随着信息技术的发展,国内各行业企业都建立了自己的内部局域网。相应地,网络管理、网络维护就成为当前企业面临的一个普遍需求,并由此引发了一个新兴的职业——计算机网络管理员。计算机网络管理员(简称网管员)是一个蓬勃发展的新兴职业,由于其工作相对轻松、稳定,同时也可以学习一些专业的网络管理技能,所以也成为众多年轻人向往的职业。而网管员同时也是一个“先存在而后进行定义”的职业,网管员职业标准的滞后以及传统教育的缺失,使得社会普遍对这个职业存在着很多疑惑,不管是求职者,还是用人单位都存在着如下的疑问:什么是合格的计算机网络管理员?一个计算机网络管理员需要从事什么样的具体工作?作为网络管理员必备的技能是什么?如何培养合格的计算机网络管理员?而对“网管员”从业人员来讲,如何获得相关知识和技能呢?
依据企业的业务性质与规模不同,对网管员的工作要求也有较大的差异。
IT信息系统规模大的企业,分工较细,网管员可能只需要负责计算机机房的网络运行和维护;而一些小型企业,只设一个网管员,他(她)可能不但要负责IT系统运行维护中的设备管理,还要负责网络管理和系统管理,还有的企业需要网管员进行一些简单的网站建设和网页制作等工作。 总之,当前国内企业对网管员的要求基本就是大而全,不需要精通,但什么都得懂一些。但也正因为这样,使得国内的网管员常常面临着一些尴尬:一般的问题都懂一些,但是稍微深一些的问题就束手无策了。
在一家机械制造公司上班的小李就遇到了这样一个问题。由于小李的前任网管工作做得较为细致,单位局域网的各项管理举措都井井有条,所以小李接下这个单位的网管工作后,很快就熟悉了单位的网络管理情况,并尽可能延续了前任网管的各种管理方略,所以小李单位的局域网一直较为稳定。小李的工作平时也主要是按时升级单位的杀毒软件和操作系统的补丁程序,检测单位各项信息化系统的正常运转,帮单位同事重做操作系统,对外采购一些网络设备等。所以,平时小李的闲暇时间较多,小李就利用这些空余时间不断学习一些网络管理技术,甚至还做一些网络管理实践、实验,使得小李的网络管理综合技能不断提升。
但是最近小李单位的局域网经常有人莫名其妙地网速变慢、甚至掉线的现象。起初,小李以为是其电脑自身的问题,比如电脑中毒了或者操作系统积累的垃圾文件太多,或者是单位的局域网内有人在用迅雷下载东西等,所以小李也没太在意,只按照一些常规的网络管理手段来进行了一番处理。但是,这种现象并没有完全消除,一些电脑还是间歇地掉线、断网、网速变慢。这让小李顿时一筹莫展。
小李突然想到,最近这一段时间流行ARP攻击、ARP欺骗。ARP攻击的原理就是局域网某些电脑向整个局域网广播伪造的ARP报文,也就是向局域网电脑发送一个网关的IP地址加上一个错误的网关的MAC地址,这样局域网的电脑的ARP表就会被更改成一个错误的网关的ARP表项,导致局域网电脑上网的时候无法将数据包发送出去而出现掉线、断网的现象。
小李于是到那些上网速度慢或者断网的电脑上查询ARP表项。结果让小李大吃一惊,果然有ARP木马攻击,导致电脑的ARP表存储的网关的MAC地址指向了一个不存在的MAC地址,所以电脑自然就无法上网了。所以,接下来小李的工作就是尽快找到ARP攻击源主机、杀掉ARP木马,从而达到抵御ARP攻击、防止ARP欺骗的目的。小李于是试着用一些抓包软件在这台电脑上抓包,想从抓取的报文中发现ARP攻击源主机的一些信息并最终定位。但是,令小李失望的是,由于攻击源主机发送的ARP报文是伪造的,也就是局域网根本不存在这个电脑,所以小李自然也一无所获。
小李没办法,只能给这台电脑安装了ARP防火墙以防止ARP欺骗。但是,这终究不是一个一劳永逸的办法。首先,局域网有200多台电脑,如果每台电脑都安装ARP防火墙,那么这个工作量可想而知;其次,ARP防火墙的原理将网关的IP和MAC地址进行绑定,并不断地向局域网的网关发送ARP请求信息,以此来达到和网关正常通信的目的,这样如果局域网电脑数量很多的情况下,网关收到ARP防火墙的ARP广播报文就会非常多,这样网关的负荷就非常大,容易引发网络风暴导致路由器重启、死机等现象而引发整个局域网掉线,所以负面影响太大;最后,由于ARP防火墙只能防止ARP欺骗攻击,却无法应对ARP劫持攻击,而后一种攻击同样也可以导致局域网电脑掉线、断网现象,所以安装ARP防火墙只是一种治标不治本的方法,不能完全保证局域网网络安全、畅通的目的。
再三思索,小李终究还是放弃了给电脑安装ARP防火墙来防止ARP广播攻击,而是下定决心要找到ARP攻击源主机,从根源上彻底治理ARP病毒侵害局域网的症结。
