借助網(wǎng)絡(luò)分析系統(tǒng)測(cè)試網(wǎng)絡(luò)的安全性.docx
-
資源ID:7934399
資源大?。?span id="jkafsqz" class="font-tahoma">622.77KB
全文頁(yè)數(shù):6頁(yè)
- 資源格式: DOCX
下載積分:9.9積分
快捷下載
會(huì)員登錄下載
微信登錄下載
微信掃一掃登錄
友情提示
2、PDF文件下載后,可能會(huì)被瀏覽器默認(rèn)打開(kāi),此種情況可以點(diǎn)擊瀏覽器菜單,保存網(wǎng)頁(yè)到桌面,就可以正常下載了。
3、本站不支持迅雷下載,請(qǐng)使用電腦自帶的IE瀏覽器,或者360瀏覽器、谷歌瀏覽器下載即可。
4、本站資源下載后的文檔和圖紙-無(wú)水印,預(yù)覽文檔經(jīng)過(guò)壓縮,下載后原文更清晰。
5、試題試卷類文檔,如果標(biāo)題沒(méi)有明確說(shuō)明有答案則都視為沒(méi)有答案,請(qǐng)知曉。
|
借助網(wǎng)絡(luò)分析系統(tǒng)測(cè)試網(wǎng)絡(luò)的安全性.docx
借助網(wǎng)絡(luò)分析系統(tǒng)測(cè)試網(wǎng)絡(luò)的安全性1.1. 前言一般情況下,大多數(shù)公司或企業(yè),都部署有IDS入侵檢測(cè)系統(tǒng),同時(shí)通過(guò)IDS對(duì)網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)控。當(dāng)網(wǎng)絡(luò)中出現(xiàn)攻擊行為時(shí),IDS會(huì)自動(dòng)進(jìn)行告警。雖然IDS目前在網(wǎng)絡(luò)中應(yīng)用非常廣泛,但它存在兩個(gè)非常大的不足。IDS只能對(duì)網(wǎng)絡(luò)中正在進(jìn)行的攻擊行為進(jìn)行監(jiān)控,對(duì)于潛伏在網(wǎng)絡(luò)中的攻擊行為,IDS無(wú)能為力。IDS只能匹配規(guī)則庫(kù)中存在的攻擊行為,對(duì)于規(guī)則庫(kù)中不存在的新型攻擊、變種攻擊,IDS不能對(duì)其進(jìn)行識(shí)別和告警。由于網(wǎng)絡(luò)中的攻擊行為復(fù)雜多變,且IDS存在不足,為全面了解網(wǎng)絡(luò)的安全狀況,我們必須找到另一種更加合理的解決方案。這里,我們提出一種通過(guò)網(wǎng)絡(luò)分析系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行安全性測(cè)試的思路,僅供大家探討。PS:1、本文僅討論使用網(wǎng)絡(luò)分析系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行的安全測(cè)試。2、文中使用的網(wǎng)絡(luò)分析系統(tǒng)是“科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010”。1.2. 安裝部署及抓包1. 安裝部署測(cè)試之前,我們需要先進(jìn)行正確的安裝部署。n 將科來(lái)網(wǎng)絡(luò)分析系統(tǒng)安裝到分析用的機(jī)器上。n 將安裝科來(lái)的機(jī)器連接到交換機(jī)的鏡像端口上。一般情況下對(duì)全網(wǎng)進(jìn)行測(cè)試,則將分析用的機(jī)器連接到核心交換機(jī)的鏡像端口;如果只需要對(duì)某個(gè)部門進(jìn)行測(cè)試,則將分析用的機(jī)器連接到該部門交換機(jī)鏡像端口。n 在相應(yīng)交換機(jī)上,配置好端口鏡像或流鏡像。配置好后,可登錄交換機(jī),使用show int 或dis int 之類的命令,查看端口的流量情況,如果端口流量較大,說(shuō)明配置成功,反之則可能配置有問(wèn)題。2. 捕獲數(shù)據(jù)包正確部署后,即開(kāi)始捕獲網(wǎng)絡(luò)中的通訊內(nèi)容,具體步驟如下:n 啟動(dòng)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010。