在線探測技術(shù)研究論文
時間:2022-10-11 11:18:00
導(dǎo)語:在線探測技術(shù)研究論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
摘要網(wǎng)絡(luò)設(shè)備的在線狀態(tài)及其工作、運行信息的收集是網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全狀況分析的基礎(chǔ),本文介紹了幾種探測技術(shù)和探測工具的使用,并介紹了計算機探測技術(shù)的應(yīng)用。
關(guān)鍵詞掃描;探測;;拓撲圖;自動化管理
1引言
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的安全風險系數(shù)不斷提高,需要在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽和探測,從計算機網(wǎng)絡(luò)系統(tǒng)的各個終端主機、應(yīng)用系統(tǒng)以及若干關(guān)鍵點收集信息,并分析這些信息,發(fā)現(xiàn)漏洞、缺陷以及潛在的威脅,從而提供對網(wǎng)絡(luò)的實時保護,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
2探測技術(shù)介紹
2.1常用簡單的掃描技術(shù)
掃描是一種基于Internet的遠程檢測網(wǎng)絡(luò)或主機的技術(shù),通過掃描發(fā)現(xiàn)檢測主機TCP/IP端口的分配情況、開放的服務(wù)已經(jīng)存在的安全漏洞等信息。主要使用的技術(shù)有Ping掃描、端口掃描以及漏洞掃描等。
Ping掃描是通過發(fā)送ICMP包到目標主機,檢測是否有返回應(yīng)答來判斷主機是否處于活動狀態(tài)。這種方法具有使用簡單、方便的優(yōu)點,但是由于ICMP包是不可靠的、非面向連接的協(xié)議,所以這種掃描方法也容易出錯,也可能被邊界路由器或防火墻阻塞。
端口掃描技術(shù)就是通過向目標主機的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包,并記錄目標主機的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉,就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機的運行情況,它僅能對接收到的數(shù)據(jù)進行分析,幫助我們發(fā)現(xiàn)目標主機的某些內(nèi)在的弱點,發(fā)現(xiàn)系統(tǒng)的安全漏洞,了解系統(tǒng)目前向外界提供了哪些服務(wù),從而為系統(tǒng)管理網(wǎng)絡(luò)提供了一種手段。端口掃描主要有TCP全連接、SYN(半連接)掃描等方式。
圖1Sniffer探測信息矩陣圖示
漏洞掃描技術(shù)主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描,如測試弱勢口令等。若模擬攻擊成功,則表明目標主機系統(tǒng)存在安全漏洞。
2.2利用探測工具
網(wǎng)絡(luò)探測工具非常多,種類非常繁雜,功能也不盡相同,這里只以網(wǎng)絡(luò)偵聽工具Sniffer和X-scan掃描器為例進行闡述。
Sniffer是一種通過網(wǎng)絡(luò)偵聽獲取所有的網(wǎng)絡(luò)信息(包括數(shù)據(jù)包信息,網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等),具有實時檢測網(wǎng)絡(luò)活動、產(chǎn)生可視化的即時報警和通報信息、基于網(wǎng)絡(luò)特定終端,會話或任何網(wǎng)絡(luò)部分的詳細利用情況收集和錯誤統(tǒng)計、保存基線分析的歷史數(shù)據(jù)和錯誤信息等功能。Sniffer還可以根據(jù)抓獲的數(shù)據(jù)包信息動態(tài)繪制各主機直接的通信關(guān)系圖示。
X-scan采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式,掃描內(nèi)容包括:遠程服務(wù)類型、操作系統(tǒng)類型及版本,各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。對于多數(shù)已知漏洞都給出了相應(yīng)的漏洞描述、解決方案及詳細描述鏈接。掃描結(jié)束后生成檢測報告。
圖2X-scan檢測報告圖示現(xiàn)在網(wǎng)上還有其他各類有特色的掃描器,種類繁多,如nMAP、SATAN、iris等,在此不一一介紹。
