《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 淺談網(wǎng)絡(luò)資產(chǎn)探測技術(shù)與常用方法

淺談網(wǎng)絡(luò)資產(chǎn)探測技術(shù)與常用方法

2022-11-10
來源:安全牛

  近年來,以計算機系統(tǒng)為代表的信息系統(tǒng)建設(shè)蓬勃發(fā)展,各種新型的信息技術(shù)層出不窮;同時,后疫情時代受不確定的疫情波動影響,企業(yè)的線下發(fā)展明顯失速,數(shù)字化、線上化、云化成為很多企業(yè)保持增速的解決方案。依托于“云大移智”等新型信息技術(shù)實現(xiàn)數(shù)字化賦能,企業(yè)正在加快數(shù)字平臺建設(shè)和應(yīng)用,數(shù)據(jù)成為驅(qū)動企業(yè)發(fā)展的重要生產(chǎn)要素。

  當數(shù)據(jù)成為企業(yè)最重要的核心資產(chǎn)之一,意味著企業(yè)必須重視并具備數(shù)據(jù)安全保護能力,因為唯有數(shù)據(jù)完整、清晰、安全和可靠,才能為企業(yè)產(chǎn)生有效價值。數(shù)據(jù)安全治理或防護首先依托于數(shù)據(jù)資產(chǎn)梳理,而數(shù)據(jù)資產(chǎn)梳理則依托于數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)。數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)中必然擁有存儲的載體,如數(shù)據(jù)庫、文件系統(tǒng)等,而伴隨數(shù)字化進程,企業(yè)的數(shù)據(jù)資產(chǎn)散落于各種網(wǎng)絡(luò)中,成為數(shù)據(jù)泄露的風險點;而伴隨著時間流逝,被遺棄或遺忘在網(wǎng)絡(luò)中的數(shù)據(jù)載體將成為最大的隱患。故數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),首先步驟就是探測發(fā)現(xiàn)存儲數(shù)據(jù)的網(wǎng)絡(luò)資產(chǎn)。本文在此介紹當前網(wǎng)絡(luò)資產(chǎn)探測的常用方法和技術(shù),并對其優(yōu)缺點做簡要歸納。

  01 網(wǎng)絡(luò)資產(chǎn)探測

  網(wǎng)絡(luò)資產(chǎn)探測通常是指追蹤發(fā)現(xiàn)和分析掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。通過網(wǎng)絡(luò)資產(chǎn)探測,能夠幫助企業(yè)組織梳理網(wǎng)絡(luò)中當前存活的數(shù)據(jù)存儲應(yīng)用和服務(wù),為數(shù)據(jù)治理資產(chǎn)納管提供信息基礎(chǔ);此外,還可以據(jù)此發(fā)現(xiàn)網(wǎng)絡(luò)中存在的隱匿非法資產(chǎn),為及時處理提供便利。網(wǎng)絡(luò)資產(chǎn)探測是實現(xiàn)數(shù)據(jù)治理的重要前提之一, 在數(shù)據(jù)安全相關(guān)工作中具有應(yīng)用價值。

  從探測基礎(chǔ)數(shù)據(jù)的來源角度進行分類,網(wǎng)絡(luò)資產(chǎn)探測主要分為主動探測和被動探測。本文將重點介紹目前網(wǎng)絡(luò)資產(chǎn)主動探測。

  02 基于高速網(wǎng)絡(luò)掃描的主動探測

  主動探測方法,主要應(yīng)用多樣的高速網(wǎng)絡(luò)掃描技術(shù),如主機存活檢測、端口掃描和服務(wù)鑒別等技術(shù),通過主動向目標網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的探測數(shù)據(jù)包,并從返回的響應(yīng)數(shù)據(jù)包的相關(guān)信息中提取目標特征,與內(nèi)置特征庫中的特征指紋進行匹配,來實現(xiàn)對操作系統(tǒng)、開放端口、服務(wù)應(yīng)用類型和版本的探測。

  03 主機存活檢測

  企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu),一般分為二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)。二層網(wǎng)絡(luò)僅僅通過MAC尋址即可實現(xiàn)通訊,而三層網(wǎng)絡(luò)通信需要經(jīng)過路由器轉(zhuǎn)發(fā),則必須通過IP路由才能實現(xiàn)跨網(wǎng)段的通信。

  基于ARP協(xié)議

  如果掃描探針與檢測目標處于同一網(wǎng)段的二層網(wǎng)絡(luò)當中,那么使用地址解析協(xié)議(ARP)掃描技術(shù)是很好的選擇。該方法速度快,掃描結(jié)果精準,且通常不會有安全措施用于阻止正常的ARP數(shù)據(jù)包,掃描被干擾的可能性小。但當掃描探針與檢測目標處于不同網(wǎng)段,屬于三層網(wǎng)絡(luò)的不同子域時,則應(yīng)考慮使用其他協(xié)議。

