专利名称:一种手持式网络协议及威胁分析仪的制作方法
技术领域:
本发明涉及在以太网中检测网络中的数据包信息,协议的分析及ARP攻击源的定位技术。
背景技术:
当今信息技术被广泛应用,同时各种应用的需求对信息网络的依赖性,实时性要求越来越高。所以对网络的健壮性,实时性,安全性也越来越高。目前各局域网中所使用的网络应用众多,网络威胁也日渐增多。目前的各种局域网络的网络设备基本上由各种型号不同类别的路由器、交换机和hub构成。而目前这类设备仅仅能提供简单的网络信息。对协议的分析,网络流量的监控也不够简单和直观,并且提供不了一些必要的网络威胁的信息(如网络中的ARP攻击)。而现在的网络管理员缺乏一种能广泛分析以太网中的网络协议, 网络流量,网络威胁的工具。特别是在紧急情况下,如果采用传统的从交换机或者路由器中查询日志的方式来分析网络信息则需耗费大量时间,并且获得的结果并不直观。而且由于不同的网络管理员对网络信息的理解认识的不同,可能会得到错误的答案。本产品就是为网络管理员提供了一种及时分析网络中的各种协议,网络流量及网络威胁的工具。
发明内容
本发明所要解决的技术问题是为网络管理员提供了一种网络协议及威胁分析工具,以便网络管理员及时了解和分析局域网中所使用的网络协议,流量及网络威胁的情况。为解决上述技术问题,本发明提供一种手持式的网络协议及威胁分析仪,其特征在于,包括盒体、显示屏、小型键盘、网口、电源、主板;
所述显示屏、小型键盘、网口、电源和主板依托所述盒体安装,
所述网口用于与要检查的以太网进行连接,所述显示屏用于显示输入数据与显示检测的结果信息,所述小型键盘用于人工输入各种数据,所述主板包括系统模块、数据包抓包模块和信息分析模块;
所述系统模块,用于安装操作系统,为数据包抓包模块和信息分析模块提供底层支
持;
所述数据包抓包模块,用于从网络上收集网络包;
所述信息分析模块,用于对所述收集网络包进行解包分析,并将定制的分析结果显示到所述显示屏上。所述信息分析模块对所述收集网络包进行解包分析内容包括每个数据包的源 MAC地址,目的MAC地址,源IP地址,目的IP地址,所使用协议以及数据包大小。所述定制的分析结果包括
根据源IP地址的排列统计出数据包数量大于一定阈值的IP地址列表; 根据源MAC地址的排列统计出数据包数量大于一定阈值的MAC地址列表; 按各种协议分类统计数据包,并从多到少排列;统计所有的IP与MAC地址的对应关系。所述定制的分析结果还包括统计有多种的对应关系的IP和MAC地址,并其中把发送ARP协议包的数量大于一定阈值的IP或者MAC地址列为非法的ARP信息。所述系统模块的操作系统为Iinux操作系统。所述数据包抓包模块为tcpdump数据包抓包模块。有益效果
本发明能提供了网络管理员一种手持式网络分析仪,该分析仪够快速分析出网络的数据包、所使用协议和每台机器使用的流量,监控Ara攻击信息。本发明节省网络维护时间开支,成本低廉,方便大量部署。
下面结合附图和具体实施方式
对本发明的技术方案作进一步具体说明。图1为本发明的外观结构示意图。图2为本发明主板的工作示意图。图3为本发明的工作流程状态图。
具体实施例方式如图1所示,本发明的手持式的网络协议及威胁分析仪,外观可见盒体1、显示屏 3、小型键盘4、RJ45网口 2,电源、主板安装在盒体内;RJ45网口 2与要检查的以太网进行连接,显示屏2显示输入数据与显示检测的结果信息,小型键盘3用于人工输入各种数据,电源采用可充电干电池。如图2所示,主板11包括系统模块5、数据包抓包模块6和信息分析模块7。系统模块5上安装Iinux操作系统,为数据包抓包模块6和信息分析模块7提供底层支持;数据包抓包模块6通过网线10连接交换机8,从网络上收集网络包,交换机8通过网线10连接路由器9。信息分析模块7对收集网络包进行解包分析。数据包抓包模块6的工作模式分为主机型分析模式和网络型分析模式两种模式。1.主机型分析模式
手持式分析仪开机后选择主机型分析模式,并输入本局域网内可用IP地址,然后通过双绞线把手持式分析仪的RJ45 口与要检查的网络内的交换机连接起来。这时手持式分析仪通过模拟成一台主机来收集并分析所获得的网络内的数据包。2.网络型分析模式
