被动网络信息收集和分析技术研究.docVIP

被动网络信息收集和分析技术研究 　　摘 要：网络安全的关键问题是对受保护网络的全面了解。网络管理员可以通过使用嗅探器被动地监听网络通信而得到主动扫描网络所获得的大部分信息。介绍了如何在不影响网络带宽和网络服务的前提下使用被动信息收集技术获得有关网络信息的方法，给出了数据包的分析过程，讨论了被动信息收集技术的优点和不足。?? 　　关键词：网络安全；被动信息收集；嗅探；数据包；数据包分析?? 　　中图法分类号：TP393.08文献标识码：A 　　文章编号：1001―3695(2007)02―0308―02 　　为了有效地保证网络安全，网络管理人员必须了解网络的状态，掌握网络中发生的各种事件，达到监控的目的。传统的网络安全设备已能做到对网络进行实时监控，但这些设备不足之处比较明显，如入侵监测系统关心网络行为的特征，而对网络设备的情况几乎一无所知。安全扫描器可以对网络安全状态作出很好的描述，但这种主动探测会在网络中产生大量的通信，可能会加重网络的载荷。?? 　　被动网络信息收集与分析技术通过嗅探获取数据包，分析封装在数据包中的信息，发现网络中非正常活动以及设备状态等安全特性。该技术克服了入侵检测和安全扫描器的不足，不影响网络带宽和网络服务，隐蔽性好。本文介绍了被动探测技术获得有关网络信息的方法，给出了数据包的分析过程。?? 　　 　　1 被动信息收集与分析的基本方法?? 　　 　　被动探测技术收集的信息可以大致分为两类，即配置信息和状态信息。表1列出了被动探测技术可以收集到的信息。使用被动探测技术可以发现活动主机、识别操作系统[1,2]、探测IP主机配置、探测交换机和路由器等。?? 　　1.1 活动主机探测?? 　　通过监听局域网中ARP广播请求，可以获得活动主机IP地址的列表以及它们相应的硬件地址，从而识别直接连接在局域网上活动的IPv4主机，发现某台主机重新启动的行为。如果在一个很短的时间间隔内监听到大量源于同一台主机的毫无必要的 ARP数据包，则网络中可能存在某些安全问题[3]。?? 　　1.2 IP主机配置探测?? 　　可以通过被动探测技术推断IP地址的子网掩码从而判断出网络中的指定网关，这些信息有助于识别网络中配置错误的系统。可以通过监听ARP通信来确定一台IPv4主机的子网掩码：记录某台主机的ARP通信中出现过的所有IP地址（即主机试图解析的IP地址），找出其中最大的地址和最小的地址，对这两个地址按位比较，寻找相同的前缀。举个例子来说明这种方法。假设将一个B类地址的IPv4网络划分为多个子网，其中一个子网的IP地址范围是128.1.64.0―128.1.127.255。这个子网中IP地址的网络掩码为255.255.192.0（或以二进制形式记1111111100000000）。假设我们监听到某台主机ARP通信中出现的最大和最小IP地址分别为128.1.65.3和128.1.95.66。这两个IP地址的二进制记法00000001000000110000000101000010。下划线标明了两个地址前缀中相同的位。由此可以推断该网络的网络掩码1111111100000000，也就是255.255.224.0。这个值超过了实际的子网掩码值。当监听记录的最大和最小IP地址接近于子网掩码划定的网络实际地址界限时，可以获得较准确的估计值。?? 　　在基于微软系统的网络中，主机会有规律地向子网广播发送NetBIOS名字服务数据包。就上面的例子来说，IP地址为128.1.65.3的主机会有规律地向广播地址128.1.127.255发送基于NetBIOS-NS的数据包。这样使得确定子网掩码的任务变得简单，因为我们可以准确地得到子网地址的上限，即最大的IP地址。因此，可以提高推断结果的精确度。?? 　　1.3 交换机和路由器探测?? 　　在动态环境中被动地探测交换机和路由器等设备，可以有效地识别新加入网络的未授权设备。一种方法是监听这些设备产生的通信。路由器之间与交换机之间的通信有专用的协议，如监听生成树算法（STP）[4]的通信可以确定交换机的物理地址。监听路由器之间专用协议的通信，如在IP协议中实现的最短路径优先协议OSPF，或一些只能来自路由器（或提供路由服务的主机）的ICMP消息，如ICMP主机或网络不可达错误消息，ICMP重定向消息等可以获得有关路由器的信息。另一种方法是记录物理地址与IP地址的绑定。在数据链路层上，非本地源IP地址的数据包，其源物理地址可以被认为是路由器的物理地址。在已知本地所有主机IP地址范围的情况下，路由器的IP地址可