网络监控软件一般能够监控QQ软件、MSN软件,可以在不安装客户端的情况下轻松封堵屏蔽这些聊天软件的使用。可以监控到每台电脑实时的上行流量,下午流量;FreeEIM 同时可以监控到公司整个网络的带宽流量大小。可以监控到下面电脑的屏幕和电脑里的文件,还可以设置对下面的电脑屏幕定时截取照片,内网管控还可以实现控制USB存储,控制应用程序的运行等。
一、网络监控软件定义[回目录]
网络监控软件是指针对局域网内的计算机进行监视和控制;针对内部的电脑上互联网以及内部行为与资产等过程管理;包含了上网监控(上网行为监视和控制、上网行为安全审计)和内网监控(内网行为监视、控制、软硬件资产管理、数据与信息安全);
二、网络监控应用背景[回目录]
首先,我们谈谈email。比起传统信件,email速度快,还更有效率,在许多企业,电子邮件已渐渐具备正式公文的性质,企业档案资料的管理已不仅限于各类纸张文挡,也包括各类来往的电子邮件。如果对电子邮件进行管理、备份,企业可更有效地管理对内对外的档案。方便的email,也可能被员工当作有意或无意泄漏机密的主要管道。据调查,美国大约四分之三的大型企业,利用特殊软件,检查员工的电子邮件,防止泄漏公司机密。电子邮件也正在变成调查犯罪的重要证据,许多案件都追查过嫌犯的电子邮件,发现他们使用的讯息类型,以及在网络上找到的讯息等。许多证券公司,都根据规定,将企业往来的电子邮件,储存一段时间。基于此,对企业电子邮件进行备份已经相当必要。同样,互联网的其他应用,如最基本的网页浏览功能,msn、QQ等IM即时通讯工具,Google、百度等搜索引擎,以及企业网站等等,也越来越成为企业必不可少的业务通道。一句话,我们已经进入了互联网时代。
三、网络监控软件应包含的基本功能[回目录]
1、上网监控软件(上网行为管理、网络行为审计、内容监视、上网行为控制)
应包含如下基本功能:上网监控、网页浏览监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、软网关功能、端口映射和PPPOE拨号支持、通过WEB方式发送文件的监视、通过IM聊天工具发送文件的监视和控制等;
2、内网监控软件(内网行为管理、屏幕监视、软硬件资产管理、数据安全)
应包含如下基本功能:内网监控、屏幕监视和录象、软硬件资产管理、光驱和USB等硬件禁止、应用软件限制、打印监控、
ARP防火墙、消息发布、日志报警、远程文件自动备份功能、禁止修改本地连接属性、禁止聊天工具传输文件、通过网页发送文件监视、远程文件资源管理、支持远程关机注销等、支持MSN、ICQ、SKYPE、YAHOO通、google talk、淘宝旺旺、飞信、QQ等常见IM软件的聊天内容记录等功能;
四、网络监控软件4种工作模式[回目录]
1、网关模式:原理是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),分别可以作为单网卡方式和双网卡甚至多网卡方式,原始的PROXY模式目前基本淘汰了一般不再有人采用,目前常用的是NAT存储转发的方式;简单说有点像个路由器工作的方式;因此控制力极强,但由于存储转发的方式,性能多少有点损失;不过效率已经比较好了;缺陷是假如网关死了,全网就瘫痪了;
2、网桥模式:原理是双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失;WINPCAP本身并不支持该模式;该模式可以说是最理想的了,即使桥坏了,只要简单做个跳线就可以了,因为桥是透明的可以看成网线,即使桥坏了就可以理解为网线坏了换一条而已;支持多VLAN、无线、千M万M、以及VPN、多出口等等几乎所有的网络情况,原因很简单,因为透明桥嘛等于理解为那是网线而已;
3、旁路模式:原理是使用ARP技术建立虚拟网关,只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络;但只要条件该方式是最简单的部署以及最方便的安装设置;
4、旁听模式:原理是旁路监听,是通过交换机的镜像功能来实现监控, 该模式需要采用共享式HUB或交换机镜像;可是如采用老式的共享式HUB将影响网络出口性能;如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活,只要在交换机上面配置镜像端口即可,不需要改变现有的网络结构;而且旁路监控设备一旦停止工作,也不会影响网络的正常运行。缺点在于,旁听模式通过发送RST包只能断开TCP连接,不能控制UDP通讯,如果要禁止UDP方式通讯的软件,需要在路由器上面做相关设置进行配合。
五、网络监控软件技术驱动原理:[回目录]
