会话行为的特征信息，形成日志并记录保存，用于事后审计。例如可 以专门对 telnet 用户使用的账号、输入命令及命令内容及上网时间等特征信息进行记录保存。此项功能主要用于：实时记录用户访问网站、收发电子邮件、BBS、聊天次数及数据包流量，并根据监测与审计策略产生报警信息，达到发现不当使用者的目的。3.3 内容监测与审计网络信息安全审计系统对内容监测与审计的主要项目有：提取会话内容的特征信息，形成审计日志并记录保存，对审计日志进行事后分析。针对&E-mail&的审计项目：源信箱地址、目的信箱地址、收件人、标题、正文和附件信息。针对 ftp 的审计项目：用户使用的账号、输入命令及传送的文件类型信息。 针对 HTTP 的审计项目：用户使用的 URL、文字和图象信息。 与行为监测与审计的主要区别:⑴&行为监测与审计的对象是基于 TCP/IP 传输的网络会话过程，内容监测与审计的对象是网络会话中传输的内容，如文字内容、图象、语音信息。审计对象不同。⑵&行为监测与审计的目的是对用户在网上从事的各种访问行为进行监测记录和分析。 比如：盗用他人帐号、访问黄色、非法网站、滥用网络资源等。管理者通过分析及时发现不 当使用行为，确保网络正常运行；内容监测审计的目的是对用户在网上浏览、下载、上传的各种信息的内容进行筛选过滤。比如：盗窃涉及企业机密的信息、发布攻击政府的言论信息、 散步非法言论等。管理者从中发现敏感信息内容，通过对会话内容的分析，达到发现违法信 息、不当使用者的目的。直接为企业利益提供保护，为执法机构执法提供有价值的证据信息。 会话内容由多种信息编码、文种、语音、图象等因素构成，用于解释、还原会话内容的 技术涉及信息编码、密码、语音处理、图象处理、人工智能等多个前沿技术领域，处理技术 十分复杂，难度很大。在国内，能够涉足上述技术领域并具有开发相关产品能力的企业十分罕见。第四章、安装方案:常见情况一:通过安装&代理服务器软件&或&网路岗NAT&，实现所有机器共享上网。安装方法：将&网路岗&安装在代理服务器上，绑定内网的网卡，网路岗设置为&非旁路监控&状态。常见的代理服务器软件：Microsoft ISA/Sygate/Wingate/Winroute/CCProxy/亿特 等等。&常见情况二:通过&IP分享器、路由器或防火墙&实现整个网络共享一个出口上网，且内部交换机均不具备设置镜像端口的功能。安装方法：在内部交换机和路由器之间加一共享式HUB，再将安装&网路岗&的机器网线也接入到HUB上，网路岗设置为&旁路监控&状态。&常见情况三:通过&IP分享器、路由器或防火墙&实现整个网络共享一个出口上网，且内部主交换机具备设置镜像端口的功能。安装方法：在内部主交换机上设置端口镜像，将接路由器的网线设置为&被镜像端口&，将接&网路岗&的网线设置为&镜像端口&，网路岗设置为&旁路监控&状态。&常见情况四:在一台双网卡电脑上建立&网络桥&，将该&网络桥&放在Internet出口处。安装方法：直接将&网路岗&安装在启用&网络桥&的机器上，&网路岗&绑靠近内网的网卡，同时给&网络桥&配置IP以使其能访问内部网其他机器。网路岗设置为&非旁路监控&状态。&第五章、网路岗常用技术词语解释旁路监控如果用户以硬件路由器（或FireWall)为出口上Internet，为实现&通过一台机器监控整个网络&的目的,通常采用下面几种手段：1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。上面实现的监控就是所谓的&旁路监控&。打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与&旁路监控&。如果设卡监控，那就应该属于&非旁路监控&优点：对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。缺点：1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。2、不能封堵UDP通讯包。3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。非旁路监控(拦截式)对&网路岗五代 6.0版或更高&而言，下面情况均属于&非旁路监控&：&1、客户机通过&代理服务器软件&实现共享上网，而&网路岗&就安装在该代理服务器上。常见的代理服务器软件包括：Sygate/WinGate/MS ISA/MS Proxy/CCProxy/WinRoute 等等。2、用户启用&网络邻居&--&网卡属性&中&Internet共享上网&选项，&网路岗&安装在该机器上，绑定内网卡进行监控。3、系统启用&软路由&/&网桥&等功能，&网路岗&安装在该机器上；启用该设置的前提条件是本系统有双网卡。4、启用网路岗共享上网NAT。5、启用网路岗&虚拟网卡&功能。 总之，只要客户机需经由某台电脑上网，则都属于&非旁路监控&。 这里特别需要说明的是：以前版本的&网路岗&产品，针对上述各情况，均采用&旁路监控&的技术,正如目前市面上决大多数产品一样；但较新版本的&网路岗&针对上述上网方式，则采用了&旁路监视、拦截过滤&的技术手段，既尽可能少影响网络速度，又能完全封堵UDP通讯包，是一种近乎完美的监控方式。&基于帐户&的监控也因此更加可靠。 防火墙产品是单纯采用&拦截式&技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。基于网卡、基于帐户、基于IP所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？ &网路岗&提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用&基于网卡&的方式，也就是说以&网卡地址MAC&来作为判断数据包的依据。相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。 针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。但是，这种情况，&网路岗&已经充分考虑了其应对策略，我们的客户依然可以选择&基于网卡&的方式，正如单一网段环境一样。 当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择&基于IP&地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以&自定义的IP范围&作为一个监控对象来对待。 最后，我们要谈谈&基于帐户&。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是&基于帐户&模式的具体表现。 &基于帐户&的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看，&基于帐户&在&宾馆客房&上网方面似乎是非常好的方案。