2.11 网络监控的实现

2.11.1 利用“网络执法官”监控局域网

“网络执法官”是一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机（这里的主机是指各种计算机、交换机等配有IP的网络设备）进行监控；采用网卡号（MAC地址）识别用户等。

1．安装网络执法官

“网络执法官”主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性。

在使用“网络执法官”进行网络监控前应对其进行安装，具体的操作步骤如下。

步骤1 下载并解压“网络执法官”压缩文件，双击“网络执法官”安装程序图标，打开“选择安装语言”对话框。选择需要使用的语言，单击“确定”按钮。

步骤2 在安装向导界面中单击“下一步”按钮。

步骤3 在打开的“选择目标位置”界面中单击“浏览”按钮选择安装目标位置，单击“下一步”按钮。

步骤4 在打开的“选择开始菜单文件夹”界面中单击“浏览”按钮选择开始菜单文件夹位置，单击“下一步”按钮。

步骤5 在打开的“选择附加任务”界面中根据需要勾选需要创建快捷方式的位置复选框，单击“下一步”按钮。

步骤6 在打开的“准备安装”界面中，确认安装信息，单击“安装”按钮。

步骤7 在打开的“Netrobocop v3.59安装向导完成”界面中勾选“运行Netrobocop”复选框，单击“完成”按钮。

步骤8 在打开的“设置监控范围”界面中指定监测的硬件对象和网段范围，然后单击“添加/修改”按钮，单击“确定”按钮。

步骤9 打开“网络执法官”操作窗口，显示了在同一个局域网下的所有用户，可查看其状态、流量、IP地址、是否锁定、最后上线时间、下线时间、网卡注释等信息。

“网卡MAC地址”是网卡的物理地址，也称为硬件地址或链路地址，是网卡自身的唯一标识，一般不能随意改变。无论把这个网卡接入到网络的什么地方，MAC地址都不变。其长度为48位二进制数，由12个00～0FFH的十六进制数组成，每个十六进制数之间用“-”隔开，如“00-0C-76-9F-BC-02”。

2．查看目标计算机属性

使用“网络执法官”可搜集处于同一局域网内所有主机的相关网络信息。具体的操作步骤如下。

步骤1 打开“网络执法官”操作窗口，双击“用户列表”中需要查看对象。

步骤2 查看用户属性。在“用户属性”对话框中查看用户的网卡地址、IP地址、上线情况等，单击“历史记录”按钮。

步骤3 查看该计算机上线的情况。

3．批量保存目标主机信息

除收集局域网内各个计算机的信息之外，“网络执法官”还可以对局域网中的主机信息进行批量保存。具体的操作步骤如下。

步骤1 打开“网络执法官”操作窗口，选择“记录查询”选项卡，在“IP地址段”中输入“起始IP”地址和“结束IP”地址，单击“查找”按钮，开始收集局域网中计算机的信息，单击“导出”按钮。

步骤2 查看导出信息。所有信息导出为文本文件，在记事本中查看导出信息。

4．设置关键主机

“关键主机”是由管理员指定的IP地址，可以是网关、其他计算机或服务器等。管理员将指定的IP地址存入“关键主机”之后，即可令非法用户仅断开与“关键主机”的连接，而不断开与其他计算机的连接。

设置“关键主机组”的具体操作步骤如下。

步骤1 打开“网络执法官”操作窗口，单击“设置”→“关键主机组”菜单项。

步骤2 弹出“关键主机组设置”对话框，在“选择关键主机组”下拉列表框中选择关键主机组的名称，设定组内IP，单击“全部保存”按钮，将关键主机的修改即时生效并进行保存。

