借助網(wǎng)絡分析系統(tǒng)測試網(wǎng)絡的安全性.docx

借助網(wǎng)絡分析系統(tǒng)測試網(wǎng)絡的安全性1.1. 前言一般情況下，大多數(shù)公司或企業(yè)，都部署有IDS入侵檢測系統(tǒng)，同時通過IDS對網(wǎng)絡的安全狀況進行監(jiān)控。當網(wǎng)絡中出現(xiàn)攻擊行為時，IDS會自動進行告警。雖然IDS目前在網(wǎng)絡中應用非常廣泛，但它存在兩個非常大的不足。IDS只能對網(wǎng)絡中正在進行的攻擊行為進行監(jiān)控，對于潛伏在網(wǎng)絡中的攻擊行為，IDS無能為力。IDS只能匹配規(guī)則庫中存在的攻擊行為，對于規(guī)則庫中不存在的新型攻擊、變種攻擊，IDS不能對其進行識別和告警。由于網(wǎng)絡中的攻擊行為復雜多變，且IDS存在不足，為全面了解網(wǎng)絡的安全狀況，我們必須找到另一種更加合理的解決方案。這里，我們提出一種通過網(wǎng)絡分析系統(tǒng)對網(wǎng)絡進行安全性測試的思路，僅供大家探討。PS：1、本文僅討論使用網(wǎng)絡分析系統(tǒng)對網(wǎng)絡進行的安全測試。2、文中使用的網(wǎng)絡分析系統(tǒng)是“科來網(wǎng)絡分析系統(tǒng)2010”。1.2. 安裝部署及抓包1. 安裝部署測試之前，我們需要先進行正確的安裝部署。n 將科來網(wǎng)絡分析系統(tǒng)安裝到分析用的機器上。n 將安裝科來的機器連接到交換機的鏡像端口上。一般情況下對全網(wǎng)進行測試，則將分析用的機器連接到核心交換機的鏡像端口；如果只需要對某個部門進行測試，則將分析用的機器連接到該部門交換機鏡像端口。n 在相應交換機上，配置好端口鏡像或流鏡像。配置好后，可登錄交換機，使用show int 或dis int 之類的命令，查看端口的流量情況，如果端口流量較大，說明配置成功，反之則可能配置有問題。2. 捕獲數(shù)據(jù)包正確部署后，即開始捕獲網(wǎng)絡中的通訊內(nèi)容，具體步驟如下：n 啟動科來網(wǎng)絡分析系統(tǒng)2010。n 選擇正確的網(wǎng)卡。如果機器上有多個網(wǎng)卡，請確保選擇的是連接交換機鏡像端口的網(wǎng)卡。n 選擇恰當?shù)姆治龇桨覆ζ溥M行編輯，根據(jù)實際情況調整數(shù)據(jù)包緩存的大小，建議設置不超過300M。由于我們這兒做的是安全測試，所以選擇“安全分析”方案。n 網(wǎng)絡檔案使用默認即可，其它不進行設置，選擇好后開始頁面如下圖。一切就緒后，點擊開始頁右下角的開始捕獲。注意：系統(tǒng)支持的分析方式有實時分析和回放分析。如果是對網(wǎng)絡進行實時抓包分析，選擇“實時分析”；如果是對已經(jīng)保存好的數(shù)據(jù)包進行分析，選擇“回放分析”。（系統(tǒng)默認情況下選中的是實時分析。）（圖1 科來網(wǎng)絡分析系統(tǒng)開始頁）1.3. 詳細分析進行安全分析時，建議抓取數(shù)據(jù)的時間稍長，最好不要低于10分鐘，這樣可以得出的測試結果將會更有說服力。測試后的分析主要從攻擊行為和安全隱患兩個方面進行。1. 攻擊行為分析從科來網(wǎng)絡分析系統(tǒng)2010的多個與安全相關的視圖，查看網(wǎng)絡中是否存在攻擊行為。n ARP攻擊如圖2所示，如果網(wǎng)絡中存在ARP攻擊，“疑似ARP攻擊分析“視圖會自動分析出ARP攻擊的源地址，同時下面有詳細的物理會話信息，雙擊物理會話的下面的條目，系統(tǒng)會繼續(xù)分析具體的攻擊數(shù)據(jù)包。同時，ARP攻擊分析，也可以直接在診斷視圖中查看。（圖2 疑似ARP攻擊分析）n 蠕蟲病毒當網(wǎng)絡中存在蠕蟲病毒泛濫的情況時，系統(tǒng)會自動對其進行分析，并準確定位已經(jīng)被感染蠕蟲病毒的主機。圖3所示的疑似蠕蟲病毒分析視圖，會自動顯示出感染的主機，并將感染主機的詳細信息，如流量、數(shù)據(jù)包、發(fā)送數(shù)據(jù)包、接收數(shù)據(jù)包、IP會話、TCP會話、原始數(shù)據(jù)包等進行顯示。