用网络协议分析工具侦测网络故障(精选3篇)
用网络协议分析工具侦测网络故障 篇1
本文我们继续通过科来网络分析专家的分析系统来帮助更好的解决和处理网络实际问题,通过其自身 的强大分析系统快速定位故障,在第一时间解决麻烦,
一,事半功倍监控MSN:
也许监控MSN聊天会侵犯员工隐私,但是在企业禁止聊天的情况下通过监控来管理来约束员工行为也是 未尝不可的。由于MSN在传输时没有加密,所以说通过科来分析专家监控到的信息会更加全面,不光是MSN 登录帐户可以清楚的获取就连MSN聊天内容也将一览无余。
第一步:打开科来分析专家,然后点“开始”按钮进行监控,如果内网中有MSN登录的话我们会在左侧 看到TCP协议下的MSN选项,同时右边会记录所有与MSN通讯有关的数据包具体情况,包括数据包大小数量 等,当然这些不是我们所关心的我们直接点右边窗口上方的“数据包”标签切换到具体内容。(如图1)
第二步:在“数据包”具体内容中我们一个个数据的查找,仔细查看会看到MSN在登录时发送与接收到 的信息,从中可以看到MSN帐户softer26@hotmail.com的踪影,这个就是我们监控到的信息。
第三步:当有人使用MSN聊天时我们通过分析数据包可以查看到其通讯对象,聊天对象。(如图2)
第四步:同时对于聊天内容我们也可以直接查看到明文信息,不过这都需要我们仔细分析数据包从中 过滤挑选有用信息。(如图3)
第五步:当然科来网络分析系统还为我们单独提供了一个MSN通讯组件,我们直接点右边区域上方的“ 日志”标签,在这里选择MSN通讯,这样我们就能够更加轻松更加直观的了解到当前MSN的登录情况以及通 讯内容聊天信息了。(如图4)
比起之前的数据分析法后面的MSN通讯组件发更容易上手也比较简单,但是我们应该尽可能的掌握数据 分析法,毕竟还有很多数据和网络应用科来分析系统并没有通过组件的形式提供给我们。必要时还是需要 我们一个个数据包进行分析的。
小提示:
不光是MSN在通讯时以明文传输,就是我们平时访问登录FTP时用户名与密码也会以明文的形式传输的 ,因此在科来网络分析系统监控下FTP的地址,用户名,密码也将没有任何隐藏的可能。由于分析方法类 似这里就不展开说明了。(如图5)
二,数据统计不求人快速导出帮你忙:
网络监控任务是艰巨的,很多时候我们都要面临很多数据包进行分析,如果依然一个个的查看一个个 的对比难免为我们这些网络管理员带来太多的工作,实际上科来网络分析系统为我们提供了数据统计的功 能,我们可以将监控到的数据包整理成TXT等格式的文档,然后通过搜索功能找到我们需要的数据。
第一步:当我们监听一段时间后要对监控到的数据包进行分析时会发现数据量非常大,一个个分析不 太现实,例如笔者针对页面进行分析扫描登录SOHU邮箱的信息。这时我们可以通过导出功能将数据保存为 TXT格式的文件,点右边窗口左上角的导出按钮,在导出文件窗口中选择导出格式,科来系统支持包括TXT ,CSC,HTML在内的多种格式,笔者还是最喜欢TXT格式。(如图6)
第二步:接下来是选择导出内容,我们可以根据实际选择要到处的列名称。(如图7)
第三步:数据包按照选择列一个个的导出成TXT格式的文档,方便我们统筹管理与备案分析。(如图8 )
第四步:之后我们直接通过TXT记事本文件的查找功能搜索sohu信息,我们就能够查到登录SOHU邮箱时 使用的帐户信息了,在GET地址处看到了userid为softer@sohu.com。(如图9)
第五步:不同的邮箱登录的触发地址都各不相同,例如笔者单位使用的DOMINO系统在邮箱登录时是通 过get /mail/ruanzheng.nsf地址来进入个人邮箱的,相应的用户名为ruanzheng。(如图10)
三,强大的统计与过滤功能:
科来分析系统有强大的统计与过滤功能,之前我用过的sniffer也具备这些功能,不过个人感觉科来分 析系统在操作上更灵活毕竟是中文界面而且很多地方设计更符合国情,