网桥先解释一下通常意义下的&网桥&概念。 网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个&低层的路由器&（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。网桥通常有透明网桥和源路由选择网桥两大类。1、透明网桥简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。2、源路由选择网桥源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。下面图示的是在WinXP系统下创建&网桥&：同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。 网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？ 不是，用户仍然可以在上面显示的&网络桥&上配置另外的IP。 透明网桥示意图：左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。网路岗配置网桥示意图如下：右击选中打开后如图通过这两步就配置好网路岗的双网卡网桥功能了，确定退出后再选择启用一下双网卡网桥这个服务就可以了。虚拟网桥&虚拟网桥&实际上是&网路岗&为一种&网络监控技术&而命名的一个技术名词。和实际&网桥&概念完全不同，仅仅因为其通讯过程类似&网桥&罢了。 通常意义上的&网桥&一般需要两块网卡来实现， 而这里所谓的&虚拟网桥&只需要一块网卡。 下面的网络结构是非常常见的：机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1以下是&网路岗&启用&虚拟网桥&功能后，数据包走向图：当&网路岗&主机启用&虚拟网桥&功能后，从客户机192.168.0.2发向Internet的数据包，先送到&网路岗&主机，然后由&网路岗&主机转发到网关192.168.0.1，反之亦然。 不难看出，要达到一台机器监控整个网络的目的，只需要启用&虚拟网桥&功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为&装在任何一台电脑上就可以监控整个网络&。而实际使用中，该技术的缺点非常明显，虽然&网路岗&已经加入该技术，但有必要向客户交代其中问题所在。 缺点1：客户机盲目安装. 既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。 缺点2：很容易逃避监控 所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。 因此，在单网段环境下，我们建议客户仍然采用传统的&监控手段&。如果客户执意采用该监控手段，那么请注意：&网路岗&可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。 如何启用&虚拟网桥&？3、在NAT/网桥中右击选中并启用&虚拟网桥& 即可，第一次安装启用虚拟网桥的话，电脑需要重新启动一次才可以。&共享上网NAT&网络地址转换&(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的&Internet 连接共享&及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。&跨VLAN/单网段/多网段VLAN，是英文Virtual Local Area Network的缩写，中文名为&虚拟局域网&， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN在交换机上的实现方法，可以大致划分为六类:1. 基于端口的VLAN（最常应用的一种VLAN划分方法)2. 基于MAC地址的VLAN3. 基于网络层协议的VLAN4. 根据IP组播的VLAN5. 按策略划分的VLAN6. 按用户定义、非用户授权划分的VLAN在监控产品中，所谓&跨VLAN&监控就是所监控的客户机位于多个VLAN中。 单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0)多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0)镜像端口/监控端口/被监控端口在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是&&，如下图：端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。 市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了&单向接受&模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过&网路岗&针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。 不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。汇聚MAC在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的&路由&进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的&汇聚MAC&。建议用&工具&菜单下的&ip包分析工具&抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。以上是我们网路岗软件的主要的技术特点及常见的监控方式，针对贵公司提出的几点要求，建议使用双网卡网桥方式来监控。这样方式可以有效的封堵下载、聊天、电视、股票、网络游戏等，而使用旁路镜像方式进行监控都是和网桥实现的效果一样，但旁路方式监控的不足之处就是进行相关下载、相关电视封堵时不可以封堵UDP的相关通讯。所以根据贵公司的要求，建议使用网桥方式监控，可以起到更有效的封堵，不过使用网桥方式监控对服务器本身的配置要求比较高，终端机器数如果超过100台的话，建议使用双核处理器，千M网卡。 我们的软件使用何种方监控都是可以导出日志文件，导出的excel报表，也可以在网路岗里查询报表打印，也可以导出来打印。 所有的监控方式都支持分时间段控制上网行为，支持用户分组上网策略控制。同时这样封堵还不影响用户访问QQ空间，只是空间其中的QQ开心农场不能玩了。
使用方法 / &&&&&&
&&( 17:55:43)&&( 15:28:45)&&( 11:4:47)&&( 21:24:6)&&( 18:6:13)&&( 16:7:26)&&( 10:20:20)&&( 10:50:25)&&( 14:42:38)&&( 11:48:47)