小李于是在网上搜索一些网络管理工具,找到了一款叫做聚生网管的上网行为管理系统,里面有检测ARP病毒、防范ARP木马攻击的功能。小李于是迫不及待地从聚生网管的官方网址(http://www.grabsun.com/)下载了聚生网管软件来进行试验。在聚生网管的“安全管理”里面有一个“网络安全检测工具”,里面有一个ARP攻击、ARP病毒专项检测工具,如下图所示:
首先,启用ARP病毒、ARP攻击防御功能之后,聚生网管就会向局域网发送ARP病毒免疫信息,这样起到了主动预防ARP攻击的功能;其次,在检测到ARP攻击时,聚生网管系统可以自动加大免疫力度,从而可以抵消ARP攻击的危害,保证网络正常通信;其次,在检测到ARP攻击时,聚生网管系统还可以记录攻击源主机,从而便于网管人员及时采取规避措施。
这些功能让小李兴奋不已,马上启动了这几项功能,果然发现了局域网ARP攻击源主机,小李于是到那个电脑上进行检测,发现其实那款电脑用了一个采用ARP技术的黑客软件,这个软件是通过ARP欺骗的方式来限制局域网其他电脑上网速度,从而让自己可以获取更大的上网带宽。这让小李十分气恼,当面批评了那个私自安装黑客软件的电脑用户,并将其完全卸载了。之后,局域网网络情况明显改观,没有再出现电脑上网慢、间歇性掉线的情况。
但是这件事情之后,小李却受到了启发,如何才能避免局域网电脑私自安装一些限速软件、黑客软件呢?更进一步讲如果局域网电脑私自安装一些嗅探软件、抓包软件,则就很容易捕获局域网其他电脑的上网隐私,比如银行登录口令、领导信箱密码、单位的机密信息等,那样对局域网的危害恐怕不只是导致电脑上网速度慢、网络掉线的问题了,到时候领导肯定会责怪小李网络管理工作没做好,甚至还可能。。。小李不敢往下想了。
小李于是开始着手准备相关的防护工作。通过自己掌握的网络管理技术、网络嗅探、网络监控相关的基础技术,小李意识到如果局域网电脑安装黑客软件、网管软件、嗅探软件、攻击软件,一般网卡都会处于混杂模式,这样才可以便于捕获到其他电脑的上网报文,然后从中解析出重要的信息。所以小李决定还是从源头开始,检测局域网内混杂模式网卡,通过查找混杂模式网卡基本可以定位局域网那些处于异常情况的电脑,从而及时予以制止和防范。
小李发现,聚生网管的扩展插件里面有一个“混杂模式网卡检测工具”,可以轻松检测局域网内处于混杂模式的网卡,而且操作极为简单,点点鼠标就可以。如下图所示:
点击“开始检测”,就出现混杂模式网卡扫描工具的界面。点击“开始探测”即可。如下图所示:
通过这个检测混杂网卡的工具,可以轻松检测处于混杂模式的网卡,可以有效禁止Sniffer嗅探、防止Wireshark嗅探、禁止嗅探软件等对局域网造成的危害。此外,一些网管软件、黑客软件在启动的时候也会将网卡置于混杂模式,这样同样可以用聚生网管的这个工具来检测网卡混杂模式、禁止抓包软件、限制网络监听、阻止网络嗅探等,从而可以最大程度保护内网信息安全和商业机密。
通过启用聚生网管的抵御ARP攻击和检测网卡混杂模式的功能之后,小李陆续又在单位局域网抓获了一个典型,网络管理逐步恢复了网络的平静;单位员工也知道小李部署了检测软件、网管软件之后,也不敢私自进行一些危害网络安全、影响网络畅通的行为,网络安全更有了保障。
同时,小李还发现,聚生网管提供了全方位的网络限制功能,可以有效禁止员工P2P下载、禁止使用迅雷下载;禁止看网络电视、禁止浏览网页视频、过滤不良网站;限制QQ聊天、禁止飞信聊天、禁止登录阿里旺旺聊天、禁止员工开网店、禁止网上做生意等;限制上班炒股、禁止股票交易买卖、限制股票软件使用;限制QQ游戏、禁止开心网游戏、禁止上班玩小游戏等功能;此外,还有更重要的一个功能就是限制电脑网速、防止个别电脑抢带宽、抢流量的行为而导致其他人上网速度慢、网络性能下降等问题。这些功能让小李欣喜不已,单位领导一直要求小李加强网络监管,防止员工上班开小差、禁止员工干私活的行为,这下小李可以轻松应对了。
小李还发现聚生网管与其他网管软件不同,只需要在局域网一台电脑安装就可以了,不像其他网管软件要做端口镜像,把网管软件部署在镜像端口或者安装服务器或HUB集线器的方式;聚生网管的安装和使用都极为简单,小李基本上点点鼠标就可以实现所有的网络管理功能。这让小李的网管工作也轻松了不少!
自从部署聚生网络监控软件之后,小李单位的网络管理状况有了明显的改善,小李的工作得到了领导的嘉奖,小李又恢复了往日的轻松、充实的上班状态。
共有条评论