第一步:平时我们在监控时可以通过查看右边的“图表”标签来了解当前环境下网络利用率,错误包 的比例,广播组播包的比例等,这些图表对分析网络,测算网络是否有病毒或规划问题都是很有帮助的, 我们可以了解到当前总带宽大小是否超负荷运转。(如图11)
第二步:另外通过主界面上方的过滤按钮我们可以针对某一种协议进行监听,不符合该协议的数据包 将直接丢弃。可选择的协议可以自定义也可以直接使用默认的。(如图12)
第三步:例如笔者为了检测网络内ARP数据包来判断是否有ARP欺骗病毒,只需要将ARP协议添加到过滤 表中,然后确定即可,这样科来分析系统会对接收到的所有数据包进行分析,符合ARP协议的收集并显示 出来,不符合的直接丢弃。(如图13)
第四步:再次开始监控,我们会发现找到的数据包都是ARP协议的,这样可以更加方便的让我们根据实 际需要去监听网络协议。(如图14)
第五步:同时科来分析系统为我们提供了大量宝贵的报表,我们可以根据实际监听结果直接分析出流 量最大的前十IP等排行。(如图15)
第六步:日常我们这些网络管理员都会被ARP欺骗病毒所烦恼,科来分析系统特别对ARP数据包进行了 概要解析,我们可以直接从概要处看到每个数据包实际的功能,非常直观。(如图16)
第七步:同时利用“矩阵”功能也可以让我们了解到当前网络内各个IP地址与内外网各个终端设备的 通讯状况,这个IP矩阵或MAC地址矩阵可以让我们看出哪个地址流量最大,连接数最多,这些地址将成为 病毒携带者的最可能人选。(如图17)
四,用科来让网络中流氓软件现身:
常在河边走哪能不湿鞋,我们的操作系统中很容易被安装了流氓软件或恶意插件,这些软件不光占用 我们的系统资源还会侵犯我们宝贵的网络带宽,而我们同样可以利用科来分析系统让网络中的流氓软件现 身。
第一步:首先让我们要监听的网络各个主机不要有任何网络操作网络访问,将不必须的程序都关闭, 特别是网络程序和网络服务。
第二步:开启科来网络分析系统监听镜像端口,如果发现有数据包产生,那么马上分析数据包具体内 容,例如笔者就发现在没有任何操作的情况下网络中出现了有主机在和p3pping.sogou.com这个地址进行 通讯,因此怀疑这个主机上被安装了SOGOU恶意插件。(如图18)
第三步:同时笔者还发现有部分通讯的目的地址为pv.uitv.com,于是马上访问了这个站点,通过首页 介绍我们知道uitv.com对应的是联合网视网站,那么这个流量应该就是由于有计算机安装了其在线播放的 插件而产生的流量,这也应该归为一种恶意插件毕竟在不知不觉中产生了网络流量。(如图19)
五,附加小工具:
科来网络分析专家还为我们提供了几个非常有用的小工具,一个是科来MAC地址扫描器,通过他我们可 以在网络没有问题的时候建立MAC地址与IP地址的对应关系,这样就可以最大限度的防止ARP欺骗病毒的爆 发,即使造成影响也可以通过这个列表快速恢复。(如图20)
同时科来网络分析专家还提供了数据包生成器与数据包播放器,我们可以通过这两个工具来自己制造 网络数据包并通过导入功能重新发送之前保存的数据包,还可以修改已经保存过的数据包然后再发送出去 ,总之这个功能很好,对于网络管理员来说可以通过这两个工具辅助数据包,例如ARP还原数据包,告知 网络内各个机器真正的网关MAC地址是多少。(如图21)(如图22)
六,总结:
经过笔者几个月的测试科来网络分析专家的总体表现是非常不错的,从某种意义上讲他已经超过了 sniffer,额外功能使用得当也能够让网络管理员省不少事。总之有一个好的网络工具作为帮手,网络管 理也变得简单得多,以前很多问题不知从何下手,而今直接拿出该工具扫描即可轻松找到问题根源。当然 由于篇幅关系笔者也仅仅介绍了几个实际案例,更多的功能还需要感兴趣的读者自行挖掘。
用网络协议分析工具侦测网络故障 篇2
