肖杰是一家烟草公司的网管人员,从事所在单位的网络管理工作已经有三年的时间。这三年来,勤奋刻苦、好学上进的肖杰从一个对网络知识一知半解的状态到现在能够熟练排查、解决企业的大部分网络管理问题,个中辛苦只有肖杰知道。肖杰所在单位内部的网络管理由三年前的粗放、无序管理状态逐步跃入规范、有序的良性管理,也使得肖杰的网络管理工作驾轻就熟。肖杰由于内务能力突出,被单位内部的同事称作“逍遥客”,肖杰对这个称呼也显得洋洋得意。
可是,“逍遥客”的日子没过多久,单位内部网络管理中出现了一个不大不小的问题。原来最近单位内部局域网用户反映上网速度时快时慢,有时候甚至完全堵塞状态。这种情况单位之前也遇到过,但是一般都会很快恢复正常。但是最近这种时断时续的情况却每天都会发生很多次,有时候甚至半小时、一小时完全无法无法打开网页、收发电子邮件,企业的其他业务系统,尤其是需要借助公网传输的信息化系统也都时断时续,严重影响了企业各项业务的正常进行。
其实,这几天肖杰也一直在关注这个问题。先前以为是宽带提供商进行设备设计和线路调整导致的,后来咨询了宽带提供商的服务电话,告知没有进行类似调整,说明单位的上网线路没有问题。敏感的肖杰马上意识到,可能是局域网电脑遭遇了先前一段时间的流行的ARP病毒,局域网电脑的断网、掉线可能就是此类ARP攻击的结果。事不宜迟,肖杰马上在一些关键的电脑上开启了防火墙并安装了最新版本的杀毒软件进行检测和防御。经过一天的日志分析,肖杰却并没有发现什么ARP攻击和ARP欺骗。莫非是ARP劫持——一种最新出现的ARP攻击方式,这种攻击方式不会被防火墙和杀毒软件检测和防御到,因为这种攻击的目标并不是局域网内部的其他电脑,而是单位上网的网关——路由器、防火墙等。肖杰迅速查看了单位的防火墙和路由器,也没有发现什么可疑之处。一时间,这个莫名其妙的掉线、断网现象让肖杰丈二和尚摸不着头。
无计可施的肖杰觉得还是按照老办法——一一检查局域网各个电脑,当然,肖杰也并没有大张旗鼓的进行,而是通过路由器先看看各个电脑的公网流量——因为,网络堵塞有可能是单位内部局域网个别人员过量占用企业的公网带宽有关系。经过对路由器上网流量日志的分析,肖杰锁定了单位内部的两台电脑。随后,肖杰加强了对这两台电脑的关注。终于,肖杰发现了这两台电脑经常使用迅雷下载一些当前流行的电视剧和欧美大片,而这些文件一般很大,所以即使用迅雷下载,也会持续较长的时间。肖杰知道,迅雷是一个糅合了很多下载技术的P2P下载工具,下载速度极为惊人,可以无限制地占用企业有限的公网带宽。肖杰所在的单位带宽虽然是专线8兆,但是实际的下载速度一般可以达到2兆,而这两台电脑一旦启用迅雷下载,可以跑到1.7兆左右,基本上耗尽了企业所有的公网带宽资源,网络堵塞在所难免。肖杰深深地松了一口气,总算找到问题的要害了,剩下来就是如何治理这一不合理的上网行为了。
肖杰首先想到了向上级领导汇报,然后让领导依据公司的上网管理制度对这两个肇事人员进行处罚。但是,一想到大家都是共事多年的同事,相互关系也都不错,这样背着同事给领导打小报告,必将影响同事关系,甚至可能连朋友都做不了了。所以,肖杰就打消了这一念头。
肖杰综合考虑之后,决定还是通过技术手段,神不知鬼不觉地屏蔽这些猖獗的P2P工具以及一些在线视频、网络电视等工具。肖杰首先想到了利用防火墙、路由器等公司现有的网络设备屏蔽迅雷的上传和下载的端口,进而限制迅雷的DNS解析,最后再通过限制HTTP下载、限制FTP下载等综合这几种方式来完全禁止迅雷的使用。肖杰在自己的电脑上安装了迅雷,然后利用目前流行的抓包工具Sniffer进行抓包分析,从中大致了解了迅雷的一些传输端口和DNS解析,但是有一些较大的传输包进行了加密,从而无法获取其传输的协议特征。这就意味着,肖杰可能无法完全封堵迅雷的传输。肖杰在防火墙上做好了这些规则之后,经过测试,发现迅雷的下载速度照之前并没有下降多少,而且肖杰还发现了迅雷还使用80、8000、8080甚至是443端口进行传输,这些端口是上网的必经端口啊,看来通过封堵迅雷端口的方式来禁止迅雷的下载不太可能了;并且,迅雷下载时只需要一次DNS解析就可以不再解析,并且解析的报文也经过了加密,从而无法得知其解析的具体网址是什么,所以也无法通过屏蔽迅雷DNS解析的方式来禁止迅雷下载了。自然,肖杰希望通过限制HTTP下载和FTP下载来约束迅雷下载的方式也就无效了
相关文章
共有条评论
