在線探測技術與應用的論文

摘 要 網絡設備的在線狀態及其工作、執行資訊的收集是網絡安全管理、網絡安全狀況分析的基礎，本文介紹了幾種探測技術和探測工具的使用，並介紹了計算機探測技術的應用。

關鍵詞 掃描；探測；代理；拓撲圖；自動化管理

1 引言

隨着網絡技術的飛速發展，網絡的安全風險係數不斷提高，需要在不影響網絡性能的情況下對網絡進行監聽和探測，從計算機網絡系統的各個終端主機、應用系統以及若干關鍵點收集資訊，並分析這些資訊，發現漏洞、缺陷以及潛在的威脅，從而提供對網絡的實時保護，提高資訊安全基礎結構的完整性。

2 探測技術介紹

2.1 常用簡單的掃描技術

掃描是一種基於Internet的遠程檢測網絡或主機的技術，透過掃描發現檢測主機TCP/IP端口的分配情況、開放的服務已經存在的安全漏洞等資訊。主要使用的技術有Ping掃描、端口掃描以及漏洞掃描等。

Ping掃描是透過發送ICMP包到目標主機，檢測是否有返回應答來判斷主機是否處於活動狀態。這種方法具有使用簡單、方便的'優點，但是由於ICMP包是不可靠的、非面向連接的協議，所以這種掃描方法也容易出錯，也可能被邊界路由器或防火牆阻塞。

端口掃描技術就是透過向目標主機的TCP/IP服務端口發送探測數據包，並記錄目標主機的響應。透過分析響應來判斷服務端口是開啟還是關閉，就可以得知端口提供的服務或資訊。端口掃描也可以透過捕獲本地主機或服務器的流入流出IP數據包來監視本地主機的執行情況，它僅能對接收到的數據進行分析，幫助我們發現目標主機的某些內在的弱點，發現系統的安全漏洞，瞭解系統目前向外界提供了哪些服務，從而爲系統管理網絡提供了一種手段。端口掃描主要有TCP全連接、SYN（半連接）掃描等方式。

圖1 Sniffer探測資訊矩陣圖示

漏洞掃描技術主要透過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描後得知目標主機開啓的端口以及端口上的網絡服務，將這些相關資訊與網絡漏洞掃描系統提供的漏洞庫進行匹配，檢視是否有滿足匹配條件的漏洞存在；透過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。

2.2 利用探測工具

網絡探測工具非常多，種類非常繁雜，功能也不盡相同，這裏只以網絡偵聽工具Sniffer和X-scan掃描器爲例進行闡述。

Sniffer是一種透過網絡偵聽獲取所有的網絡資訊（包括數據包資訊，網絡流量資訊、網絡狀態資訊、網絡管理資訊等），具有實時檢測網絡活動、產生可視化的即時報警和通報資訊、基於網絡特定終端，會話或任何網絡部分的詳細利用情況收集和錯誤統計、儲存基線分析的歷史數據和錯誤資訊等功能。Sniffer還可以根據抓獲的數據包資訊動態繪製各主機直接的通信關係圖示。

X-scan採用多線程方式對指定IP位址段(或單機)進行安全漏洞檢測，支援插件功能，提供了圖形介面和命令行兩種操作方式，掃描內容包括：遠程服務類型、操作系統類型及版本，各種弱口令漏洞、後門、應用服務漏洞、網絡設備漏洞、拒絕服務漏洞等二十幾個大類。對於多數已知漏洞都給出了相應的漏洞描述、解決方案及詳細描述連結。掃描結束後生成檢測報告。

圖2 X-scan檢測報告圖示

現在網上還有其他各類有特色的掃描器，種類繁多，如nMAP、SATAN、iris等，在此不一一介紹。

2.3 路由交換設備的探測與管理

透過SNMP協議MIB庫，可以獲取網絡中的交換機的交換表和路由器的路由表，實現流量統計，速率統計等功能，繪製出網絡拓撲結構圖。透過MIB庫定義的接口，還可以遠程控制和修改路由器、交換機的配置資訊。

2.4 獲取應用系統的執行資訊

透過收集網絡中的防火牆、防病毒軟件以及其他應用系統的執行日誌，發現非法入侵或越權訪問資訊，程序執行報警資訊等，及時掌握網絡和系統的安全特性，在遇到攻擊或威脅時可以進一步採取措施，避免造成損失，並有效防止損失的擴大化。

2.5 部署代理的探測技術

在網絡中設立一臺服務器，安裝服務程序，在網絡中需要探測的計算機上安裝客戶端代理程序，並制定一些特定的協議，服務器端定期查詢客戶端的狀態和日誌資訊，或者按照服務器端制定的策略，客戶端定期將自己的狀態、日誌、或應用程序執行資訊發送給服務器，服務器端對這些資訊進行過濾、分析、整理和審計，以獲取反映客戶端微機的執行狀態。如果服務器端在制定的策略時間範圍內沒有接收到該客戶端的資訊，則可以判斷該客戶端處於離線狀態，或者網絡線路出現故障。

3 探測技術的應用

應用一：掌握和了解系統執行情況

透過探測技術，獲取計算機的在線狀態，可以及時發現網絡中離線或出現故障的計算機，或者發現哪些計算機沒有執行本該執行的程序和應用，還可以透過這些探測資訊及時發現計算機系統存在的漏洞以及計算機系統執行存在的風險，如：入侵檢測系統。

圖3 Cisco交換機的流量和數量統計圖示

應用二：實時反映網絡拓撲結構

探測的結果還可以用來實時反映網絡的連接結構，爲實時繪製網絡的拓撲結構圖，實時反映網絡的執行狀態等提供了依據。如：HP OpenView網絡節點管理器，鼠標放在某個節點上將顯示該節點的詳細資訊，示例圖示如下：

圖4 HP OpenView繪製網絡拓撲圖示

應用三：實現網絡的自動化管理

透過探測收集到網絡的執行資訊，爲網絡的安全管理依據和手段，這樣就可以在制定相應的策略指導下實現個應用系統之間的聯動，如給防火牆設定新的安全規格，發現病毒後對殺毒軟件的病毒庫進行及時更新等，建立起一套統一、安全、高效的安全檢測、監控、管理體系，實現網絡的互連、互控、互動和集中統一防禦，從而達到了自動化管理的目標。

爲了提供自動化管理效率和準確性，可以在管理員的干預下建立一個專家數據庫，對系統的聯動提供指導和依據。

4 結束語

一般來說，在線探測技術是網絡管理的基礎，探測結果是實施下一步安全管理、系統聯動等管理手段的依據，所以保證檢測結果的正確性非常必要，因此需要對探測收集到的資訊需要進行驗證，以達到去僞存真的目標，提高管理的準確性和效率。

參考資料

[1] 王曦 楊健 編著.《網絡安全技術與實務》，電子工業出版社，2006

[2] 餘承行 主編, 劉親華等副主編.《資訊安全技術》 科學出版社，2005

[3] 李石磊.網絡安全掃描技術原理及建議，東軟教育在線網站

[4] HP OpenView聯機文檔

[5] RFC2011：SNMPv2 Management Information Base for the Internet Protocol using SMIv2