对于协议分析法的应用, 主要有硬件和软件两种方法来捕获。如硬件上的FLUKE、HPWAN/LAN等硬件分析仪;软件上有Sniffer Pro、Wild Packets Omni Peek等工具, 其特点都是在完成数据监视分析、网络故障检测并形成日志文件。本文将采用Sniffer Pro网络故障分析法来捕获数据链路上的数据包, 并从监视、数据传输和流向上来判定故障。Sniffer Pro是Network Associates公司的一款网络故障诊断分析软件, 其功能及原理如下。通常情况下, 在网络中任意两个节点进行数据通信中, 都需要从网络接口中选择对应的硬件地址, 也就是说, 在网络传输过程中, 数据信息的目标字段地址就是数据接收的端口。另外, 在在特殊情况下, 当数据信息的目标地址代表某网段的广播地址时, 则该信息可以被所有接口接收。Sniffer Pro在工作时往往设置为“混杂”模式, 也就是说, 无论数据传输的目标地址是什么, 都能够被网卡接收, 从而可以通过分析网络数据包信息来获取相应的状态等信息。
二、利用协议分析法来排除网络故障
2.1对网络性能进行检测与评估。利用Sniffer Pro网络分析软件可以检测网络的整体性能, 如网络延迟、TTL返回时长、网络资源利用率、错包数量等, 从而获得网络运行状态及故障源。如采用协议分析法可以实现:对不同网络地址及网络协议的响应时间的确定;利用ART功能可以实现对网络性能类的故障检测;利用Dashiboard功能可以实现对网络资源利用率、数据包数量及出错包数量的检测, 还可以设置相应的阀值数据, 当某一项状态超过阀值时, 则以报警方式通知网络管理者。另外, 在对网络利用率的上限值的设定上, 通常设为80%, 而一旦超过规定阀值则说明网络出现了问题, 需要加以跟踪分析来解决。
2.2对各类计算机病毒的识别与应对。病毒是影响网络安全的主要故障源, 而对网络病毒的识别与处理又是网络安全管理的重点内容。如在某些安全性漏洞攻击性病毒, 往往以网络共享端口来进行传播, 从而给网络带来更多的负载及影响。以协议分析法来进行病毒的识别与跟踪, 能够提升网络病毒故障检测效率。在Sniffer Pro网络故障分析中, 可以对相应端口进行异常检测。
2.3对MAC泛洪攻击及Do S&DDo S攻击的检测。对于MAC泛洪攻击来说主要是针对网络上没有源MAC地址的数据包请求, 对交换机MAC地址表资源的侵占, 利用协议分析技术, 可以从数据包分析、会话分析和统计MAC地址上来判断是否存在大量无源数据请求, 并从限定映射上来解决MAC泛洪攻击对交换机资源的消耗, 降低网络拥堵。对于Do S&DDo S攻击, 主要是针对网络带宽和连通性进行攻击, 从网络带宽资源上造成合法用户无法利用, 而连通性主要是因大量请求而耗尽操作系统资源, 影响计算机正常处理合法用户请求。因此在解决Do S&DDo S攻击时, 采用协议分析技术, 可以找到Do S&DDo S攻击的源头, 并利用IPS (Intrusion Prevention System) 技术来加以防范。
2.4对网络带宽滥用的检测与分析。当前网络带宽滥用是常见的造成网络故障的原因之一, 不仅影响网络整体性能, 还导致正常的网络服务难以为继。如P2P软件下载对带宽资源消耗较大, 通常可以利用防火墙来设置相应的带宽请求, 而对于没有固定协议和端口的P2P下载请求, 则难以控制。为此, 利用协议分析技术可以对网络内各主机IP协议流量进行统计, 并对占用带宽较大的主机进行检测和报警, 以采用有效措施来隔离。针对网络异常广播数据的分析, 则可以从网络总体流量的分析上, 从数据链路的利用率上来判定链路层的会话流量, 并借助于Sniffer Pro的解码功能来分析故障深层的原因, 以建立相应的统计图表来分析判断, 改善网络故障率。
三、结语
由于网络协议和网络设备的复杂性, 网络故障的定位和排除不像解决单机故障那么简单, 单纯的维护网络关键设备并不能找到理想的网络安全策略。为此, 在利用协议分析技术时, 还应该从客户端软件对网络的访问验证与监控上, 从网络安全技术上来积累经验, 提升网络故障检测效率, 保障网络的安全运行。
参考文献
[1]曲长城.试析网络协议分析软件在网络维护中的运用[J].信息安全与技术, 2012 (08) .
