【IT168 专稿】目前，许多用户因业务发展，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐。在服务器端大多使用Linux和Unix，客户端计算机使用Windows 9X/2000/XP。所以在企业应用中往往是Linux和Windows操作系统共存形成异构网络。由于中小企业一般缺少经验丰富的Linux网络管理员，所以对于Linux异构网络管理往往缺乏有效方法。本文以Linux平台下一个常用的网络嗅探器cheops-ng为例，介绍如何借助它来管理Linux异构网络，从而保障网络高效安全地运行。

一、cheops-ng工作原理

    cheops-ng 从本质来讲是一种嗅探器，实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据(比如碎片)；硬件嗅探器的通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。目前主要使用的嗅探器是软件的。cheops-ng就是一个软件嗅探器。

    在基于TCP/IP协议的局域网中，当数据由应用层自上而下传递时，首先在网络层形成IP数据包，然后再向下到达数据链路层，由数据链路层将IP数据包分割为数据帧，加上以太网包头后向下发送到物理媒体上。以太网包头中包含着本地主机和目标主机的MAC地址，位于链路层的数据帧是依靠48位的MAC地址而非IP地址来寻址的，网络接口卡的驱动程序不会关心IP数据包的目的IP地址。它所需要的仅仅是数据包中的MAC地址。当局域网内的主机都通过集线器(HUB)等方式连接时，一般采用的是共享式的连接。这种共享式的连接有一个很明显的特点：发送数据时物理上采用的是广播方式。当一台主机向另一台主机发送数据时，共享式的HUB会将接收到的所有数据向HUB上的每个端口转发。也就是说，当主机根据MAC地址发送数据包时，尽管发送端主机告知目标主机的地址，但并不意味着一个网络内的其它主机不能监听到发送端和接收端之间传递的数据。因此从理论上说，当采用共享式连接时，位于同一网段的每台主机都可以截获在网络中传输的所有数据。

    正常情况下，局域网内同一网段的所有网卡虽然都具有访问在物理媒体上传输的所有数据的能力，但通常一个网卡只响应以下两种数据帧： 

     （1）数据帧的目标MAC地址与网卡自身的MAC地址一致； 

     （2）数据帧的目标MAC地址为广播地址。 

    cheops-ng工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，通过借助相应的软件进行处理。嗅探器可以实时分析这些数据的内容，进而可以帮助网络管理员分析整个网络的状态、性能或故障。正因如此，在检测、管理Linux网络故障时，cheops-ng对管理员来说是一种不可或缺的强力工具。

    cheops-ng(下一代图形网络管理工具)是一个图形网络影射和监视工具，是cheops的升级版本。它的功能几乎包含了网络管理的所有需要。它还可以结合其他的多种工具（比如NMAP）对扫描结果进行分析，以图形方式向用户提供了从网络资源分析到故障诊断的各种功能。功能包括:

    1、 随意进入连接的子网。
    2、 能对节点机器的各种操作系统（Unix、Linux、BSD、Windows）进行判断;
    3、 查找主机;
    4、 测绘网络拓朴
    5、 建立主机服务列表
    6、 修改服务器和网络配置

二、 软件下载软件和安装

    cheops-ng的主页： http://cheops-ng.sourceforge.net/  最新版本为0.2.3。安装cheops-ng前先使用命令“rpm －qa|grep namp”检查是否安装了nmap软件，它是一个端口扫描工具。 端口扫描器是帮助了解系统的较好助手。nmap设计的初衷是系统管理员可以方便地了解网络运行情况，例如有多少台主机在运行、分别提供什么样的服务，因此，它扫描的速度非常快。在对系统进行扫描时，nmap主要利用ICMP echo探测主机是否开启。nmap是在GPL下发布的，可从http://www.insecure.org/nmap免费下载。

    目前较稳定的版本是3.0，带有图形终端。nmap支持种类繁多的扫描技术，例如：UDP扫描、TCP连接扫描、TCP SYN扫描（半开扫描）、FTP反弹攻击、反向识别、ICMP扫描、FIN扫描、ACK扫描、圣诞树扫描、null扫描等。从扫描技术看，nmap是众多端口扫描器中的优品。此外，它还提供了一些高级的特征，例如：系统指纹特征识别、诱饵扫描、碎片扫描等。cheops-ng之所以能够识别不同节点计算机的操作系统类型就是依靠nmap的功能。

三、配置软件

    cheops-ng采用客户机/服务器的工作机制，打开cheops-ng的目录你会发现两个可执行文件:cheops-agent和cheops-ng 。cheops-agent执行扫描网络的任务,cheops-ng是图形控制前端。首先以超级用户的身份打开X—Window的一个终端运行cheops-agent，然后在另一个终端下运行cheops-ng。
 
    说明：命令符号&表示将cheops-agent进程在后台执行，因为Linux作为一个多任务环境，用户会同时执行多项任务，例如查看系统情况、备份资料、编辑文件和打印文件等。进程是Linux系统中一个重要的概念，Linux系统中一个重要特点就是可以同时启动多个进程。耗时长的任务（cheops-agent通常在Linux服务器启动是开始运行）不应该让它在前台任务中执行，而应该交给后台任务去执行。这样前台任务可继续正常运作其它的操作，不用等待。

    1、 首次运行cheops-ng要进行配置：添加主机的网卡的回路地址(127.0.0.1),见图1.
 
