일반적으로 사용되는 기업 트래픽 모니터링 소프트웨어는 교장 인터넷 행동 관리 시스템, 인터넷 도움말, 인터넷 고양이, 집승망, 세 눈, 쉬운 통제왕 등이다. 。 。
Lan 캡처 패키지 기술 원리;
UNIX 시스템은 표준 API 지원을 제공합니다.
(1) 그룹 콘센트
(2)BPF (주요 유행 수단)
A.BSD 포대 잡기 방법
。 BPF 는 핵심 부품 및 필터입니다.
。 네트워크 하위 커넥터는 모든 패킷을 수신합니다.
。 커널 버퍼, 필터가 보낸 패킷을 저장합니다.
。 사용자 버퍼, 사용자 모드의 패킷 버퍼.
B, Libpcap (가방을 잡는 도구 라이브러리) 은 BPF 를 지원합니다.
Libpcap 은 사용자 모드의 패킷 캡처 도구입니다.
。 Libpcap 은 시스템과 거의 독립적입니다.
BPF 는 이상적인 캡처 패키지입니다.
핵심 상태여서 효율성이 비교적 높다.
그러나 소수의 OS 만 지원합니다 (주로 일부 BSD 운영 체제)
2. Windows 플랫폼에서 드라이버를 통해 패킷을 얻습니다.
첫째, 모든 소프트웨어 기능은 실제로 엔진 구동을 기반으로 하고, 상위 인터페이스 애플리케이션은 엔진 중심의 확장일 뿐이므로 엔진 구동 효율성은 소프트웨어의 가장 중요한 부분입니다. 오리의 DNA 는 호랑이를 만들 수 없습니다. 성능과 기능의 비교는 엔진 구동의 비교입니다.
(1) 드라이버 모드
모드 1: 코어 구동 모드 (또는 카스퍼스키 7 과 같은 중간 계층 구동 모드) 와 WINDOWS 운영 체제의 코어가 긴밀하게 결합되어 효율성이 높고 성능이 가장 좋습니다. 네트워크 방화벽은 네트워크 상층에서 실행되기 때문에 (즉, 코어 드라이버가 소프트웨어를 관리할 수 없는 경우 효율성이 매우 높기 때문에) 코어 드라이버는 네트워크 방화벽의 간섭을 받지 않습니다.
모드 2, 네트워크 프로토콜 계층 구동 모드에서 직접 작성한 드라이브는 제어 및 관리가 쉽지만 코어 레이어 드라이브와 전혀 비교할 수 없습니다. 방화벽에 의해 제한되고 방해를 받습니다.
(2)WinPcap 구동 표준 인터페이스 (해외 무료 패키지 구동 인터페이스; 현재 90% 는 국내 네트워크 모니터링 소프트웨어를 사용하고 있습니다)
WINPCAP 은 현재 100M 통신을 지원하는 무료 프로토콜 계층 인터페이스 프로그램으로 수신 모드입니다. 그러나 단점도 분명하다. 제어성 차이로 인해 많은 기능이 실현되지 못하고, 무료 물건의 자연안전도 큰 문제다. 청취 모드만 흐름 제한, BT 제한, UDP 차단 등의 자연적인 약점을 유발합니다. 또한 WINPCAP 버전이 서로 호환되지 않아 모니터링하지 못하거나, 기가비트 네트워크 카드를 인식하지 못하거나, 네트워크 카드 목록을 읽을 수 없고, 단일 네트워크 카드만 모니터링할 수 있는 등 많은 문제가 발생할 수 있습니다. 가장 큰 문제는 허브를 즐기거나 스위치를 오래된 허브의 포트 미러로 만들려면 오래된 10M*** * * 이 필요하다는 것입니다. 따라서 기본적인 인터넷 지식을 가진 사람이라면 이런 모델을 선택하지 않을 것이다.