用网络协议分析工具侦测网络故障 篇3
信息化技术已持续发展十余年,各种网络已经过了多年的漫长建设周期,而在建设过程中由于功能需求不断的变化,会出现大量不同的业务系统、应用组件以及不同版本的操作系统、硬件等设备的不断叠加[1]。这种叠加导致的往往是网络内部IT资产的管理混乱,而从安全角度来说,由于更新换代的速度过快,一些大型网络中往往会出现照顾不到的信息孤岛。这样的信息孤岛多是已经不再使用的老旧业务系统,但由于内部网络的复杂性而被忽略,而这样的孤岛却又是日常安全问题中最薄弱的点,最容易被黑客突破的点。例如随着智能电网的建设和发展,其在线监测系统的不断增加导致“信息孤岛”问题愈发突出,使管理复杂度增加[2,3]。
另一方面,随着互联网技术的不断发展和开发,各类因应用组件造成的安全事件或由应用组件所造成的服务中断等事故,只能是依靠于反馈的方式逐级进行问题提交。对于各类不同应用组件的使用,我们在某一应用组件出现安全风险时只能进行单一的针对性修复或防御策略追加,而无法有效匹配全网中所有的受影响系统,并进行统一的安全修复和防御策略追加,只能被动防御。对于应用组件的变更、系统升级等变化无法进行有效探测和追溯以及安全预警,为改变被动防御的现状,实现资产的有效识别、追溯,建立有效的积极防御体系,需要建立长期的资产全状态管理及预警能力,通过周期化、自动化的软硬件资产普查,掌握各类资产的安全属性,并在漏洞爆发时可以做到有效应对,从而更符合各种政策规范的要求,为网络及业务的稳定运行提供技术保障[4]。
目前,现有设备缺乏对资产的自主发现能力,难以发现网络中存在的“信息孤岛”。从扫描设备来说,扫描设备往往只兼顾其漏洞库所涵盖的设备,对于一些“设备未能识别”的资产缺乏持续的发现能力,因此某些信息孤岛难以被捕获到;而对于事件管理平台来说,若资产不出现可被拦截或捕获的安全事件,资产便永远不会被平台所发现。同时,现有设备缺乏对资产的全方位信息定位能力[5]。一个IT资产,除了其所属管理范围和业务系统外,还具备相当多的外围属性,如:设备类型、组件类型、各类应用版本信息等等[6,7]。而目前互联网上常见的漏洞都是针对特定类型及版本的组件或应用产生的,所有这些信息一旦能够被识别并存储下来进行持续跟踪,便可以实现对漏洞危害范围的持续跟踪。
针对以上问题,本文研究并设计了基于指纹采集的网络空间大规模侦测系统,通过采集网络空间的指纹信息,对网络设备组件进行识别,利用分布式调度和分布式存储技术[8,9,10],设计并实现了大规模分布式侦测,极大提升了侦测速度和侦测效率。本系统具备对IT资产的自主发现能力,并对IT资产进行全方位信息定位,实现对网络空间的全面、实时、精确侦测。
1 系统设计
网络空间是由无数节点构成,每个节点都是一个接入网络的物理设备。多数网络设备内部都装有特定的组件,自主研发或者使用第三方组件。每个网络设备会使用到多款组件,组件是构成网络空间的最小组成单元。基于指纹采集的网络空间大规模侦测系统通过调用调度服务器、UI(User Interface,用户界面)服务器、数据库服务器和网络设备指纹获取服务器,对服务器、应用程序服务器、路由器、防火墙、网络摄像头和交换机等网络空间设备进行大规模侦测,其具体结构如图1所示。
调度服务器采用分布式调度技术,对多个节点实现智能的任务分发、负载均衡、异常处理、进度汇总、结果汇总等。为实现分布式调度技术,公用的中间层采用高效内存存储方案,存储任务队列、异常信息、进度信息、结果信息等,调度与每个节点通过公用的中间层来交换相关数据。
UI服务器为界面有关的软件人机交互、操作逻辑等提供服务,包含了报表、站点管理、系统管理等的操作界面。UI服务器为操作界面提供后台支持,以实现用户友好交互,在系统中起着重要的衔接作用。
数据库服务器为应用提供服务,服务包括查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。数据库服务器提供了用于数据操纵的标准接口API,并提供监控性能、并发控制等工具,由DBA(Database Administrator,数据库管理员)统一负责授权访问数据库及网络管理。数据库服务器提高了系统性能,降低了网络开销,同时便于平台扩展。
网络设备指纹获取服务器通过对网络设备的特定端口进行请求,判断端口是否开放;并根据端口返回信息,利用指纹比对技术,结合指纹数据库,对网络设备所使用的组件类型进行识别,从而完成对网络空间的侦测。