5．设置默认权限

“网络执法官”还可以对局域网中的计算机进行网络管理。它并不要求安装在服务器中，而是可以安装在局域网内的任一台计算机上，即可对整个局域网内的计算机进行管理。

设置用户权限的具体操作步骤如下。

步骤1 打开“网络执法官”操作窗口，单击“用户”→“权限设置”菜单项并选择一个网卡权限。

步骤2 用户权限设置，启用“受限用户，若违反以下权限将被管理”单选按钮，若需要可勾选“启用IP限制”复选框，并单击“禁用以下IP段：未设定”按钮。

步骤3 “IP限制”设置。在“IP限制”对话框中对IP进行设置，单击“确定”按钮。

步骤4 返回“用户权限设置”对话框，也可启用“禁止用户，发现该用户上线即管理”单选按钮。在“管理方式”复选项中根据需要勾选相应复选框，然后单击“保存”按钮。

6．禁止目标计算机访问网络

禁止目标计算机访问网络是“网络执法官”的重要功能，具体的操作步骤如下。

步骤1 打开“网络执法官”操作窗口，右击“用户列表”中的任意一个对象，在弹出的快捷菜单中选择“锁定/解锁”选项。

步骤2 锁定方式设置。启用“禁止与所有主机的TCP/IP连接（除敏感主机外）”单选按钮，单击“确定”按钮，即可实现禁止目标计算机访问网络这项功能。

2.11.2 Real Spy Monitor监控网络的应用

Real Spy Monitor是一个监测互联网和个人计算机，以保障其安全的软件，包括键盘敲击、网页站点、视窗开关、程序执行、屏幕扫描及文件的出入等都是其监控的对象。

1．添加使用密码

在使用Real Spy Monitor对系统进行监控之前，要进行一些设置，具体的操作步骤如下。

步骤1 启动“ReaI Spy Monitor”，打开“注册”页面，阅读注册信息后，单击“Continue...”按钮。

步骤2 输入密码。第一次使用，没有旧密码可更改，只需在“New Password”和“Confirm”文本框中输入相同的密码，单击“OK”按钮。

2．设置弹出热键

之所以需要设置弹出热键，是因为Real Spy Monitor运行时会较彻底地将自己隐藏，用户在“任务管理器”中查看不到该程序的运行。要将运行时的Real Spy Monitor调出就要使用热键才行，否则即使单击“开始”菜单中的Real Spy Monitor菜单项也不会将其调出。设置热键的具体操作步骤如下。

步骤1 返回“ReaI Spy Monitor”主窗口，单击“Hotkey Choice”图标。

步骤2 设置热键。在“SeIect your hotkey patten”下拉列表中选择所需热键（也可以自定义）。

3．监控浏览过的网站

在完成了最基本的设置后，就可以使用Real Spy Monitor进行系统监控了。下面讲述Real Spy Monitor如何对一些最常使用的程序进行监控。监控浏览过网站的具体操作步骤如下。

步骤1 单击主窗口中的“Start Monitor”按钮，弹出“密码输入”对话框，输入正确的密码，单击“OK”按钮。

步骤2 查看“注意”信息。在认真阅读注意信息后，单击“OK”按钮。

步骤3 使用IE浏览器随便浏览一些网站，按下【CtrI+AIt+R】组合键，在“密码输入”对话框中输入所设置的密码，才能调出“ReaI Spy Monitor”主窗口，可以发现其中“Websites Visited”项下已有了计数。

此处计数的数字为37，这表示共打开了37个网页，然后单击“Websites Visited”选项。

步骤4 打开“Report”窗口，可看到列表里的37个网址。这显然就是刚刚ReaI Spy Monitor监控到使用IE浏览器打开的网页了。

4．键盘输入内容监控

对键盘输入的内容进行监控通常是木马做的事，但Real Spy Monitor为了让自身的监控功能变得更加强大却也提供了此功能。其针对键盘输入内容进行监控的具体操作步骤如下。

步骤1 使用键盘输入一些信息，按下所设的【CtrI+AIt+R】组合键，在“密码输入”对话框中输入所设置的密码调出“ReaI Spy Monitor”主窗口，此时可以发现“Keystrokes Typed”项下已经有了计数。

可以看出计数的数字为23，这表示有和计数数字相同的23条记录，然后单击“Keystrokes Typed”选项。

步骤2 查看记录信息，双击其中任意一条记录。

步骤3 打开记事本窗口，可以看出“Administrator”用户在某点某时某分输入的信息。

步骤4 捕获“CtrI”类快捷键。如果用户输入了“CtrI”类的快捷键，则ReaI Spy Monitor同样也可以捕获到。

5．程序执行情况监控

如果想知道用户都在计算机中运行哪些程序，只需在“Real Spy Monitor”主窗口中单击“Programs Executed”项的图标，在弹出报告对话框中即可看到运行的程序名和路径。

6．即时截图监控

用户可以通过Real Spy Monitor的即时截图监控功能（默认为一分钟截一次图）来查知用户的操作历史。

监控即时截图的具体操作步骤如下。

步骤1 打开“ReaI Spy Monitor”主窗口，单击“Screen Snapshots”选项。

步骤2 查看记录的操作。可看到ReaI Spy Monitor记录的操作，双击其中任意一项截图记录。

步骤3 使用看图软件查看，可以看到所截的图。

显然，Real Spy Monitor的功能是极其强大的。使用它对系统进行监控，网络管理员将会轻松很多。在一定程度上，将会给网络管理员监控系统中是否有黑客的入侵带来极大方便。