当前,由于越来越多的企事业单位部署了网管软件来加强对员工上网行为的监控和管理。一些员工处于逆反心理,私自在互联网上下载一些网管软件安装,企图逃避监控或者控制别人的上网带宽,以达到自己独享高速带宽的目的;还有一些居心不良的员工,在局域网电脑上安装一些嗅探软件,如Sniffer、Wireshark等,通过抓取局域网其他电脑的网络数据包,从中解析出重要的账户、密码、网银密钥、邮件内容、聊天内容、FTP传输内容、留言、发帖等各种涉及公司商业机密和个人隐私的重要信息,以达到获取非法利益的目的。为此,网管人员必须提高警惕,严防局域网用户安装网管软件或者嗅探软件的行为。
局域网电脑在正常的上网模式下,网卡工作状态一般是广播模式或者直播模式。局域网电脑网卡如果处于混杂模式,则一般是运行某些嗅探软件或者类似的网管软件,这是由混杂模式节点的原理所决定的。混杂模式(Promiscuous Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是他。这样,一些网管软件或者嗅探软件通过安装某些抓包驱动就可以抓取流经网卡的所有的数据包,从而就可以从中解析出各种涉及隐私或者商业机密的信息。
当前,国内安全软件厂商针对安装网管软件或者嗅探软件都缺乏有效的侦测方法。一些安全软件厂商是通过安装客户端软件,检测客户端电脑的进程,并通过应用软件的下载、安装和使用而实现的。这种实现方式虽然可以在一定程度上禁止此类软件的运行,但是由于这种实现方式需要在每一台电脑安装客户端软件,容易导致员工的反感,并且还涉嫌侵犯员工隐私,所以这种粗暴的管理方式不太适合国内企事业单位的需要。为此,大势至(北京)软件工程有限公司独创了基于检测局域网内混杂模式网卡节点的方式来遏制此类软件的运行,便于网管及时查处运行某些网管软件或者嗅探软件的电脑,从而避免了危害的发生。
聚生网管网卡混杂模式检测工具(官网:http://www.grabsun.com)极为简单,网管只需要点“开始检测”即可。聚生网管可以检测出网卡的型号、IP地址、MAC地址以及网卡当前的工作状态,从而便于网管及时制止、处理这种处于混杂模式的网卡,保护商业机密和信息安全。
图:聚生网管混杂模式节点扫描工具
聚生网管混杂模式节点扫描工具是聚生网管核心扩展插件之一,可以单独运行,也可以集成到聚生网管里面,通过和聚生网管配合使用,帮助网管人员定位危险主机,进一步加强网络监控和网络管理。
|