2.3路由交換設(shè)備的探測與管理
通過SNMP協(xié)議MIB庫,可以獲取網(wǎng)絡(luò)中的交換機的交換表和路由器的路由表,實現(xiàn)流量統(tǒng)計,速率統(tǒng)計等功能,繪制出網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。通過MIB庫定義的接口,還可以遠程控制和修改路由器、交換機的配置信息。
2.4獲取應(yīng)用系統(tǒng)的運行信息
通過收集網(wǎng)絡(luò)中的防火墻、防病毒軟件以及其他應(yīng)用系統(tǒng)的運行日志,發(fā)現(xiàn)非法入侵或越權(quán)訪問信息,程序運行報警信息等,及時掌握網(wǎng)絡(luò)和系統(tǒng)的安全特性,在遇到攻擊或威脅時可以進一步采取措施,避免造成損失,并有效防止損失的擴大化。
2.5部署的探測技術(shù)
在網(wǎng)絡(luò)中設(shè)立一臺服務(wù)器,安裝服務(wù)程序,在網(wǎng)絡(luò)中需要探測的計算機上安裝客戶端程序,并制定一些特定的協(xié)議,服務(wù)器端定期查詢客戶端的狀態(tài)和日志信息,或者按照服務(wù)器端制定的策略,客戶端定期將自己的狀態(tài)、日志、或應(yīng)用程序運行信息發(fā)送給服務(wù)器,服務(wù)器端對這些信息進行過濾、分析、整理和審計,以獲取反映客戶端微機的運行狀態(tài)。如果服務(wù)器端在制定的策略時間范圍內(nèi)沒有接收到該客戶端的信息,則可以判斷該客戶端處于離線狀態(tài),或者網(wǎng)絡(luò)線路出現(xiàn)故障。
3探測技術(shù)的應(yīng)用
應(yīng)用一:掌握和了解系統(tǒng)運行情況
通過探測技術(shù),獲取計算機的在線狀態(tài),可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中離線或出現(xiàn)故障的計算機,或者發(fā)現(xiàn)哪些計算機沒有運行本該運行的程序和應(yīng)用,還可以通過這些探測信息及時發(fā)現(xiàn)計算機系統(tǒng)存在的漏洞以及計算機系統(tǒng)運行存在的風險,如:入侵檢測系統(tǒng)。
圖3Cisco交換機的流量和數(shù)量統(tǒng)計圖示
應(yīng)用二:實時反映網(wǎng)絡(luò)拓撲結(jié)構(gòu)
探測的結(jié)果還可以用來實時反映網(wǎng)絡(luò)的連接結(jié)構(gòu),為實時繪制網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖,實時反映網(wǎng)絡(luò)的運行狀態(tài)等提供了依據(jù)。如:HPOpenView網(wǎng)絡(luò)節(jié)點管理器,鼠標放在某個節(jié)點上將顯示該節(jié)點的詳細信息,示例圖示如下:
圖4HPOpenView繪制網(wǎng)絡(luò)拓撲圖示
應(yīng)用三:實現(xiàn)網(wǎng)絡(luò)的自動化管理
通過探測收集到網(wǎng)絡(luò)的運行信息,為網(wǎng)絡(luò)的安全管理依據(jù)和手段,這樣就可以在制定相應(yīng)的策略指導(dǎo)下實現(xiàn)個應(yīng)用系統(tǒng)之間的聯(lián)動,如給防火墻設(shè)置新的安全規(guī)格,發(fā)現(xiàn)病毒后對殺毒軟件的病毒庫進行及時更新等,建立起一套統(tǒng)一、安全、高效的安全檢測、監(jiān)控、管理體系,實現(xiàn)網(wǎng)絡(luò)的互連、互控、互動和集中統(tǒng)一防御,從而達到了自動化管理的目標。
為了提供自動化管理效率和準確性,可以在管理員的干預(yù)下建立一個專家數(shù)據(jù)庫,對系統(tǒng)的聯(lián)動提供指導(dǎo)和依據(jù)。
4結(jié)束語
一般來說,在線探測技術(shù)是網(wǎng)絡(luò)管理的基礎(chǔ),探測結(jié)果是實施下一步安全管理、系統(tǒng)聯(lián)動等管理手段的依據(jù),所以保證檢測結(jié)果的正確性非常必要,因此需要對探測收集到的信息需要進行驗證,以達到去偽存真的目標,提高管理的準確性和效率。
參考資料
[1]王曦楊健編著.《網(wǎng)絡(luò)安全技術(shù)與實務(wù)》,電子工業(yè)出版社,2006
[2]余承行主編,劉親華等副主編.《信息安全技術(shù)》科學(xué)出版社,2005
[3]李石磊.網(wǎng)絡(luò)安全掃描技術(shù)原理及建議,東軟教育在線網(wǎng)站
[4]HPOpenView聯(lián)機文檔
[5]RFC2011:SNMPv2ManagementInformationBasefortheInternetProtocolusingSMIv2