近年來,以計算機系統(tǒng)為代表的信息系統(tǒng)建設(shè)蓬勃發(fā)展,各種新型的信息技術(shù)層出不窮;同時,后疫情時代受不確定的疫情波動影響,企業(yè)的線下發(fā)展明顯失速,數(shù)字化、線上化、云化成為很多企業(yè)保持增速的解決方案。依托于“云大移智”等新型信息技術(shù)實現(xiàn)數(shù)字化賦能,企業(yè)正在加快數(shù)字平臺建設(shè)和應(yīng)用,數(shù)據(jù)成為驅(qū)動企業(yè)發(fā)展的重要生產(chǎn)要素。
當數(shù)據(jù)成為企業(yè)最重要的核心資產(chǎn)之一,意味著企業(yè)必須重視并具備數(shù)據(jù)安全保護能力,因為唯有數(shù)據(jù)完整、清晰、安全和可靠,才能為企業(yè)產(chǎn)生有效價值。數(shù)據(jù)安全治理或防護首先依托于數(shù)據(jù)資產(chǎn)梳理,而數(shù)據(jù)資產(chǎn)梳理則依托于數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)。數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)中必然擁有存儲的載體,如數(shù)據(jù)庫、文件系統(tǒng)等,而伴隨數(shù)字化進程,企業(yè)的數(shù)據(jù)資產(chǎn)散落于各種網(wǎng)絡(luò)中,成為數(shù)據(jù)泄露的風險點;而伴隨著時間流逝,被遺棄或遺忘在網(wǎng)絡(luò)中的數(shù)據(jù)載體將成為最大的隱患。故數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),首先步驟就是探測發(fā)現(xiàn)存儲數(shù)據(jù)的網(wǎng)絡(luò)資產(chǎn)。本文在此介紹當前網(wǎng)絡(luò)資產(chǎn)探測的常用方法和技術(shù),并對其優(yōu)缺點做簡要歸納。
01 網(wǎng)絡(luò)資產(chǎn)探測
網(wǎng)絡(luò)資產(chǎn)探測通常是指追蹤發(fā)現(xiàn)和分析掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。通過網(wǎng)絡(luò)資產(chǎn)探測,能夠幫助企業(yè)組織梳理網(wǎng)絡(luò)中當前存活的數(shù)據(jù)存儲應(yīng)用和服務(wù),為數(shù)據(jù)治理資產(chǎn)納管提供信息基礎(chǔ);此外,還可以據(jù)此發(fā)現(xiàn)網(wǎng)絡(luò)中存在的隱匿非法資產(chǎn),為及時處理提供便利。網(wǎng)絡(luò)資產(chǎn)探測是實現(xiàn)數(shù)據(jù)治理的重要前提之一, 在數(shù)據(jù)安全相關(guān)工作中具有應(yīng)用價值。
從探測基礎(chǔ)數(shù)據(jù)的來源角度進行分類,網(wǎng)絡(luò)資產(chǎn)探測主要分為主動探測和被動探測。本文將重點介紹目前網(wǎng)絡(luò)資產(chǎn)主動探測。
02 基于高速網(wǎng)絡(luò)掃描的主動探測
主動探測方法,主要應(yīng)用多樣的高速網(wǎng)絡(luò)掃描技術(shù),如主機存活檢測、端口掃描和服務(wù)鑒別等技術(shù),通過主動向目標網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的探測數(shù)據(jù)包,并從返回的響應(yīng)數(shù)據(jù)包的相關(guān)信息中提取目標特征,與內(nèi)置特征庫中的特征指紋進行匹配,來實現(xiàn)對操作系統(tǒng)、開放端口、服務(wù)應(yīng)用類型和版本的探測。
03 主機存活檢測
企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu),一般分為二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)。二層網(wǎng)絡(luò)僅僅通過MAC尋址即可實現(xiàn)通訊,而三層網(wǎng)絡(luò)通信需要經(jīng)過路由器轉(zhuǎn)發(fā),則必須通過IP路由才能實現(xiàn)跨網(wǎng)段的通信。
基于ARP協(xié)議
如果掃描探針與檢測目標處于同一網(wǎng)段的二層網(wǎng)絡(luò)當中,那么使用地址解析協(xié)議(ARP)掃描技術(shù)是很好的選擇。該方法速度快,掃描結(jié)果精準,且通常不會有安全措施用于阻止正常的ARP數(shù)據(jù)包,掃描被干擾的可能性小。但當掃描探針與檢測目標處于不同網(wǎng)段,屬于三層網(wǎng)絡(luò)的不同子域時,則應(yīng)考慮使用其他協(xié)議。
