近年來,，以計(jì)算機(jī)系統(tǒng)為代表的信息系統(tǒng)建設(shè)蓬勃發(fā)展,，各種新型的信息技術(shù)層出不窮,；同時(shí),，后疫情時(shí)代受不確定的疫情波動(dòng)影響,，企業(yè)的線下發(fā)展明顯失速,，數(shù)字化,、線上化,、云化成為很多企業(yè)保持增速的解決方案,。依托于“云大移智”等新型信息技術(shù)實(shí)現(xiàn)數(shù)字化賦能,，企業(yè)正在加快數(shù)字平臺(tái)建設(shè)和應(yīng)用，數(shù)據(jù)成為驅(qū)動(dòng)企業(yè)發(fā)展的重要生產(chǎn)要素,。

　　當(dāng)數(shù)據(jù)成為企業(yè)最重要的核心資產(chǎn)之一,，意味著企業(yè)必須重視并具備數(shù)據(jù)安全保護(hù)能力，因?yàn)槲ㄓ袛?shù)據(jù)完整,、清晰,、安全和可靠，才能為企業(yè)產(chǎn)生有效價(jià)值,。數(shù)據(jù)安全治理或防護(hù)首先依托于數(shù)據(jù)資產(chǎn)梳理,，而數(shù)據(jù)資產(chǎn)梳理則依托于數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)。數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)中必然擁有存儲(chǔ)的載體,，如數(shù)據(jù)庫(kù),、文件系統(tǒng)等，而伴隨數(shù)字化進(jìn)程,，企業(yè)的數(shù)據(jù)資產(chǎn)散落于各種網(wǎng)絡(luò)中,，成為數(shù)據(jù)泄露的風(fēng)險(xiǎn)點(diǎn),；而伴隨著時(shí)間流逝，被遺棄或遺忘在網(wǎng)絡(luò)中的數(shù)據(jù)載體將成為最大的隱患,。故數(shù)據(jù)資產(chǎn)發(fā)現(xiàn),，首先步驟就是探測(cè)發(fā)現(xiàn)存儲(chǔ)數(shù)據(jù)的網(wǎng)絡(luò)資產(chǎn)。本文在此介紹當(dāng)前網(wǎng)絡(luò)資產(chǎn)探測(cè)的常用方法和技術(shù),，并對(duì)其優(yōu)缺點(diǎn)做簡(jiǎn)要?dú)w納,。

　　01 網(wǎng)絡(luò)資產(chǎn)探測(cè)

　　網(wǎng)絡(luò)資產(chǎn)探測(cè)通常是指追蹤發(fā)現(xiàn)和分析掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。通過網(wǎng)絡(luò)資產(chǎn)探測(cè),，能夠幫助企業(yè)組織梳理網(wǎng)絡(luò)中當(dāng)前存活的數(shù)據(jù)存儲(chǔ)應(yīng)用和服務(wù),，為數(shù)據(jù)治理資產(chǎn)納管提供信息基礎(chǔ)；此外,，還可以據(jù)此發(fā)現(xiàn)網(wǎng)絡(luò)中存在的隱匿非法資產(chǎn),，為及時(shí)處理提供便利。網(wǎng)絡(luò)資產(chǎn)探測(cè)是實(shí)現(xiàn)數(shù)據(jù)治理的重要前提之一,， 在數(shù)據(jù)安全相關(guān)工作中具有應(yīng)用價(jià)值,。

　　從探測(cè)基礎(chǔ)數(shù)據(jù)的來源角度進(jìn)行分類，網(wǎng)絡(luò)資產(chǎn)探測(cè)主要分為主動(dòng)探測(cè)和被動(dòng)探測(cè),。本文將重點(diǎn)介紹目前網(wǎng)絡(luò)資產(chǎn)主動(dòng)探測(cè),。

　　02 基于高速網(wǎng)絡(luò)掃描的主動(dòng)探測(cè)

　　主動(dòng)探測(cè)方法，主要應(yīng)用多樣的高速網(wǎng)絡(luò)掃描技術(shù),，如主機(jī)存活檢測(cè),、端口掃描和服務(wù)鑒別等技術(shù)，通過主動(dòng)向目標(biāo)網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的探測(cè)數(shù)據(jù)包,，并從返回的響應(yīng)數(shù)據(jù)包的相關(guān)信息中提取目標(biāo)特征,，與內(nèi)置特征庫(kù)中的特征指紋進(jìn)行匹配，來實(shí)現(xiàn)對(duì)操作系統(tǒng),、開放端口,、服務(wù)應(yīng)用類型和版本的探測(cè)。

　　03 主機(jī)存活檢測(cè)

　　企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),，一般分為二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò),。二層網(wǎng)絡(luò)僅僅通過MAC尋址即可實(shí)現(xiàn)通訊，而三層網(wǎng)絡(luò)通信需要經(jīng)過路由器轉(zhuǎn)發(fā),，則必須通過IP路由才能實(shí)現(xiàn)跨網(wǎng)段的通信,。

