線上探測技術與應用的論文

　　摘要 網路裝置的線上狀態及其工作、執行資訊的收集是網路安全管理、網路安全狀況分析的基礎，本文介紹了幾種探測技術和探測工具的使用，並介紹了計算機探測技術的應用。

　　關鍵詞 掃描；探測；代理；拓撲圖；自動化管理

　　1 引言

　　隨著網路技術的飛速發展，網路的安全風險係數不斷提高，需要在不影響網路效能的情況下對網路進行監聽和探測，從計算機網路系統的各個終端主機、應用系統以及若干關鍵點收集資訊，並分析這些資訊，發現漏洞、缺陷以及潛在的威脅，從而提供對網路的實時保護，提高資訊保安基礎結構的完整性。

　　2 探測技術介紹

　　2.1 常用簡單的掃描技術

　　掃描是一種基於Internet的遠端檢測網路或主機的技術，透過掃描發現檢測主機TCP/IP埠的分配情況、開放的服務已經存在的安全漏洞等資訊。主要使用的技術有Ping掃描、埠掃描以及漏洞掃描等。

　　Ping掃描是透過傳送ICMP包到目標主機，檢測是否有返回應答來判斷主機是否處於活動狀態。這種方法具有使用簡單、方便的優點，但是由於ICMP包是不可靠的、非面向連線的協議，所以這種掃描方法也容易出錯，也可能被邊界路由器或防火牆阻塞。

　　埠掃描技術就是透過向目標主機的TCP/IP服務埠傳送探測資料包，並記錄目標主機的響應。透過分析響應來判斷服務埠是開啟還是關閉，就可以得知埠提供的服務或資訊。埠掃描也可以透過捕獲本地主機或伺服器的流入流出IP資料包來監視本地主機的執行情況，它僅能對接收到的資料進行分析，幫助我們發現目標主機的某些內在的弱點，發現系統的安全漏洞，瞭解系統目前向外界提供了哪些服務，從而為系統管理網路提供了一種手段。埠掃描主要有TCP全連線、SYN（半連線）掃描等方式。

　　圖1 Sniffer探測資訊矩陣圖示

　　漏洞掃描技術主要透過以下兩種方法來檢查目標主機是否存在漏洞：在埠掃描後得知目標主機開啟的埠以及埠上的網路服務，將這些相關資訊與網路漏洞掃描系統提供的漏洞庫進行匹配，檢視是否有滿足匹配條件的漏洞存在；透過模擬駭客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。

　　2.2 利用探測工具

　　網路探測工具非常多，種類非常繁雜，功能也不盡相同，這裡只以網路偵聽工具Sniffer和X-scan掃描器為例進行闡述。

　　Sniffer是一種透過網路偵聽獲取所有的網路資訊（包括資料包資訊，網路流量資訊、網路狀態資訊、網路管理資訊等），具有實時檢測網路活動、產生視覺化的即時報警和通報資訊、基於網路特定終端，會話或任何網路部分的詳細利用情況收集和錯誤統計、儲存基線分析的歷史資料和錯誤資訊等功能。Sniffer還可以根據抓獲的'資料包資訊動態繪製各主機直接的通訊關係圖示。

　　X-scan採用多執行緒方式對指定IP地址段(或單機)進行安全漏洞檢測，支援外掛功能，提供了圖形介面和命令列兩種操作方式，掃描內容包括：遠端服務型別、作業系統型別及版本，各種弱口令漏洞、後門、應用服務漏洞、網路裝置漏洞、拒絕服務漏洞等二十幾個大類。對於多數已知漏洞都給出了相應的漏洞描述、解決方案及詳細描述連結。掃描結束後生成檢測報告。

　　圖2 X-scan檢測報告圖示

　　現在網上還有其他各類有特色的掃描器，種類繁多，如nMAP、SATAN、iris等，在此不一一介紹。

　　2.3 路由交換裝置的探測與管理

　　透過SNMP協議MIB庫，可以獲取網路中的交換機的交換表和路由器的路由表，實現流量統計，速率統計等功能，繪製出網路拓撲結構圖。透過MIB庫定義的介面，還可以遠端控制和修改路由器、交換機的配置資訊。

　　2.4 獲取應用系統的執行資訊

　　透過收集網路中的防火牆、防病毒軟體以及其他應用系統的執行日誌，發現非法入侵或越權訪問資訊，程式執行報警資訊等，及時掌握網路和系統的安全特性，在遇到攻擊或威脅時可以進一步採取措施，避免造成損失，並有效防止損失的擴大化。

　　2.5 部署代理的探測技術

　　在網路中設立一臺伺服器，安裝服務程式，在網路中需要探測的計算機上安裝客戶端代理程式，並制定一些特定的協議，伺服器端定期查詢客戶端的狀態和日誌資訊，或者按照伺服器端制定的策略，客戶端定期將自己的狀態、日誌、或應用程式執行資訊傳送給伺服器，伺服器端對這些資訊進行過濾、分析、整理和審計，以獲取反映客戶端微機的執行狀態。如果伺服器端在制定的策略時間範圍內沒有接收到該客戶端的資訊，則可以判斷該客戶端處於離線狀態，或者網路線路出現故障。

　　3 探測技術的應用

　　應用一：掌握和了解系統執行情況

　　透過探測技術，獲取計算機的線上狀態，可以及時發現網路中離線或出現故障的計算機，或者發現哪些計算機沒有執行本該執行的程式和應用，還可以透過這些探測資訊及時發現計算機系統存在的漏洞以及計算機系統執行存在的風險，如：入侵檢測系統。

　　圖3 Cisco交換機的流量和數量統計圖示

　　應用二：實時反映網路拓撲結構

　　探測的結果還可以用來實時反映網路的連線結構，為實時繪製網路的拓撲結構圖，實時反映網路的執行狀態等提供了依據。如：HP OpenView網路節點管理器，滑鼠放在某個節點上將顯示該節點的詳細資訊，示例圖示如下：

　　圖4 HP OpenView繪製網路拓撲圖示

　　應用三：實現網路的自動化管理

　　透過探測收集到網路的執行資訊，為網路的安全管理依據和手段，這樣就可以在制定相應的策略指導下實現個應用系統之間的聯動，如給防火牆設定新的安全規格，發現病毒後對防毒軟體的病毒庫進行及時更新等，建立起一套統一、安全、高效的安全檢測、監控、管理體系，實現網路的互連、互控、互動和集中統一防禦，從而達到了自動化管理的目標。

　　為了提供自動化管理效率和準確性，可以在管理員的干預下建立一個專家資料庫，對系統的聯動提供指導和依據。

　　4 結束語

　　一般來說，線上探測技術是網路管理的基礎，探測結果是實施下一步安全管理、系統聯動等管理手段的依據，所以保證檢測結果的正確性非常必要，因此需要對探測收集到的資訊需要進行驗證，以達到去偽存真的目標，提高管理的準確性和效率。

　　參考資料

　　[1] 王曦楊健編著.《網路安全技術與實務》，電子工業出版社，2006

　　[2] 餘承行主編, 劉親華等副主編.《資訊保安技術》科學出版社，2005

　　[3] 李石磊.網路安全掃描技術原理及建議，東軟教育線上網站

　　[4] HP OpenView聯機文件

　　[5] RFC2011：SNMPv2 Management Information Base for the Internet Protocol using SMIv2