企业网络建设-网络监听（上）

前言：在一个企业中，为了更好地保护数据安全及监控上网行为。在核心设备出口进行流量监控是必要的，不仅可以一定意义上查出并防止数据外传，还可以有效查出并阻隔黑客的入侵。

1.流量监听模型

现在市面上的流量监控模型主要分为两种。一个是串联监听，一个是并联监听，两个模式各有各自的优缺点。

1.1串联监听

串联监听顾名思义采用串联的方式把流量监听设备串联在核心设备之上或者之下。如下图所示：

如上图所示，监听设备串联在路由之上。所有流量必须经过监听设备才能出网优点：可以有效地监听和阻隔流量

缺点：一旦设备崩溃就断网了

1.2并联模式

并联模式不同于串联模式，采用旁路监听进行流量监控。作用主要为流量监控，阻隔和响应作用不强。拓扑如下：

优点：可以更加灵活，不会因设备崩溃而影响网络

缺点：一般不具有阻隔作用

2.攻击利用

正所谓未知防，焉知攻。流量监控不仅可以用于运维，也可以用于攻击利用，进行抓包长期监控目标。既隐蔽又高效。

2.1串联模式

串联模式没啥好说的，要在路由上或者下一层拥有一个类似网闸的东西，并且控制他，直接在上面抓包即可。

当然啦，你要能进行ARP欺骗也是可以的，伪造成网关。做一个中继，接收所有流量，然后把流量转发给真正的网关。

2.2并联模式

并联模式就灵活多了，只要已控设备/PC和要监控的设备的上层路由网络可达即可，可以跨多个路由，甚至可以是外网VPS。是一个非常风骚的操作。这边着重介绍下。拓扑如下：

如上图所示路由器和监听设备分别虚拟出了一个内网IP，两个内网IP属于一个网段。如果实在难理解可以把监听设备理解为代理或者VPN，两者建立了一个网络隧道进行通信。

注：在监听设备上监听的不是网络流量而应该是隧道流量。因为隧道流量做了一个封装。

本文始发于微信公众号（边界骇客）：企业网络建设-网络监听（上）