1、UNIX系统提供了标准的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
. BPF是一个核心态的组件,也是一个过滤器
. Network Tap接收所有的数据包
. Kernel Buffer,保存过滤器送过来的数据包
. User buffer,用户态上的数据包缓冲区
B、Libpcap(一个抓包工具库)支持BPF
. Libpcap是用户态的一个抓包工具
. Libpcap几乎是系统无关的
C、BPF是一种比较理想的抓包方案
. 在核心态,所以效率比较高,.但是,只有少数OS支持(主要是一些BSD操作系统)
2、Windows平台上通过驱动程序来获取数据包
(1)驱动程序
模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;
模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;
(2)WinPcap驱动标准接口(目前国产网络监控软件90%采用)
WINPCAP是目前免费的接口程序,支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;
(3)kercap驱动标准接口
Kercap内核抓包驱动引擎是国内自主研发的具有世界领先水平的Windows内核驱动程序,利用IMD技术实现的Kercap内核抓包引擎本来在稳定性、兼容性和安全性上比其它技术实现方式有极大的优势,比传统的winpcap内核程序速度快10倍以上,能支持更大的网络抓包。
(4)secspyit
secspyit是国内自主研发的核心引擎。多用于C/S架构的产品。
六、流行的网络监控软件[回目录]
1、网络人远程控制软件
网络人(Netman)是一款完全免费的远程控制软件,通过输入对方的IP和控制密码就能实现远程监控。软件使用UDP协议穿透内网,不用做端口映射,用户就能在任何一台可以上网的电脑都连接远端电脑,进行远程办公和远程管理。它是正规合法的软件,完全绿色,不写注册表,不会被杀毒软件当作病毒查杀,不会影响系统的稳定性。 【主要功能】 1.实现隐蔽监控:隐藏被控端网络人程序图标及相关提示,被控时不被发觉。 2.远程访问桌面:同步查看远程电脑的屏幕,能使用本地鼠标键盘如操作本机一样操作远程电脑。 3. 可对远程电脑屏幕进行拍照或录像。控制端只需点击功能键便可以切换双方身份。应用于远程电脑维护、远程技术支持、远程协助等。 4.远程文件管理:上传、下载文件,远程修改、运行文件,实现连接双方电脑的资源共享,用于远程办公等。 5.远程开启视频:开启远端电脑摄像头,进行语音视频聊天。支持视频录制,可远程旋转带有旋转功能的摄像头,用于家庭安全监控等。 6.远程命令控制:远程开机(需配合使用网络人电脑控制器硬件)、远程关机、远程重启、远程注销、锁定本地或远端电脑的鼠标键盘等。 7.文字聊天。 8.控制方管理。用户可以在自己软件上设定特定的访问人及其权限,这样就算帐号跟控制密码外泄,如果没设定对方为允许访问人,对方也无法侵入自己的电脑,大大增强了软件的使用安全性。2、TeamViewer
TeamViewer 是一个在任何防火墙和NAT代理的后台用于远程控制,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可而不需要进行一个安装的过程。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的 ID 到 TeamViewer,然后就会立即建立起连接。 为了连接到另一台计算机,只需要在两台计算机上同时运行TeamViewer即可而不需要进行一个安装的过程.该软件第一次启动在两台计算机上自动生成伙伴ID.只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接.3、信安上网行为管理系统
信安上网行为管理系统是一款C/S架构的纯软件产品,其核心引擎采用了secspyit内核。已通过国家应用软件质量监督检验中心(NAST)的认证。 信安上网行为管理系统的主要功能如下: 一、上网记录查看:查看员工网络聊天记录(如QQ、msn、飞信、旺旺等16种TM软件);收发邮件内容;网页浏览记录等;程序运行记录。 二、电脑操作查看:查看员工电脑文件、实时桌面、下载情况、使用进程等,并提供电脑使用分析报告。 三、电脑运行限制:企业可根据管理需要对如炒股、游戏、下载等软件、硬件、网页浏览进行自定义限制。 四、系统报警:对员工的电脑违规行为进行记录并实时报警。 五、远程控制:远程实现桌面控制、文件操作、关机、重启、锁屏的功能,增强管理力度。4、网路岗