 

图1 添加主机的回路地址

    说明：使用TCP/IP协议的网络设备都会拥有一个IP地址，彼此间相互以IP地址确认对方，传递信息与数据。在有些情况下，我们为了进行某项测试(比如网卡是否正确安装)，或者是没有另外一台电脑作为接收端。这时，我们可利用本机扮演信息的发送端和接收端，这就是所谓的封闭回路。这里封闭回路的IP地址设定为127.0.0.1。

    2、 配置选项：进入选单后点击“Edit”项的setting一栏，其中包括四个主要选项。“Featrues”、“Services”、“OS Pixmaps”、“agent”,这里我们分别介绍一下。
 
    

图2 cheops-ng设置选项

    （1）“Featrues”选项包括两大部分：“Tool Opition”、“Look And Feel”。
在Tool Opition 中“Detenmine the operating system of new hosts”表示自动识别新主机的操作系统。建议选择。“Look up hosts I add with reverse DNS”表示搜索主机利用反向查询DNS。建议选择。“Automaticrally map the network”表示自动生成网络拓扑图。建议选择。“Detenmine the version of serverces running on hosts”表示自动识别主机的提供的服务类型。建议选择。“Look and Feel”中 “Confirm Deleting of hosts”表示可以删除主机。建议选择。“Use the IP address for the label”表示使用IP地址的标识。建议选择。“Save Changes on exit”表示退出cheops-ng时自动保存配置。建议选择。“Update the viewspace while moving stuff(turn off for slow puters)”表示更新 Viewspace 视图。建议选择。

    （2）Services 主要包括主机中提供的服务名称、对应的端口号、使用的协议、以及命令格式。常用的服务有“Java VNC”、“VNC”、“http”、“telnet”、“ssh”、“ftp”,当然你你可以通过下面的“添加”、“删除”、“编辑”、按钮从新配置。

    （3）“OS Pixmap”是一个设备管理窗口。这里我们可以看到cheops-ng能够管理几乎所有的网络设备和操作系统。它包括普通集线器、SUN Solaris 服务器、SCO UnixWare服务器、安装BSD系统的主机、Linux服务器、VMS、QNX、Mac（苹果机）、IBM  AIX服务器、打印机、惠普的Unix服务器、Novell 服务器、Cisco网络设备、网络打印机、Windows 主机等，当然你可以通过下面的“添加”、“删除”、“编辑”、重新配置。见图3。
 

图3 配置cheops-ng 的硬件管理选单

    （4）“agent”是指系统最多启动几个监视窗口，一般不超过3个，启动过多的窗口会消耗大量的系统资源。

四 、运行软件

    软件配置结束后、就可以运行了用鼠标点击“Viewspace”选单的“Map”子选单的“Map Everything ”选项或使用快捷键“Ctrl＋ M”查看初步的网络拓扑结构。要想了解这个主机的详细情况，用鼠标右键点击计算机图标即可：见图4。它可以对这台主机进行注释，显示该主机的详细情况、扫描服务和端口、扫描操作系统、反向查询DNS域名解析、删除主机、打印网络拓朴结构等操作。
 
   

图4 详细查询主机情况

  
    我们还可以对网络进行进一步的配置：

    （1）在cheops-ng中添加主机，用鼠标右键点击屏幕，选择“Add Hosts”后在“Hosts /Address”栏目中添加主机名称或IP地址即可。

    （2）添加子网，在一个网络中可能有几个子网，我们看一下如何在cheops-ng中添加子网。用鼠标右键点击屏幕，选择“Add Network”后在“Network”栏目中添加网络号，在“Netmask”中加入子网掩码即可。

总结：

    cheops-ng被称作是网管人员的瑞士军刀﹐通过它基本上所有网络设备都无所遁形。不管拿来做例行的监测工作﹐还是对日志文件进行分析﹐都是非常优秀的工具。这个工具脱胎于惠普的 OpenView系统。cheops-ng运行时对系统资源占有非常小，但功能强大。假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用cheops-ng来快速作出精确的判断。

    需要说明的是cheops-ng 从本质来讲是一种嗅探器，嗅探器是一把双刃剑。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害。除网络管理员外其他人员禁止在网络中使用任何嗅探工具包括一些企业高级管理人员，是完全有必要的。嗅探器技术并非尖端科技，只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识，它并不神秘。实际上我们的一些网管软件，和一些网络测试仪都使用了嗅探器技术。只是许多计算机软件供应商对其一直讳莫如深。回避这个基本事实是不明智的。关于如何防范嗅探器的文章请查看笔者的其他文章：防范防范网络嗅探（http://www.ibm.com/developerworks/cn/security/se-profromsniff/index.html ） 。