Iris是一款嗅探工具，能给我们提供一个良好的监控和分析数据包平台。针对目前网络出现的新挑战，如蠕虫病毒的泛滥、P2P下载软件的滥用以及入侵者的肆意攻击等，网管人员可以运用该软件对各种网络灾害实施有效的监控，并做出正确的判断和分析，保证网络在一个相对安全、稳定的环境中运行。软件Iris简单实用且代码免费公开，对硬件要求也相当低，比较适合在中小学推广。
　　网络的不断发展和普及，一方面给人们带来了便利的信息交流，另一方面也使我们面临着许多新挑战，如病毒爆发、恶意攻击等。这些灾害会耗尽有限的网络资源，造成数据阻塞。通常采取的防范措施是利用ACL（访问控制列表）控制数据流量，但到目前为止，大部分中小学的校园网并没有相关设备，一旦发生上述网络灾害，网管人员往往显得很被动，无计可施。倘若对网络内的主机进行逐一排查，不仅费时，而且效果也不理想。下面笔者介绍如何使用Iris软件对网络内所有主机实施有效监测。
　　
　　一、Iris简介
　　
　　Iris是Eeye公司出品的一款网络流量监测工具，简单实用且代码免费公开，目前比较流行的版本是Iris4.0。该软件通过监控数据包的流量、端口和类型来分析网络是否正常。
　　我们知道，网络中传输的数据包都是从源地址出发，经过代理或者地址转换寻找目的地址。对网络实施监控前，首先应该把Iris安装在做代理或者地址转换的主机上，并且主机的网卡要设置为混杂模式，而不选择正常模式。因为在正常模式下，网卡只接收目的地址是本机的数据包或者广播包；而在混杂模式下，网卡可以接收到包括目的地址不是本机的所有经过本机的数据包。目前，蠕虫病毒的泛滥、P2P下载软件的滥用以及入侵者的肆意攻击已经成为干扰网络正常运行的三大灾害。笔者在此举三个实例做分析研究。
　　
　　二、Iris应用案例
　　
　　启动Iris，选择“Filter”下拉菜单的“Edit Filter”命令，在“Hardware Filter”对话框中，选择“Promiscuous”复选框。
　　实例一：监控W32.Welchia蠕虫病毒
　　W32.Welchia（中文称“冲击波杀手”）是一种通过网络传播的恶性蠕虫病毒，会探测多种漏洞，属于“冲击波”病毒的变种。Welchia蠕虫病毒能在短时间内向网络发送大量的ARP数据包，使交换设备的数据处理能力快速下降，造成网络瘫痪。被感染的主机在任务管理器里通常有“DLLHOST.EXE”这个进程。利用Iris监控Welchia蠕虫病毒，步骤如下。
　　步骤1：启动软件Iris，进行过滤设置
　　选择“Filter”下拉菜单的“Edit Filter”命令，在“layer2.3”对话框中，选择“ARP”复选框。进行过滤设置后可以保证捕获的数据包仅仅是ARP数据包，而非其他类型的数据包，这样便于观察和分析问题。由于ARP数据包是不能跨网段