在線探測技術與應用的論文

2021-06-13 論文

　　摘要 網絡設備的在線狀態及其工作、運行信息的收集是網絡安全管理、網絡安全狀況分析的基礎，本文介紹了幾種探測技術和探測工具的使用，并介紹了計算機探測技術的應用。

　　關鍵詞 掃描；探測；代理；拓撲圖；自動化管理

　　1 引言

　　隨著網絡技術的飛速發展，網絡的安全風險系數不斷提高，需要在不影響網絡性能的情況下對網絡進行監聽和探測，從計算機網絡系統的各個終端主機、應用系統以及若干關鍵點收集信息，并分析這些信息，發現漏洞、缺陷以及潛在的威脅，從而提供對網絡的實時保護，提高信息安全基礎結構的完整性。

　　2 探測技術介紹

　　2.1 常用簡單的掃描技術

　　掃描是一種基于Internet的遠程檢測網絡或主機的技術，通過掃描發現檢測主機TCP/IP端口的分配情況、開放的服務已經存在的安全漏洞等信息。主要使用的技術有Ping掃描、端口掃描以及漏洞掃描等。

　　Ping掃描是通過發送ICMP包到目標主機，檢測是否有返回應答來判斷主機是否處于活動狀態。這種方法具有使用簡單、方便的優點，但是由于ICMP包是不可靠的、非面向連接的協議，所以這種掃描方法也容易出錯，也可能被邊界路由器或防火墻阻塞。

　　端口掃描技術就是通過向目標主機的TCP/IP服務端口發送探測數據包，并記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或信息。端口掃描也可以通過捕獲本地主機或服務器的流入流出IP數據包來監視本地主機的運行情況，它僅能對接收到的數據進行分析，幫助我們發現目標主機的某些內在的弱點，發現系統的安全漏洞，了解系統目前向外界提供了哪些服務，從而為系統管理網絡提供了一種手段。端口掃描主要有TCP全連接、SYN（半連接）掃描等方式。

　　圖1 Sniffer探測信息矩陣圖示

　　漏洞掃描技術主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。

　　2.2 利用探測工具

　　網絡探測工具非常多，種類非常繁雜，功能也不盡相同，這里只以網絡偵聽工具Sniffer和X-scan掃描器為例進行闡述。

　　Sniffer是一種通過網絡偵聽獲取所有的'網絡信息（包括數據包信息，網絡流量信息、網絡狀態信息、網絡管理信息等），具有實時檢測網絡活動、產生可視化的即時報警和通報信息、基于網絡特定終端，會話或任何網絡部分的詳細利用情況收集和錯誤統計、保存基線分析的歷史數據和錯誤信息等功能。Sniffer還可以根據抓獲的數據包信息動態繪制各主機直接的通信關系圖示。

　　X-scan采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內容包括：遠程服務類型、操作系統類型及版本，各種弱口令漏洞、后門、應用服務漏洞、網絡設備漏洞、拒絕服務漏洞等二十幾個大類。對于多數已知漏洞都給出了相應的漏洞描述、解決方案及詳細描述鏈接。掃描結束后生成檢測報告。

　　圖2 X-scan檢測報告圖示

　　現在網上還有其他各類有特色的掃描器，種類繁多，如nMAP、SATAN、iris等，在此不一一介紹。

　　2.3 路由交換設備的探測與管理

　　通過SNMP協議MIB庫，可以獲取網絡中的交換機的交換表和路由器的路由表，實現流量統計，速率統計等功能，繪制出網絡拓撲結構圖。通過MIB庫定義的接口，還可以遠程控制和修改路由器、交換機的配置信息。

　　2.4 獲取應用系統的運行信息

　　通過收集網絡中的防火墻、防病毒軟件以及其他應用系統的運行日志，發現非法入侵或越權訪問信息，程序運行報警信息等，及時掌握網絡和系統的安全特性，在遇到攻擊或威脅時可以進一步采取措施，避免造成損失，并有效防止損失的擴大化。

　　2.5 部署代理的探測技術

　　在網絡中設立一臺服務器，安裝服務程序，在網絡中需要探測的計算機上安裝客戶端代理程序，并制定一些特定的協議，服務器端定期查詢客戶端的狀態和日志信息，或者按照服務器端制定的策略，客戶端定期將自己的狀態、日志、或應用程序運行信息發送給服務器，服務器端對這些信息進行過濾、分析、整理和審計，以獲取反映客戶端微機的運行狀態。如果服務器端在制定的策略時間范圍內沒有接收到該客戶端的信息，則可以判斷該客戶端處于離線狀態，或者網絡線路出現故障。

　　3 探測技術的應用

　　應用一：掌握和了解系統運行情況

　　通過探測技術，獲取計算機的在線狀態，可以及時發現網絡中離線或出現故障的計算機，或者發現哪些計算機沒有運行本該運行的程序和應用，還可以通過這些探測信息及時發現計算機系統存在的漏洞以及計算機系統運行存在的風險，如：入侵檢測系統。

　　圖3 Cisco交換機的流量和數量統計圖示

　　應用二：實時反映網絡拓撲結構

　　探測的結果還可以用來實時反映網絡的連接結構，為實時繪制網絡的拓撲結構圖，實時反映網絡的運行狀態等提供了依據。如：HP OpenView網絡節點管理器，鼠標放在某個節點上將顯示該節點的詳細信息，示例圖示如下：

　　圖4 HP OpenView繪制網絡拓撲圖示

　　應用三：實現網絡的自動化管理

　　通過探測收集到網絡的運行信息，為網絡的安全管理依據和手段，這樣就可以在制定相應的策略指導下實現個應用系統之間的聯動，如給防火墻設置新的安全規格，發現病毒后對殺毒軟件的病毒庫進行及時更新等，建立起一套統一、安全、高效的安全檢測、監控、管理體系，實現網絡的互連、互控、互動和集中統一防御，從而達到了自動化管理的目標。

　　為了提供自動化管理效率和準確性，可以在管理員的干預下建立一個專家數據庫，對系統的聯動提供指導和依據。

　　4 結束語

　　一般來說，在線探測技術是網絡管理的基礎，探測結果是實施下一步安全管理、系統聯動等管理手段的依據，所以保證檢測結果的正確性非常必要，因此需要對探測收集到的信息需要進行驗證，以達到去偽存真的目標，提高管理的準確性和效率。

　　參考資料

　　[1] 王曦楊健編著.《網絡安全技術與實務》，電子工業出版社，2006

　　[2] 余承行主編, 劉親華等副主編.《信息安全技術》科學出版社，2005

　　[3] 李石磊.網絡安全掃描技術原理及建議，東軟教育在線網站

　　[4] HP OpenView聯機文檔

　　[5] RFC2011：SNMPv2 Management Information Base for the Internet Protocol using SMIv2