n 選擇正確的網(wǎng)卡。如果機(jī)器上有多個(gè)網(wǎng)卡,請(qǐng)確保選擇的是連接交換機(jī)鏡像端口的網(wǎng)卡。n 選擇恰當(dāng)?shù)姆治龇桨覆?duì)其進(jìn)行編輯,根據(jù)實(shí)際情況調(diào)整數(shù)據(jù)包緩存的大小,建議設(shè)置不超過(guò)300M。由于我們這兒做的是安全測(cè)試,所以選擇“安全分析”方案。n 網(wǎng)絡(luò)檔案使用默認(rèn)即可,其它不進(jìn)行設(shè)置,選擇好后開(kāi)始頁(yè)面如下圖。一切就緒后,點(diǎn)擊開(kāi)始頁(yè)右下角的開(kāi)始捕獲。注意:系統(tǒng)支持的分析方式有實(shí)時(shí)分析和回放分析。如果是對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)抓包分析,選擇“實(shí)時(shí)分析”;如果是對(duì)已經(jīng)保存好的數(shù)據(jù)包進(jìn)行分析,選擇“回放分析”。(系統(tǒng)默認(rèn)情況下選中的是實(shí)時(shí)分析。)(圖1 科來(lái)網(wǎng)絡(luò)分析系統(tǒng)開(kāi)始頁(yè))1.3. 詳細(xì)分析進(jìn)行安全分析時(shí),建議抓取數(shù)據(jù)的時(shí)間稍長(zhǎng),最好不要低于10分鐘,這樣可以得出的測(cè)試結(jié)果將會(huì)更有說(shuō)服力。測(cè)試后的分析主要從攻擊行為和安全隱患兩個(gè)方面進(jìn)行。1. 攻擊行為分析從科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010的多個(gè)與安全相關(guān)的視圖,查看網(wǎng)絡(luò)中是否存在攻擊行為。n ARP攻擊如圖2所示,如果網(wǎng)絡(luò)中存在ARP攻擊,“疑似ARP攻擊分析“視圖會(huì)自動(dòng)分析出ARP攻擊的源地址,同時(shí)下面有詳細(xì)的物理會(huì)話信息,雙擊物理會(huì)話的下面的條目,系統(tǒng)會(huì)繼續(xù)分析具體的攻擊數(shù)據(jù)包。同時(shí),ARP攻擊分析,也可以直接在診斷視圖中查看。(圖2 疑似ARP攻擊分析)n 蠕蟲(chóng)病毒當(dāng)網(wǎng)絡(luò)中存在蠕蟲(chóng)病毒泛濫的情況時(shí),系統(tǒng)會(huì)自動(dòng)對(duì)其進(jìn)行分析,并準(zhǔn)確定位已經(jīng)被感染蠕蟲(chóng)病毒的主機(jī)。圖3所示的疑似蠕蟲(chóng)病毒分析視圖,會(huì)自動(dòng)顯示出感染的主機(jī),并將感染主機(jī)的詳細(xì)信息,如流量、數(shù)據(jù)包、發(fā)送數(shù)據(jù)包、接收數(shù)據(jù)包、IP會(huì)話、TCP會(huì)話、原始數(shù)據(jù)包等進(jìn)行顯示。(圖3 蠕蟲(chóng)病毒分析)n DOS攻擊針對(duì)網(wǎng)絡(luò)中的DOS攻擊分析,系統(tǒng)可以檢測(cè)出正在進(jìn)行的主動(dòng)DOS攻擊行為,以及正在遭受DOS攻擊的情況,如圖4所示。疑似DOS攻擊分析視圖列出了可能正在進(jìn)行DOS攻擊的主機(jī),疑似受到DOS攻擊分析視圖列出了可能正在遭受DOS攻擊的主機(jī),兩個(gè)視圖對(duì)這些主機(jī)的流量、發(fā)包、收包、會(huì)話、原始數(shù)據(jù)包等詳細(xì)信息進(jìn)行詳細(xì)統(tǒng)計(jì)。(圖4 DOS攻擊分析)n TCP端口掃描TCP端口掃描一般情況是后續(xù)攻擊的前奏,系統(tǒng)的TCP端口掃描視圖,可以對(duì)網(wǎng)絡(luò)中的TCP端口掃描行為,進(jìn)行準(zhǔn)確檢測(cè) 和定位,如圖5所示。(圖5 TCP端口掃描)2. 安全隱患分析此處的安全隱患,包括設(shè)備管理安全隱患、電子郵件安全隱患、FTP文件傳輸安全隱患。