通过旁路对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,记录网络事件、发现安全隐患,并对网络活动的相关信息进行存储、分析和协议还原。 网路岗的主要功能如下: 邮件监视/控制 聊天监视/控制 下载控制 上网监视与控制 传输文件监视/控制 监控屏幕/系统信息/进程/操作注册表等 上网流量/带宽监控管理 报表统计功能 自定义监控项目5、聚生网管
聚生网管是arp性质的监控软件,只需在局域网的任意一台电脑上安装的B/S架构的软件。 聚生网管的主要功能如下: 当前所有流行P2P软件的限制功能 当前所有流行的聊天软件的限制功能 精确显示、实时控制局域网主机的带宽和流量6、超级嗅探狗
通过旁路模式进行监控的一款网络监控软件,只需要安装在一台电脑上,就可以监控整个局域网。能够实时监控网络流量,并对网络活动进行记录。 超级嗅探狗网络监控软件主要功能如下: 网络管理聊天(MSN,YAHOO,ICQ,QQ)以及文件传输行为,并对所有内容进行记录,备份,统计。出具相关统计以及图形报表,可作为人力资源部门或者相关管理部门的评估资料。 网络管理上网,以及文件传输行为,并对所有内容进行记录,备份,统计。同时可对具体的某些电脑或者全部电脑做具体网页,或者网页类型浏览权限管理。出具相关统计以及图形报表,可作为人力资源部门或者相关管理部门的管理手段,从而提高员工上网效率。 网络管理邮件收发行为,并对局域网内所有收发邮件内容,附件内容进行记录,备份,统计。同时针对具体的电脑以及具体的邮箱或者企业域名邮箱做收发行为限制,设置企业内部关键词发告警邮件,大大降低内部信息外漏几率。提高企业内部文件的安全性。 禁止与工作无关的相关P2P协议,如视频,下载,游戏,股票。大大提高员工上网办事效率。同时控制每个员工的上网流量,保护公司网络资源的合理利用。 对于不同级别的员工设置不同级别的上网权限,并对所有所有上网内容做详尽的统计报表供相关部门评估。7、P2P终结者
P2P终结者是arp性质的监控软件,只需在局域网的任意一台电脑上安装的B/S架构的软件。 P2P终结者主要功能如下: .支持目前主流P2P协议控制(Bittorent,BaiduX,PP,Poco,Kamun,Thunder,Kugoo,eMule等) 2.支持P2P下载带宽限制 自定义 3.支持指定主机全局带宽限制 4.主机网络带宽实时查看功能,可以使网络管理员对网络带宽使用情况做到一目了然 5.完全集成一些网络攻击工具的断开公网连接功能 6.IP-MAC绑定控制功能 7.网络主机通讯详细信息(IP报文内容分析)实时查看功能 8.HTTP下载自定义文件后缀控制功能 9.FTP下载限制功能 10.WWW站点自定义控制功能,支持黑名单、白名单方式 11.QQ,MSN,PoPo,UC聊天工具控制功能8、第三只眼监控软件
【软件介绍】 您的企业够安全了么? 安装了防火墙,杀毒软件就可以安枕无忧? 员工想跳槽了,正拷贝公司重要资料带走,您知道么? 员工私自接单,飞单,严重影响公司业务,您有察觉么? 员工上班绝大部分时间玩游戏,浏览网站,聊天,您的工资却一分不少,公平么? 真正的安全问题,不是来自于外部,而是来自于企业内部!" 千里之堤,溃于蚁穴",公司的某些的"蛀虫",正在从内部慢慢侵蚀您的企业,让您的企业出现了危机,严重影响到了企业的生存和发展,这些问题远比外来的入侵或者病毒的危害要大得多。 据美国权威部门调查,企业平均每个使用电脑的员工每天有40%的时间用于玩游戏,聊天或者浏览与工作无关的网页。谈论到信息安全,大家首先想到的就是病毒、黑客入侵,往往会忽略由于企业内部员工工作懈怠或将公司重要资料带走等对公司造成的损失,其实这些损失对企业来说,危害更大。据统计,高达83%的公司离职人员,离职前都曾将公司资料拷贝带走,根源上加以防范内部威胁其实对企业来说已经迫在眉睫。 面对这些问题,您如何明察秋毫?又是如何控制?如何管理?如何防御? 针对以上问题,第三只眼企业计算机管理系统推出了业界领先的企业内部安全一整套解决方案,通过各种安全策略的部署,让所有的员工计算机工作表现一览无遗,四大功能模块(监视,控制,管理,报警),彻底保障公司内部安全。 【主要功能】 (一)监视:通过监视模块,管理者可以完全掌握员工以前做了什么,现在正在做什么,是否工作不努力,是否有违规行为,员工的一切计算机上的操作都一览无遗。 1 、聊天纪录监视:能监控员工使用聊天工具聊天的内容(支持MSN,QQ,ICQ,Yahoo, 阿里旺旺等多达18种常见聊天软件的监控),并可根据需要禁用某些聊天软件,方便管理者对员工互联网聊天行为进行管理,避免员工上班时间过度聊与工作无关的内容. 