手持式分析仪开机后选择网络型分析模式,并输入本局域网内可用IP地址,然后通过双绞线把手持式分析仪的RJ45 口与要检查的网络内的交换机连接起来。把需要检查的端口,通常为交换机核心出口,的数据镜像到手持设备所接入的交换机端口上来。这时手持式分析仪通过镜像过来的数据来分析网络情况。如图3所示,当手持式分析仪接收到足够的数据包后会经过内部的分析软件进行分析,还原所有的IP数据包。然后统计每个数据包内的源MAC地址,目的MAC地址,源IP 地址,目的IP地址,数据包所使用协议,数据包大小。根据源IP地址的排列统计出数据包数量大于一定阈值的IP地址列表;
4页
根据源MAC地址的排列统计出数据包数量大于一定阈值的MAC地址列表; 按各种协议分类统计数据包,并从多到少排列; 统计所有的IP与MAC地址的对应关系。统计有多种的对应关系的IP和MAC地址,并其中把发送ARP协议包的数量大于一定阈值的IP或者MAC地址列为非法的ARP信息。最后把所需要显示的结果报告显示在显示屏上。下面简述本发明手持式的网络协议及威胁分析仪的使用方法及步骤。1.开启手持式分析仪,选择工作模式(主机模式或者网络模式); 2.根据分析仪菜单提示输入IP地址信息。3.根据所选择的工作模式用网线把手持式分析仪连接如需要检查的以太网内。3.根据从以太网中所收集的数据包信息来分析出所需要的报告。4.将报告显示在手持式分析仪的显示屏幕中。最后所应说明的是,以上具体实施方式
仅用以说明本发明的技术方案而非限制, 尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种手持式的网络协议及威胁分析仪,其特征在于,包括盒体、显示屏、小型键盘、网口、电源、主板;所述显示屏、小型键盘、网口、电源和主板依托所述盒体安装,所述网口用于与要检查的以太网进行连接,所述显示屏用于显示输入数据与显示检测的结果信息,所述小型键盘用于人工输入各种数据,所述主板包括系统模块、数据包抓包模块和信息分析模块;所述系统模块,用于安装操作系统,为数据包抓包模块和信息分析模块提供底层支持;所述数据包抓包模块,用于从网络上收集网络包;所述信息分析模块,用于对所述收集网络包进行解包分析,并将定制的分析结果显示到所述显示屏上。
2.根据权利要求1所述的手持式的网络协议及威胁分析仪,其特征在于,所述信息分析模块对所述收集网络包进行解包分析内容包括每个数据包的源MAC地址,目的MAC地址,源IP地址,目的IP地址,所使用协议以及数据包大小。
3.根据权利要求2所述的手持式的网络协议及威胁分析仪,其特征在于,所述定制的分析结果包括根据源IP地址的排列统计出数据包数量大于一定阈值的IP地址列表;根据源MAC地址的排列统计出数据包数量大于一定阈值的MAC地址列表;按各种协议分类统计数据包,并从多到少排列;统计所有的IP与MAC地址的对应关系。
4.根据权利要求3所述的手持式的网络协议及威胁分析仪,其特征在于,所述定制的分析结果还包括统计有多种的对应关系的IP和MAC地址,并其中把发送ARP协议包的数量大于一定阈值的IP或者MAC地址列为非法的ARP信息。
5.根据权利要求1-4之一所述的手持式的网络协议及威胁分析仪,其特征在于,所述系统模块的操作系统为Iinux操作系统。
6.根据权利要求1-4之一所述的手持式的网络协议及威胁分析仪,其特征在于,所述数据包抓包模块为tcpdump数据包抓包模块。
7.根据权利要求5所述的手持式的网络协议及威胁分析仪,其特征在于,所述数据包抓包模块为tcpdump数据包抓包模块。
全文摘要
本发明公开了一种手持式的网络协议及威胁分析仪,其特征在于,包括盒体、显示屏、小型键盘、网口、电源、主板;所述显示屏、小型键盘、网口、电源和主板依托所述盒体安装,所述网口用于与要检查的以太网进行连接,所述显示屏用于显示输入数据与显示检测的结果信息,所述小型键盘用于人工输入各种数据,所述主板包括系统模块、数据包抓包模块和信息分析模块。本发明能提供了网络管理员一种手持式网络分析仪,该分析仪够快速分析出网络的数据包、所使用协议和每台机器使用的流量,监控APR攻击信息。本发明节省网络维护时间开支,成本低廉,方便大量部署。
文档编号H04L12/24GK102394786SQ20111041620
公开日2012年3月28日 申请日期2011年12月14日 优先权日2011年12月14日
发明者张永隽, 桂习伟, 陈艳文, 高振鹰 申请人:武汉钢铁(集团)公司