2 系统架构
网络空间大规模侦测系统组成如图2所示,分布式调度模块管理各个端口探测引擎,针对侦测目标对象,结合指纹库,进行周期性的组件指纹探测,并将结果数据存储入库,供数据展示模块调用,进行查询、统计、导出等操作。监测结果存储在监测结果数据库中,通过数据展示模块对数据进行处理,可以实现数据查询、数据统计和数据导出等功能。综合管理模块负责任务管理、引擎管理以及日志管理,保证系统的正常运转。
用户建立任务后,UI通过API接口传递到后台数据库,由调度引擎获取任务并将任务按一定规则先后分配给各检测引擎,检测引擎接收任务后执行检测功能,通过命令行参数驱动Xmap、Wmap和POC(Proof of Concept,验证测试)功能的执行,获取到相应数据后,以IP或域名的方式归类到相应字段,再通过调度程序将获取数据入库到Mongo DB。最终由UI接口从数据库提取相应数据完成信息的展示。
基于指纹采集的网络空间大规模侦测系统核心主要分为权限控制、UI展示、数据库、任务调度、核心检测组件五层。权限控制定义了用户权限范围,是系统操作功能的实现基础。报表及UI包含报表、站点管理、系统管理等界面操作,是与用户操作相关的核心模块。数据库使用My SQL及Mongo DB数据库,进行面向对象封装。其中Mongo DB是一种NO-SQL类型的数据库,具备更好的高并发读写性能,具备无限扩容能力,是目前国内外很多云系统建设的基础数据库。任务调度实现自动的任务调度功能,能够自动将检测任务分发到不同检测引擎进行并发处理。核心检测组件包括站点发现、信息探查模块、端口探测模块、指纹探测模块,是系统所有检测功能的具体执行部分。
3 系统实现
3.1 指纹探测
3.1.1 Web服务器指纹探测
Web服务器指纹探测模块主要通过探测:网站响应头部数据、网站文件类型、网站对40错误响应的返回、网站对500错误响应的返回(如果存在)、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显等请求,并利用返回信息作为判别依据进行Web服务器的指纹判断。通过指纹解析引擎获得目标网站的Web服务器发行版本、版本号等信息。同时,这些探测信息可用于辅助判断远程服务器上运行的操作系统、Web脚本语言、Web组件及相应版本型号。
3.1.2 Web应用指纹探测
Web应用指纹探测模块利用高精度的指纹识别技术对Web应用进行精确识别。该模块主要通过探测Web应用服务器上所运行的第三方Web组件特征信息来判断其所使用的组件情况和具体版本信息,主要探测以下几个请求和返回信息进行Web应用指纹判断:网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5。将这些信息进行组合匹配,包括:网站响应头部信息、HTML页面信息、特殊URL信息、网站文件MD5哈希值信息等。这些内容中都会存在一些Web应用的唯一性特征,多种方式的组合能提高程序的检测精度,几乎不会存在误报情况,从而实现对目标Web服务器上所运行的组件精确判断。
3.1.3 操作系统指纹探测
操作系统指纹探测模块基于Nmap端口扫描工具,不断持续跟踪和分析不同版本操作系统在TCP/IP栈中的数据特征,获得网站开放端信息、端口上的协议类型和版本等信息。通过对扫描结果的处理,从Banner中获取网站使用的Web容器及类型以及其它应用信息。不同操作系统在接收TCP或UDP请求时,其返回的数据填充内容、IP头中的SEQ NUMBER等特征呈现出不同的规律,在该规律上进行深度挖掘,可以精确识别操作系统服务版本。
3.2 基于指纹库的网络设备组件识别
基于指纹库的网络设备组件识别模块是网络空间大规模侦测系统的核心。该模块通过对网络设备的特定端口进行请求,根据端口返回信息,利用指纹比对技术,结合指纹数据库,对网络设备所使用的组件类型进行识别。该模块根据TCP/IP协议规范特征进行扫描探测,由于RFC没有明确TCP连接初始序列号、TCP可选项、TCP窗口大小、TCP时间戳、TCP ECN标记、异常属性的TCP关闭端口、分片IC-MP请求、服务控制ICMP请求、异常属性的UDP关闭端口,为了获得未明确定义导致的差别,本模块采用如下方法进行探测:
