在線探測(cè)技術(shù)與應(yīng)用

在線探測(cè)技術(shù)與應(yīng)用

摘要網(wǎng)絡(luò)設(shè)備的在線狀態(tài)及其工作、運(yùn)行信息的收集是網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全狀況分析的基礎(chǔ)，本文介紹了幾種探測(cè)技術(shù)和探測(cè)工具的使用，并介紹了計(jì)算機(jī)探測(cè)技術(shù)的應(yīng)用。

關(guān)鍵詞掃描；探測(cè)；代理；拓?fù)鋱D；自動(dòng)化管理1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)系數(shù)不斷提高，需要在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽和探測(cè)，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各個(gè)終端主機(jī)、應(yīng)用系統(tǒng)以及若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，發(fā)現(xiàn)漏洞、缺陷以及潛在的威脅，從而提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)保護(hù)，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。2探測(cè)技術(shù)介紹2.1常用簡(jiǎn)單的掃描技術(shù)

掃描是一種基于Internet的遠(yuǎn)程檢測(cè)網(wǎng)絡(luò)或主機(jī)的技術(shù)，通過掃描發(fā)現(xiàn)檢測(cè)主機(jī)TCP/IP端口的分配情況、開放的服務(wù)已經(jīng)存在的安全漏洞等信息。主要使用的技術(shù)有Ping掃描、端口掃描以及漏洞掃描等。

Ping掃描是通過發(fā)送ICMP包到目標(biāo)主機(jī)，檢測(cè)是否有返回應(yīng)答來判斷主機(jī)是否處于活動(dòng)狀態(tài)。這種方法具有使用簡(jiǎn)單、方便的優(yōu)點(diǎn)，但是由于ICMP包是不可靠的、非面向連接的協(xié)議，所以這種掃描方法也容易出錯(cuò)，也可能被邊界路由器或防火墻阻塞。

端口掃描技術(shù)就是通過向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，發(fā)現(xiàn)系統(tǒng)的安全漏洞，了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)管理網(wǎng)絡(luò)提供了一種手段。端口掃描主要有TCP全連接、SYN（半連接）掃描等方式。漏洞掃描技術(shù)主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。2.2利用探測(cè)工具

網(wǎng)絡(luò)探測(cè)工具非常多，種類非常繁雜，功能也不盡相同，這里只以網(wǎng)絡(luò)偵聽工具Sniffer和X-scan掃描器為例進(jìn)行闡述。

Sniffer是一種通過網(wǎng)絡(luò)偵聽獲取所有的網(wǎng)絡(luò)信息（包括數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等），具有實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)活動(dòng)、產(chǎn)生可視化的即時(shí)報(bào)警和通報(bào)信息、基于網(wǎng)絡(luò)特定終端，會(huì)話或任何網(wǎng)絡(luò)部分的詳細(xì)利用情況收集和錯(cuò)誤統(tǒng)計(jì)、保存基線分析的歷史數(shù)據(jù)和錯(cuò)誤信息等功能。Sniffer還可以根據(jù)抓獲的數(shù)據(jù)包信息動(dòng)態(tài)繪制各主機(jī)直接的通信關(guān)系圖示。

X-scan采用多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測(cè)，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個(gè)大類。對(duì)于多數(shù)已知漏洞都給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接。掃描結(jié)束后生成檢測(cè)報(bào)告。應(yīng)用二：實(shí)時(shí)反映網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

探測(cè)的結(jié)果還可以用來實(shí)時(shí)反映網(wǎng)絡(luò)的連接結(jié)構(gòu)，為實(shí)時(shí)繪制網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖，實(shí)時(shí)反映網(wǎng)絡(luò)的運(yùn)行狀態(tài)等提供了依據(jù)。如：HPOpenView網(wǎng)絡(luò)節(jié)點(diǎn)管理器，鼠標(biāo)放在某個(gè)節(jié)點(diǎn)上將顯示該節(jié)點(diǎn)的詳細(xì)信息，示例圖示如下：應(yīng)用三：實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)化管理

通過探測(cè)收集到網(wǎng)絡(luò)的運(yùn)行信息，為網(wǎng)絡(luò)的安全管理依據(jù)和手段，這樣就可以在制定相應(yīng)的策略指導(dǎo)下實(shí)現(xiàn)個(gè)應(yīng)用系統(tǒng)之間的聯(lián)動(dòng)，如給防火墻設(shè)置新的安全規(guī)格，發(fā)現(xiàn)病毒后對(duì)殺毒軟件的病毒庫進(jìn)行及時(shí)更新等，建立起一套統(tǒng)一、安全、高效的安全檢測(cè)、監(jiān)控、管理體系，實(shí)現(xiàn)網(wǎng)絡(luò)的互連、互控、互動(dòng)和集中統(tǒng)一防御，從而達(dá)到了自動(dòng)化管理的目標(biāo)。

為了提供自動(dòng)化管理效率和準(zhǔn)確性，可以在管理員的干預(yù)下建立一個(gè)專家數(shù)據(jù)庫，對(duì)系統(tǒng)的聯(lián)動(dòng)提供指導(dǎo)和依據(jù)。4結(jié)束語

一般來說，在線探測(cè)技術(shù)是網(wǎng)絡(luò)管理的基礎(chǔ)，探測(cè)結(jié)果是實(shí)施下一步安全管理、系統(tǒng)聯(lián)動(dòng)等管理手段的依據(jù)，所以保證檢測(cè)結(jié)果的正確性非常必要，因此需要對(duì)探測(cè)收集到的信息需要進(jìn)行驗(yàn)證，以達(dá)到去偽存真的目標(biāo)，提高管理的準(zhǔn)確性和效率。參考資料

[1]王曦楊健編著.《網(wǎng)絡(luò)安全技術(shù)與實(shí)務(wù)》，電子工業(yè)出版社，2006

[2]余承行主編，劉親華等副主編.《信息安全技術(shù)》科學(xué)出版社，2005

[3]李石磊.網(wǎng)絡(luò)安全掃描技術(shù)原理及建議，東軟教育在線網(wǎng)站

[4]H