在線探測技術(shù)與應(yīng)用

在線探測技術(shù)與應(yīng)用

摘要網(wǎng)絡(luò)設(shè)備的在線狀態(tài)及其工作、運(yùn)行信息的收集是網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全狀況分析的基礎(chǔ)，本文介紹了幾種探測技術(shù)和探測工具的使用，并介紹了計(jì)算機(jī)探測技術(shù)的應(yīng)用。

關(guān)鍵詞掃描；探測；代理；拓?fù)鋱D；自動化管理1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的安全風(fēng)險系數(shù)不斷提高，需要在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽和探測，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各個終端主機(jī)、應(yīng)用系統(tǒng)以及若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，發(fā)現(xiàn)漏洞、缺陷以及潛在的威脅，從而提供對網(wǎng)絡(luò)的實(shí)時保護(hù)，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。2探測技術(shù)介紹2.1常用簡單的掃描技術(shù)

掃描是一種基于Internet的遠(yuǎn)程檢測網(wǎng)絡(luò)或主機(jī)的技術(shù)，通過掃描發(fā)現(xiàn)檢測主機(jī)TCP/IP端口的分配情況、開放的服務(wù)已經(jīng)存在的安全漏洞等信息。主要使用的技術(shù)有Ping掃描、端口掃描以及漏洞掃描等。

Ping掃描是通過發(fā)送ICMP包到目標(biāo)主機(jī)，檢測是否有返回應(yīng)答來判斷主機(jī)是否處于活動狀態(tài)。這種方法具有使用簡單、方便的優(yōu)點(diǎn)，但是由于ICMP包是不可靠的、非面向連接的協(xié)議，所以這種掃描方法也容易出錯，也可能被邊界路由器或防火墻阻塞。

端口掃描技術(shù)就是通過向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，發(fā)現(xiàn)系統(tǒng)的安全漏洞，了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)管理網(wǎng)絡(luò)提供了一種手段。端口掃描主要有TCP全連接、SYN（半連接）掃描等方式。漏洞掃描技術(shù)主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。2.2利用探測工具

網(wǎng)絡(luò)探測工具非常多，種類非常繁雜，功能也不盡相同，這里只以網(wǎng)絡(luò)偵聽工具Sniffer和X-scan掃描器為例進(jìn)行闡述。

Sniffer是一種通過網(wǎng)絡(luò)偵聽獲取所有的網(wǎng)絡(luò)信息（包括數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等），具有實(shí)時檢測網(wǎng)絡(luò)活動、產(chǎn)生可視化的即時報(bào)警和通報(bào)信息、基于網(wǎng)絡(luò)特定終端，會話或任何網(wǎng)絡(luò)部分的詳細(xì)利用情況收集和錯誤統(tǒng)計(jì)、保存基線分析的歷史數(shù)據(jù)和錯誤信息等功能。Sniffer還可以根據(jù)抓獲的數(shù)據(jù)包信息動態(tài)繪制各主機(jī)直接的通信關(guān)系圖示。

X-scan采用多線程方式對指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。對于多數(shù)已知漏洞都給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接。掃描結(jié)束后生成檢測報(bào)告。應(yīng)用二：實(shí)時反映網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

探測的結(jié)果還可以用來實(shí)時反映網(wǎng)絡(luò)的連接結(jié)構(gòu)，為實(shí)時繪制網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖，實(shí)時反映網(wǎng)絡(luò)的運(yùn)行狀態(tài)等提供了依據(jù)。如：HPOpenView網(wǎng)絡(luò)節(jié)點(diǎn)管理器，鼠標(biāo)放在某個節(jié)點(diǎn)上將顯示該節(jié)點(diǎn)的詳細(xì)信息，示例圖示如下：應(yīng)用三：實(shí)現(xiàn)網(wǎng)絡(luò)的自動化管理

通過探測收集到網(wǎng)絡(luò)的運(yùn)行信息，為網(wǎng)絡(luò)的安全管理依據(jù)和手段，這樣就可以在制定相應(yīng)的策略指導(dǎo)下實(shí)現(xiàn)個應(yīng)用系統(tǒng)之間的聯(lián)動，如給防火墻設(shè)置新的安全規(guī)格，發(fā)現(xiàn)病毒后對殺毒軟件的病毒庫進(jìn)行及時更新等，建立起一套統(tǒng)一、安全、高效的安全檢測、監(jiān)控、管理體系，實(shí)現(xiàn)網(wǎng)絡(luò)的互連、互控、互動和集中統(tǒng)一防御，從而達(dá)到了自動化管理的目標(biāo)。

為了提供自動化管理效率和準(zhǔn)確性，可以在管理員的干預(yù)下建立一個專家數(shù)據(jù)庫，對系統(tǒng)的聯(lián)動提供指導(dǎo)和依據(jù)。4結(jié)束語

一般來說，在線探測技術(shù)是網(wǎng)絡(luò)管理的基礎(chǔ)，探測結(jié)果是實(shí)施下一步安全管理、系統(tǒng)聯(lián)動等管理手段的依據(jù)，所以保證檢測結(jié)果的正確性非常必要，因此需要對探測收集到的信息需要進(jìn)行驗(yàn)證，以達(dá)到去偽存真的目標(biāo)，提高管理的準(zhǔn)確性和效率。參考資料

[1]王曦楊健編著.《網(wǎng)絡(luò)安全技術(shù)與實(shí)務(wù)》，電子工業(yè)出版社，2006

[2]余承行主編，劉親華等副主編.《信息安全技術(shù)》科學(xué)出版社，2005

[3]李石磊.網(wǎng)絡(luò)安全掃描技術(shù)原理及建議，東軟教育在線網(wǎng)站

[4]H