n 設(shè)備管理安全隱患通常情況下,管理人員對(duì)已經(jīng)投入使用的網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等)、安全設(shè)備(防火墻、UTM、IDS/IPS等)的管理,一般使用的方式有Web(HTTP,HTTPS)和命令行(Telnet,SSH)。這其中,HTTPS和SSH是加密協(xié)議,通過(guò)這兩種方式的管理相對(duì)安全,但HTTP和Telnet則是明文傳輸協(xié)議,如果使用這兩種方式進(jìn)行設(shè)備管理,則存在巨大的安全隱患。備注:大部分的設(shè)備都還支持一種Console調(diào)試,使用這種方式時(shí),管理人員必須到達(dá)設(shè)備的物理位置,使用Console線連接進(jìn)行操作,一般僅在初步調(diào)試設(shè)備時(shí)使用。正常投入網(wǎng)絡(luò)使用的設(shè)備,很少采用這種方式。HTTP明文傳輸隱患查找:節(jié)點(diǎn)瀏覽器中選擇HTTP協(xié)議,右邊選擇TCP會(huì)話視圖,查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會(huì)話信息。如網(wǎng)絡(luò)中設(shè)備地址是192.168.8.1,則查看與192.168.8.1通訊的會(huì)話,并查看下面的數(shù)據(jù)流信息,如圖6,找到用戶名和密碼均是admin的明文傳輸。(圖6 HTTP明文傳輸)Telnet明文傳輸隱患查找:節(jié)點(diǎn)瀏覽器中選擇Telnet協(xié)議,右邊選擇TCP會(huì)話視圖,查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會(huì)話信息。與HTTP明文傳輸方法一致,即可找到網(wǎng)絡(luò)中使用Telnet的明文傳輸。3. 電子郵件安全隱患現(xiàn)在,使用Outlook和Foxmail進(jìn)行電子郵件收發(fā)的用戶較多,默認(rèn)情況下,這兩種協(xié)議都是明文傳輸,存在電子郵件安全隱患。查找明文郵件密碼:節(jié)點(diǎn)瀏覽器中選擇SMTP和POP3協(xié)議(一次只能選擇一個(gè)),右邊選擇TCP會(huì)話視圖,查看下面的電子郵件會(huì)話信息以及數(shù)據(jù)流,可以查找明文傳輸?shù)挠脩裘兔艽a,如圖7。(圖7 電子郵件明文密碼)查找明文郵件內(nèi)容:節(jié)點(diǎn)瀏覽器中選擇SMTP和POP3協(xié)議(一次只能選擇一個(gè)),右邊選擇日志->Email信息,查看郵件的通訊情況,可以查找明文傳輸?shù)泥]件通訊情況,如圖8。(圖8 電子郵件明文傳輸)4. FTP文件傳輸安全隱患默認(rèn)情況下,通過(guò)CMD窗口、瀏覽器窗口、部分FTP客戶端等方式的FTP訪問(wèn),都是明文傳輸,存在巨大的安全隱患。查找FTP明文密碼:節(jié)點(diǎn)瀏覽器中選擇FTP協(xié)議,右邊選擇TCP會(huì)話視圖,查看下面的FTP會(huì)話信息以及數(shù)據(jù)流,可以查找明文傳輸?shù)腇TP用戶名和密碼,如圖9。(圖9 FTP明文密碼)查找FTP明文內(nèi)容:節(jié)點(diǎn)瀏覽器中選擇根節(jié)點(diǎn),右邊選擇日志->FTP傳輸,可以查看到網(wǎng)絡(luò)中使用明文進(jìn)行的FTP文件傳輸情況,如圖10。(圖10 FTP明文傳輸)1.4. 分析結(jié)論通過(guò)上述的抓包和測(cè)試分析,可以對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全面體驗(yàn),讓管理人員知道網(wǎng)絡(luò)的當(dāng)前安全狀況,以及網(wǎng)絡(luò)中是否存在潛在的安全隱患,從而有效確保網(wǎng)絡(luò)的安全。所以,使用網(wǎng)絡(luò)分析系統(tǒng),從宏觀上對(duì)網(wǎng)絡(luò)的安全性進(jìn)行測(cè)試,是網(wǎng)絡(luò)安全整體防御體系中必不可少的一部分,是當(dāng)前網(wǎng)絡(luò)安全防護(hù)狀態(tài)的必要補(bǔ)充。