（圖3 蠕蟲病毒分析）n DOS攻擊針對網(wǎng)絡中的DOS攻擊分析，系統(tǒng)可以檢測出正在進行的主動DOS攻擊行為，以及正在遭受DOS攻擊的情況，如圖4所示。疑似DOS攻擊分析視圖列出了可能正在進行DOS攻擊的主機，疑似受到DOS攻擊分析視圖列出了可能正在遭受DOS攻擊的主機，兩個視圖對這些主機的流量、發(fā)包、收包、會話、原始數(shù)據(jù)包等詳細信息進行詳細統(tǒng)計。（圖4 DOS攻擊分析）n TCP端口掃描TCP端口掃描一般情況是后續(xù)攻擊的前奏，系統(tǒng)的TCP端口掃描視圖，可以對網(wǎng)絡中的TCP端口掃描行為，進行準確檢測 和定位，如圖5所示。（圖5 TCP端口掃描）2. 安全隱患分析此處的安全隱患，包括設備管理安全隱患、電子郵件安全隱患、FTP文件傳輸安全隱患。n 設備管理安全隱患通常情況下，管理人員對已經(jīng)投入使用的網(wǎng)絡設備（交換機、路由器等）、安全設備（防火墻、UTM、IDS/IPS等）的管理，一般使用的方式有Web（HTTP，HTTPS）和命令行（Telnet，SSH）。這其中，HTTPS和SSH是加密協(xié)議，通過這兩種方式的管理相對安全，但HTTP和Telnet則是明文傳輸協(xié)議，如果使用這兩種方式進行設備管理，則存在巨大的安全隱患。備注：大部分的設備都還支持一種Console調試，使用這種方式時，管理人員必須到達設備的物理位置，使用Console線連接進行操作，一般僅在初步調試設備時使用。正常投入網(wǎng)絡使用的設備，很少采用這種方式。HTTP明文傳輸隱患查找：節(jié)點瀏覽器中選擇HTTP協(xié)議，右邊選擇TCP會話視圖，查看與網(wǎng)絡中設備進行通訊的TCP會話信息。如網(wǎng)絡中設備地址是192.168.8.1，則查看與192.168.8.1通訊的會話，并查看下面的數(shù)據(jù)流信息，如圖6，找到用戶名和密碼均是admin的明文傳輸。（圖6 HTTP明文傳輸）Telnet明文傳輸隱患查找：節(jié)點瀏覽器中選擇Telnet協(xié)議，右邊選擇TCP會話視圖，查看與網(wǎng)絡中設備進行通訊的TCP會話信息。與HTTP明文傳輸方法一致，即可找到網(wǎng)絡中使用Telnet的明文傳輸。3. 電子郵件安全隱患現(xiàn)在，使用Outlook和Foxmail進行電子郵件收發(fā)的用戶較多，默認情況下，這兩種協(xié)議都是明文傳輸，存在電子郵件安全隱患。查找明文郵件密碼：節(jié)點瀏覽器中選擇SMTP和POP3協(xié)議（一次只能選擇一個），右邊選擇TCP會話視圖，查看下面的電子郵件會話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)挠脩裘兔艽a，如圖7。（圖7 電子郵件明文密碼）查找明文郵件內(nèi)容：節(jié)點瀏覽器中選擇SMTP和POP3協(xié)議（一次只能選擇一個），右邊選擇日志->Email信息，查看郵件的通訊情況，可以查找明文傳輸?shù)泥]件通訊情況，如圖8。（圖8 電子郵件明文傳輸）4. FTP文件傳輸安全隱患默認情況下，通過CMD窗口、瀏覽器窗口、部分FTP客戶端等方式的FTP訪問，都是明文傳輸，存在巨大的安全隱患。查找FTP明文密碼：節(jié)點瀏覽器中選擇FTP協(xié)議，右邊選擇TCP會話視圖，查看下面的FTP會話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)腇TP用戶名和密碼，如圖9。（圖9 FTP明文密碼）查找FTP明文內(nèi)容：節(jié)點瀏覽器中選擇根節(jié)點，右邊選擇日志->FTP傳輸，可以查看到網(wǎng)絡中使用明文進行的FTP文件傳輸情況，如圖10。（圖10 FTP明文傳輸）1.4. 分析結論通過上述的抓包和測試分析，可以對網(wǎng)絡的安全情況進行全面體驗，讓管理人員知道網(wǎng)絡的當前安全狀況，以及網(wǎng)絡中是否存在潛在的安全隱患，從而有效確保網(wǎng)絡的安全。所以，使用網(wǎng)絡分析系統(tǒng)，從宏觀上對網(wǎng)絡的安全性進行測試，是網(wǎng)絡安全整體防御體系中必不可少的一部分，是當前網(wǎng)絡安全防護狀態(tài)的必要補充。