①对目标端口探测,获得至少一个开放端口和一个关闭端口。
②构造16个探测报文,包含6个序列号和可选项的TCP探测报文,2个ICMP探测报文,1个ECN的TCP探测报文,6个关闭端口的TCP探测报文,1个关闭端口的UDP探测报文。
③构造的16个探测报文,确保每个报文在100ms内发送。如果某个报文没有应答,则重新发送一次。
④提取目标指纹,结合目标的已知操作系统类型,构造先验指纹库。
⑤使用构造的先验指纹库探测新的目标主机。
⑥使用HTTP协议连接远程Web服务器获取相应应答报文,通过比较应答报文特征来识别Web服务器类别与版本。
3.3 分布式数据存储及任务调度
为解决大规模数据的存储和分析问题,系统采用分布式架构,为网络空间大规模侦测提供可靠的平台支持。该架构使系统具有可扩展性,可根据需求添加不同的功能。各模块之间的低耦合性降低了系统的维护难度。针对大规模网络空间,系统将任务分解,合理分配资源,分布式并行处理提高了处理效率。当实现数据获取、处理、展示等功能时,系统调用不同的处理单元,对多个节点实现智能的任务分发、负载均衡、异常处理、进度汇总、结果汇总等,将分解的任务分配到合适的资源中,保证任务能平稳处理,任务调度使系统可以分布式的处理任务。通过使用高效内存存储方法,构建公用的中间层实现调度与每个节点间的数据交换。
3.3.1 分布式数据存储
分布式数据存储采用Mongo DB这一文档型分布式数据库,多个节点数据库服务器用于存储网站检测相关的数据及结果数据、统计数据等大量数据内容,如图3所示。
其中Mongo DB为实现分布式存储,把数据保存到其他机器当中,所用到的Mongodb Shard指的是分片,Shard为水平方向的多节点数据分散存储,通过并行计算可满足大规模网络空间数据的并发访问、处理和分析等需求。系统通过主从存储、分片存储的方法,保证了数据的安全性和可靠性,提高了数据的大规模存取能力。
3.3.2 任务调度
网络空间大规模侦测系统的任务调度模块,调用各组件指纹探测模块,对IP目标进行组件指纹探测扫描;IP目标分为境内目标和境外目标,其中境外目标在扫描时需要使用VPN代理;最后任务调度模块将扫描结果写入目标组件指纹数据库。任务调度模块完成整个系统的任务生成、任务分发、任务接收、任务执行、异常处理、数据统计、任务复杂均衡等功能,其执行流程如图4所示。
当任务下发时,检测任务自动将大的检测任务拆分为内部小任务,并将小任务存放任务队列。内部小任务按照任务下发标准接口,传递给检测模块节点。各业务层的业务检测模块均提供标准的任务接受API,任务下发子模块,验证任务参数数据的正确性,并将任务参数数据按照API规范传递到各个业务层检测节点。为保证负载均衡,任务下发算法自动在内部自动将大的检测任务拆分为小的任务,存放到队列,将队列中的任务下发给多个区域的多个业务检测单元;其间会记录各个检测单元到目标网络的速度,用于指导下一批次任务优选最快的检测单元。当下发给检测节点的任务由于检测节点服务器故障或网络故障而无法完成时,异常处理模块接受检测节点的异常报告或超出一定时间无法连接检测节点时,自动将下发给该检测节点的任务转移到其他节点继续执行。最后检测节点按照API规范汇报进度,进度汇总模块将这些进度信息汇总存储,供界面读取。
4 实验测试
网络空间大规模侦测系统包括任务调度服务器、组件指纹探测服务器、数据库服务器和系统UI服务器等,经由路由器进行连接,通过任务调度,利用分布式存储等技术,完成对境内外网络设备的指纹获取和判别。系统对境外目标进行网络设备指纹获取时,需要通过代理节点,突破自身IP访问限制,访问国外站点。网络空间大规模侦测系统部署如图5所示。
网络空间大规模侦测系统包括1台任务调度服务器、9台组件指纹探测服务器、3台数据库服务器和1台系统UI服务器,具体硬件配置信息如表1所示。
网络空间大规模侦测系统指纹库覆盖全球主流的500种网络设备组件,后续随着指纹库的持续增加,侦测系统的识别率将不断提高。当侦测周期为2天时,网络空间大规模侦测系统可覆盖100万个IP目标;当侦测周期为15天时,可覆盖1000万个IP目标。
4.1 D-Link路由器漏洞
