技術領域

?本發明涉及在以太網中檢測網絡中的數據包信息，協議的分析及ARP攻擊源的定位技術。

背景技術

當今信息技術被廣泛應用，同時各種應用的需求對信息網絡的依賴性，實時性要求越來越高。所以對網絡的健壯性，實時性，安全性也越來越高。目前各局域網中所使用的網絡應用眾多，網絡威脅也日漸增多。目前的各種局域網絡的網絡設備基本上由各種型號不同類別的路由器、交換機和hub構成。而目前這類設備僅僅能提供簡單的網絡信息。對協議的分析，網絡流量的監控也不夠簡單和直觀，并且提供不了一些必要的網絡威脅的信息（如網絡中的ARP攻擊）。而現在的網絡管理員缺乏一種能廣泛分析以太網中的網絡協議，網絡流量，網絡威脅的工具。特別是在緊急情況下，如果采用傳統的從交換機或者路由器中查詢日志的方式來分析網絡信息則需耗費大量時間，并且獲得的結果并不直觀。而且由于不同的網絡管理員對網絡信息的理解認識的不同，可能會得到錯誤的答案。本產品就是為網絡管理員提供了一種及時分析網絡中的各種協議，網絡流量及網絡威脅的工具。

發明內容

本發明所要解決的技術問題是為網絡管理員提供了一種網絡協議及威脅分析工具，以便網絡管理員及時了解和分析局域網中所使用的網絡協議，流量及網絡威脅的情況。

為解決上述技術問題，本發明提供一種手持式的網絡協議及威脅分析儀，其特征在于，包括盒體、顯示屏、小型鍵盤、網口、電源、主板；

所述顯示屏、小型鍵盤、網口、電源和主板依托所述盒體安裝，

所述網口用于與要檢查的以太網進行連接，所述顯示屏用于顯示輸入數據與顯示檢測的結果信息，所述小型鍵盤用于人工輸入各種數據，所述主板包括系統模塊、數據包抓包模塊和信息分析模塊；

所述系統模塊，用于安裝操作系統，為數據包抓包模塊和信息分析模塊提供底層支持；

所述數據包抓包模塊，用于從網絡上收集網絡包；

所述信息分析模塊，用于對所述收集網絡包進行解包分析，并將定制的分析結果顯示到所述顯示屏上。

所述信息分析模塊對所述收集網絡包進行解包分析內容包括：每個數據包的源MAC地址，目的MAC地址，源IP地址，目的IP地址，所使用協議以及數據包大小。

所述定制的分析結果包括:

根據源IP地址的排列統計出數據包數量大于一定閾值的IP地址列表；

根據源MAC地址的排列統計出數據包數量大于一定閾值的MAC地址列表；

按各種協議分類統計數據包，并從多到少排列；

統計所有的IP與MAC地址的對應關系。

所述定制的分析結果還包括:統計有多種的對應關系的IP和MAC地址，并其中把發送ARP協議包的數量大于一定閾值的IP或者MAC地址列為非法的ARP信息。

所述系統模塊的操作系統為linux操作系統。?

所述數據包抓包模塊為tcpdump數據包抓包模塊。

有益效果：

本發明能提供了網絡管理員一種手持式網絡分析儀，該分析儀夠快速分析出網絡的數據包、所使用協議和每臺機器使用的流量，監控APR攻擊信息。本發明節省網絡維護時間開支，成本低廉，方便大量部署。

附圖說明

下面結合附圖和具體實施方式對本發明的技術方案作進一步具體說明。

圖1為本發明的外觀結構示意圖。

圖2為本發明主板的工作示意圖。

圖3為本發明的工作流程狀態圖。

具體實施方式

如圖1所示，本發明的手持式的網絡協議及威脅分析儀，外觀可見盒體1、顯示屏3、小型鍵盤4、RJ45網口2，電源、主板安裝在盒體內；RJ45網口2與要檢查的以太網進行連接，顯示屏2顯示輸入數據與顯示檢測的結果信息，小型鍵盤3用于人工輸入各種數據，電源采用可充電干電池。

如圖2所示，主板11包括系統模塊5、數據包抓包模塊6和信息分析模塊7。系統模塊5上安裝linux操作系統，為數據包抓包模塊6和信息分析模塊7提供底層支持；數據包抓包模塊6通過網線10連接交換機8，從網絡上收集網絡包，交換機8通過網線10連接路由器9。信息分析模塊7對收集網絡包進行解包分析。

數據包抓包模塊6的工作模式分為主機型分析模式和網絡型分析模式兩種模式。

1.主機型分析模式