2 、邮件收发记录:能实时记录员工计算机所有收发的邮件,记录包括时间,收件人,发件人,标题,内容等。 3 、网页浏览监视:对员工浏览的网页进行监控,掌握员工是否上班时间浏览了于工作无关的网站,也可以根据需要屏蔽某些网址。 4 、 ftp 监控:对员工通过ftp上传和下载的内容进行监控。 5 、屏幕监控记录:可以对员工计算机屏幕画面进行记录,员工之前在计算机上的一举一动都会真实在您眼前再现。 6 、文件操作监控:可对员工的复制、剪切、删除、 重命名文件或文件夹操作进行监控。 7 、实时监控:实时监视员工计算机,并能对其进行控制,就像操作自己电脑一样简单的操作员工计算机。 8 、多画面实时监控:可同时监控多个员工当前桌面实时的画面,员工的一切操作尽在眼前,默认最多支持16画面,超过16个员工可以轮循显示。也可定制同时显示更多画面(此界面演示为16画面,可根据需求扩展为36,64,100……) 9 、摄像头实时监控:实时查看被监控计算机摄像头的画面 10 、摄像头多画面监控:实时查看多个被监控计算机摄像头的画面(此界面演示为16画面,可根据需求扩展为36,64,100……) 11 、手机查看监控记录:通过手机查看员工的监控记录(此功能需购买第三只眼监控服务器) 12 、游戏监控:能监控员工所玩游戏的内容。 13 、实时流量监视:可对员工计算机的流量进行监控,使管理者能够及时发现流量异常等情况。 14 、程序运行记录:监控员工打开的程序以及窗口的纪录。 15 、其他监控:可对员工计算机的所有操作进行监控,并可以自定义监控选项,更可以定义只监控某些操作,而对其他操作忽略。 ( 二 ) 控制:通过控制模块,管理者可以规范员工的计算机使用行为,可以使用计算机做什么,哪些不可以做。 16 、软件运行限制:可根据需要,对员工使用的软件进行限制。 17 、网址过滤:管理者可以限制员工访问某些网址或者允许访问某些网址。 18 、端口封堵:可封堵员工上网端口,聊天端口,游戏端口等,可根据需要规范员工的上网行为。 19 、 U 盘授权:可对员工的USB存储设备进行授权,经过授权的设备才可以正常使用,否则不可使用。 20 、硬件设备控制:可对所有硬件设备进行禁用,以避免员工使用与工作不相关的计算机设备(比如 USB设备,光驱,红外线,蓝牙等),还在国内第一个实现了只禁用USB存储设备,而不禁用USB鼠标、键盘等非存储设备的智能识别功能 ( 三 ) 管理:可以对员工的计算机进行远程管理,极大减轻了管理者对员工计算机的管理难度。 21 、远程文件操作:可对员工计算机内所有文件进行远程管理,对员工文件可进行远程复制、剪切、删除、重命名等,可上传,下载,更提供了批量下载员工计算机的文件和文件夹到管理者计算机的便利。 22 、远程控制:可对员工计算机进行远程关机,远程重启,可查看员工的窗口列表和进程列表,并可关闭任意窗口或进程。 23 、软硬件资产管理:可管理员工的软硬件设备。 24 、工作效率统计:可在对员工的某个月的工作效率进行统计,很直观的看出员工使用各个软件的时间、频率。并以柱形图和饼图反映出来。使得管理者对员工的工作评价更直观、更有依据。 ( 四 ) 报警:可以设置员工在进行某些操作时报警,让管理者能在第一时间知道员工的非法操作。将某些恶意行为操作扼杀在摇篮中。 25 、插入 U 盘报警:可设置在插入移动存储设备,及时报警管理者。 26 、拷出资料报警:可设置在拷贝文件带走时,向管理者报警。 27 、自定义报警: 可设置对管理者自定义的条件被触发时,及时报警给管理者。网络监控软件工作原理[回目录]
一、外网监控与内网监控
企业里涉及到两部分的网络管理,一部分是监视上INTERNET的行为和内容,也就是大家说的上网监控或外网监控;另一部分就是如果这个电脑不上 INTERNET但又在内部局域网上(比如打印个文件什么的),一般被大家叫成内网监控或本网监控;上网监控管理的是上网的内容监视和上网行为监视(比如发了什么邮件,是否限制流量,是否允许QQ,或监视用户页面浏览);而内网监视管理的是本地网络的活动过程(比如有没有COPY东西到U盘、是否在玩单机 游戏、使用电脑做了什么等等)。 外网监控软件模式基本可以分为两类:有客户端的和没有客户端的(内网安全都需要客户端,上面没有客户端的都不能实现内网安全管理)。 拥有内网管理功能的:信安上网行为管理系统、 Anyview网络监控软件、网路岗局域网管理软件、 网猫网络监控软件实现需要客户端支持。这几种软件都有专门的客户端软件提供。 没有内网管理功能的:百络网警局域网管理、聚生网管系统、超级嗅探狗上网监控系统。网络监控的拓扑图