多种网络设备,例如路由器和网络摄像头,都具有各自的固件。不同固件就是不同的操作系统,属于网络设备的操作系统。针对网络设备各自特有的固件进行分析,可以研究网络设备的安全漏洞。固件存在漏洞一般是由程序员在开发摄像头功能性程序的过程中疏忽造成,可能导致命令执行等高危漏洞,而存在的后门帐号可能是开发人员(个人行为)或者生产厂商(公司行为)预留的。
D-Link路由器的固件是指其内部运行的系统及程序,系统一般是轻量级的类Unix操作系统,而程序用于控制和实现路由器的各种功能。利用网络空间大规模侦测系统,通过基于固件分析的网络设备漏洞研究技术,可以发现D-Link路由器中存在安全漏洞的设备信息。在2013年10月份曝光的D-Link路由器漏洞中,受影响的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU。通过基于指纹的网络空间大规模侦测系统探测发现,世界上约63000台设备受到影响。存在漏洞的D-Link路由器分布如图6所示,图中红色圆圈代表存在漏洞的D-Link路由器分布位置。
4.2 心脏出血漏洞
心脏出血漏洞通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器和用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前或已存储的传输数据;或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。
利用网络空间大规模侦测系统,扫描覆盖全球1945815个主机,侦测结果发现714828个主机处于易受攻击状态,其中33303个主机位于中国。图7为心脏出血漏洞分布热力图,图中颜色越深代表漏洞分布越多。图8为心脏出血漏洞数目随时间变化示意图,该示意图显示随着时间推移,心脏出血漏洞正逐步被修复。
5 结束语
针对现有IT资产扫描设备缺乏对资产的自主发现和全方位信息定位能力,本文设计并实现了基于指纹采集的网络空间大规模侦测系统,通过采集网络空间的指纹信息,对网络设备组件进行识别,并利用分布式调度和分布式存储技术实现网络空间大规模分布式侦测,极大提升了侦测速度和侦测效率。实验表明,本系统可以有效地对网络空间进行全面、实时、精确侦测。
摘要:随着信息化设备的更新换代,网络内部容易出现信息孤岛,造成IT资产管理混乱,进而影响信息系统的安全性和稳定性。基于指纹采集的网络空间大规模侦测系统通过采集网络空间的指纹信息,对网络设备组件进行识别,基于分布式架构设计并实现了大规模分布式侦测,极大提升了侦测速度和侦测效率。
关键词:指纹采集,IT资产,大规模侦测,分布式架构,设备识别
参考文献
[1]刘诚.浅析电力行业信息安全管理[J].计算机安全,2008(7):74-77.
[2]张洪涛,徐靖.电力企业信息集成接口技术研究,2007,35(22):45-48.
[3]刘毅,刘军,毛琛琳.基于中间件技术的电网在线监测数据集成系统设计[J].电网与清洁能源,2012,28(5):39-45.
[4]杨艳,刘建华,田东平.基于决策树算法的信息资产识别[J].现代电子技术,2010,23:77-79.
[5]刘念,张建,华张昊.网络环境下变电站自动化系统的信息资产识别[J].电力系统自动化,2009,33(13):53-57.
[6]Rahman M A,Manshaei M H,Al-Shaer E.A game-theoretic approach for deceiving Remote Operating System Fingerprinting[C].2013 IEEE Conference on Communications and Network Security(CNS):73-81.
[7]Nikiforakis N,Kapravelos A,Joosen W,et al.On the Workings and Current Practices of Web-Based Device Fingerprinting[J].IEEE Security&Privacy,12(3):28-36.
[8]张恩,张广弟,兰磊.基于Mongo DB的海量空间数据存储和并行[J].地理空间信息,2014,12(1):46-48.
[9]钟运琴,方金云,赵晓芳.大规模时空数据分布式存储方法研究[J].高技术通讯,2013,23(12):1219-1229.