基于ICMP協(xié)議
為了發(fā)現(xiàn)和處理網(wǎng)絡(luò)中的各種錯誤,誕生了互聯(lián)網(wǎng)控制報文協(xié)議(ICMP)。這種協(xié)議同樣是屬于TCP/IP協(xié)議簇的一個子協(xié)議,其是網(wǎng)絡(luò)層中的重要成員,可以用于在IP主機、路由器之間傳遞控制消息。ICMP協(xié)議數(shù)據(jù)報文有很多種類,但總體可分為查詢報文和差錯報告報文。其中,查詢報文是用一對請求和應(yīng)答定義的,也就是說,主機A可以向主機B發(fā)送ICMP數(shù)據(jù)包查詢信息,主機B在接收到該數(shù)據(jù)包后會給出應(yīng)答。故通過ICMP查詢報文,即可進行主機存活檢測。
ICMP的響應(yīng)請求和應(yīng)答可以用來測試發(fā)送和接收兩端鏈路及目標主機TCP/IP協(xié)議是否正常,其在當前最常見的實踐應(yīng)用即是ping命令。然而,由于許多網(wǎng)絡(luò)設(shè)備的防火墻可能配置禁止該類ICMP報文,故主機掃描可能被阻斷。另尋他法,ICMP查詢報文,除了響應(yīng)請求和應(yīng)答外,還包括時間戳請求和應(yīng)答、地址掩碼請求和應(yīng)答等,因此,還可以選擇構(gòu)造這些類型的ICMP數(shù)據(jù)包進行探測掃描。
ICMP報文種類
基于TCP協(xié)議
傳輸控制協(xié)議(TCP)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。建立完整的TCP會話,需要完成三次握手過程,這個過程既耗資源又耗時,所以在高速網(wǎng)絡(luò)掃描技術(shù)中不會完成整個三次握手,而是僅僅發(fā)送SYN或ACK數(shù)據(jù)包的半連接掃描。對于TCP SYN掃描,在得到響應(yīng)后發(fā)送RST包終止握手;對于TCP ACK掃描,則由被檢測主機返回RST包?;赥CP存活主機發(fā)現(xiàn)技術(shù),結(jié)果可靠性較高,但是其建立于傳輸層通信,故必須指定端口,限制了使用范圍。
TCP三次握手過程
基于UDP協(xié)議
用戶數(shù)據(jù)報協(xié)議(UDP)和TCP類似,也是一種傳輸層協(xié)議。然而和TCP協(xié)議相比,UDP是一種無連接的協(xié)議,它不能和TCP探測那樣依賴于建立連接的過程,而是只能通過是否存在端口關(guān)閉網(wǎng)絡(luò)不可達時返回的ICMP報文來判斷。此外,由于UDP是無連接不可靠的,對于沒有ICMP報文返回的端口也無法準確判斷是通信成功還是數(shù)據(jù)包丟失,故其掃描結(jié)果的可靠性也相對較低。
04 端口掃描和服務(wù)鑒別
端口掃描是服務(wù)鑒別的基礎(chǔ)和前提,在探測流程中,先進行端口存活掃描,可以排除關(guān)閉的和不可通信端口,縮小后續(xù)執(zhí)行服務(wù)版本檢測的規(guī)模,提高探測效率。
端口掃描其是建立在傳輸層協(xié)議之上的,根據(jù)具體協(xié)議,可以劃分為TCP端口掃描和UDP端口掃描。在端口掃描中,最流行的TCP端口掃描技術(shù)依然是TCP半連接方法,如TCP SYN,通過向目標端口發(fā)送SYN包請求連接,目標接收到SYN包后響應(yīng)SYN/ACK包,探測主機接收到響應(yīng)后用RST包終止握手。
TCP SYN半連接
在完成端口掃描后,可以嘗試與端口建立完整TCP連接進行服務(wù)類型和版本探測。通常情況下,與服務(wù)端口建立連接后,數(shù)秒時間內(nèi),服務(wù)會返回Banner歡迎信息,通過將Banner信息與服務(wù)特征指紋庫中的特征指紋進行匹配,就可以鑒別并提取該端口對應(yīng)服務(wù)的類型和版本信息,這個過程一般被稱為null probe。如果null probe未能成功匹配服務(wù),則可繼續(xù)按照指定順序發(fā)送多種預(yù)先構(gòu)造好的探測包,并利用響應(yīng)數(shù)據(jù)和特征指紋進行匹配,直到全部匹配結(jié)束。
05 結(jié)語
網(wǎng)絡(luò)資產(chǎn)主動探測的優(yōu)點是對探測目標更具有針對性,可以通過定制構(gòu)造探測包對其進行探測,準確率高,探針部署也更加靈活。但其也有一定的局限性,探測目標可能會針對部分常見的探測包請求進行過濾,使得無法準確識別;此外,主動探測會產(chǎn)生額外的探測流量,會在一定程度上增加網(wǎng)絡(luò)負載,或多或少會擾動網(wǎng)絡(luò)的當前狀態(tài),導致探測結(jié)果出現(xiàn)偏差。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<