  基于ICMP協(xié)議

  為了發(fā)現(xiàn)和處理網(wǎng)絡(luò)中的各種錯誤,誕生了互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)。這種協(xié)議同樣是屬于TCP/IP協(xié)議簇的一個子協(xié)議,其是網(wǎng)絡(luò)層中的重要成員,可以用于在IP主機、路由器之間傳遞控制消息。ICMP協(xié)議數(shù)據(jù)報文有很多種類,但總體可分為查詢報文和差錯報告報文。其中,查詢報文是用一對請求和應(yīng)答定義的,也就是說,主機A可以向主機B發(fā)送ICMP數(shù)據(jù)包查詢信息,主機B在接收到該數(shù)據(jù)包后會給出應(yīng)答。故通過ICMP查詢報文,即可進行主機存活檢測。

  ICMP的響應(yīng)請求和應(yīng)答可以用來測試發(fā)送和接收兩端鏈路及目標主機TCP/IP協(xié)議是否正常,其在當前最常見的實踐應(yīng)用即是ping命令。然而,由于許多網(wǎng)絡(luò)設(shè)備的防火墻可能配置禁止該類ICMP報文,故主機掃描可能被阻斷。另尋他法,ICMP查詢報文,除了響應(yīng)請求和應(yīng)答外,還包括時間戳請求和應(yīng)答、地址掩碼請求和應(yīng)答等,因此,還可以選擇構(gòu)造這些類型的ICMP數(shù)據(jù)包進行探測掃描。

  微信圖片_20221110133001.jpg

  ICMP報文種類

  基于TCP協(xié)議

  傳輸控制協(xié)議(TCP)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。建立完整的TCP會話,需要完成三次握手過程,這個過程既耗資源又耗時,所以在高速網(wǎng)絡(luò)掃描技術(shù)中不會完成整個三次握手,而是僅僅發(fā)送SYN或ACK數(shù)據(jù)包的半連接掃描。對于TCP SYN掃描,在得到響應(yīng)后發(fā)送RST包終止握手;對于TCP ACK掃描,則由被檢測主機返回RST包?;赥CP存活主機發(fā)現(xiàn)技術(shù),結(jié)果可靠性較高,但是其建立于傳輸層通信,故必須指定端口,限制了使用范圍。

  微信圖片_20221110133004.jpg

  TCP三次握手過程

  基于UDP協(xié)議

  用戶數(shù)據(jù)報協(xié)議(UDP)和TCP類似,也是一種傳輸層協(xié)議。然而和TCP協(xié)議相比,UDP是一種無連接的協(xié)議,它不能和TCP探測那樣依賴于建立連接的過程,而是只能通過是否存在端口關(guān)閉網(wǎng)絡(luò)不可達時返回的ICMP報文來判斷。此外,由于UDP是無連接不可靠的,對于沒有ICMP報文返回的端口也無法準確判斷是通信成功還是數(shù)據(jù)包丟失,故其掃描結(jié)果的可靠性也相對較低。

  04 端口掃描和服務(wù)鑒別

  端口掃描是服務(wù)鑒別的基礎(chǔ)和前提,在探測流程中,先進行端口存活掃描,可以排除關(guān)閉的和不可通信端口,縮小后續(xù)執(zhí)行服務(wù)版本檢測的規(guī)模,提高探測效率。

  端口掃描其是建立在傳輸層協(xié)議之上的,根據(jù)具體協(xié)議,可以劃分為TCP端口掃描和UDP端口掃描。在端口掃描中,最流行的TCP端口掃描技術(shù)依然是TCP半連接方法,如TCP SYN,通過向目標端口發(fā)送SYN包請求連接,目標接收到SYN包后響應(yīng)SYN/ACK包,探測主機接收到響應(yīng)后用RST包終止握手。

  微信圖片_20221110133006.jpg

  TCP SYN半連接

  在完成端口掃描后,可以嘗試與端口建立完整TCP連接進行服務(wù)類型和版本探測。通常情況下,與服務(wù)端口建立連接后,數(shù)秒時間內(nèi),服務(wù)會返回Banner歡迎信息,通過將Banner信息與服務(wù)特征指紋庫中的特征指紋進行匹配,就可以鑒別并提取該端口對應(yīng)服務(wù)的類型和版本信息,這個過程一般被稱為null probe。如果null probe未能成功匹配服務(wù),則可繼續(xù)按照指定順序發(fā)送多種預(yù)先構(gòu)造好的探測包,并利用響應(yīng)數(shù)據(jù)和特征指紋進行匹配,直到全部匹配結(jié)束。

  05 結(jié)語

  網(wǎng)絡(luò)資產(chǎn)主動探測的優(yōu)點是對探測目標更具有針對性,可以通過定制構(gòu)造探測包對其進行探測,準確率高,探針部署也更加靈活。但其也有一定的局限性,探測目標可能會針對部分常見的探測包請求進行過濾,使得無法準確識別;此外,主動探測會產(chǎn)生額外的探測流量,會在一定程度上增加網(wǎng)絡(luò)負載,或多或少會擾動網(wǎng)絡(luò)的當前狀態(tài),導致探測結(jié)果出現(xiàn)偏差。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。