　　基于ARP協(xié)議

　　如果掃描探針與檢測(cè)目標(biāo)處于同一網(wǎng)段的二層網(wǎng)絡(luò)當(dāng)中，那么使用地址解析協(xié)議（ARP）掃描技術(shù)是很好的選擇,。該方法速度快,，掃描結(jié)果精準(zhǔn)，且通常不會(huì)有安全措施用于阻止正常的ARP數(shù)據(jù)包，掃描被干擾的可能性小,。但當(dāng)掃描探針與檢測(cè)目標(biāo)處于不同網(wǎng)段,，屬于三層網(wǎng)絡(luò)的不同子域時(shí),，則應(yīng)考慮使用其他協(xié)議,。

　　基于ICMP協(xié)議

　　為了發(fā)現(xiàn)和處理網(wǎng)絡(luò)中的各種錯(cuò)誤，誕生了互聯(lián)網(wǎng)控制報(bào)文協(xié)議（ICMP）,。這種協(xié)議同樣是屬于TCP/IP協(xié)議簇的一個(gè)子協(xié)議,，其是網(wǎng)絡(luò)層中的重要成員，可以用于在IP主機(jī),、路由器之間傳遞控制消息,。ICMP協(xié)議數(shù)據(jù)報(bào)文有很多種類，但總體可分為查詢報(bào)文和差錯(cuò)報(bào)告報(bào)文,。其中,，查詢報(bào)文是用一對(duì)請(qǐng)求和應(yīng)答定義的，也就是說,，主機(jī)A可以向主機(jī)B發(fā)送ICMP數(shù)據(jù)包查詢信息,，主機(jī)B在接收到該數(shù)據(jù)包后會(huì)給出應(yīng)答。故通過ICMP查詢報(bào)文,，即可進(jìn)行主機(jī)存活檢測(cè),。

　　ICMP的響應(yīng)請(qǐng)求和應(yīng)答可以用來測(cè)試發(fā)送和接收兩端鏈路及目標(biāo)主機(jī)TCP/IP協(xié)議是否正常，其在當(dāng)前最常見的實(shí)踐應(yīng)用即是ping命令,。然而,，由于許多網(wǎng)絡(luò)設(shè)備的防火墻可能配置禁止該類ICMP報(bào)文，故主機(jī)掃描可能被阻斷,。另尋他法,，ICMP查詢報(bào)文，除了響應(yīng)請(qǐng)求和應(yīng)答外,，還包括時(shí)間戳請(qǐng)求和應(yīng)答,、地址掩碼請(qǐng)求和應(yīng)答等，因此,，還可以選擇構(gòu)造這些類型的ICMP數(shù)據(jù)包進(jìn)行探測(cè)掃描,。

　　ICMP報(bào)文種類

　　基于TCP協(xié)議

　　傳輸控制協(xié)議（TCP）是一種面向連接的、可靠的,、基于字節(jié)流的傳輸層通信協(xié)議,。建立完整的TCP會(huì)話，需要完成三次握手過程,，這個(gè)過程既耗資源又耗時(shí),，所以在高速網(wǎng)絡(luò)掃描技術(shù)中不會(huì)完成整個(gè)三次握手，而是僅僅發(fā)送SYN或ACK數(shù)據(jù)包的半連接掃描。對(duì)于TCP SYN掃描,，在得到響應(yīng)后發(fā)送RST包終止握手,；對(duì)于TCP ACK掃描，則由被檢測(cè)主機(jī)返回RST包,?；赥CP存活主機(jī)發(fā)現(xiàn)技術(shù)，結(jié)果可靠性較高,，但是其建立于傳輸層通信,，故必須指定端口，限制了使用范圍,。

　　TCP三次握手過程

　　基于UDP協(xié)議

　　用戶數(shù)據(jù)報(bào)協(xié)議（UDP）和TCP類似,，也是一種傳輸層協(xié)議。然而和TCP協(xié)議相比,，UDP是一種無連接的協(xié)議,，它不能和TCP探測(cè)那樣依賴于建立連接的過程，而是只能通過是否存在端口關(guān)閉網(wǎng)絡(luò)不可達(dá)時(shí)返回的ICMP報(bào)文來判斷,。此外,，由于UDP是無連接不可靠的，對(duì)于沒有ICMP報(bào)文返回的端口也無法準(zhǔn)確判斷是通信成功還是數(shù)據(jù)包丟失,，故其掃描結(jié)果的可靠性也相對(duì)較低,。

　　04 端口掃描和服務(wù)鑒別

　　端口掃描是服務(wù)鑒別的基礎(chǔ)和前提，在探測(cè)流程中,，先進(jìn)行端口存活掃描,，可以排除關(guān)閉的和不可通信端口，縮小后續(xù)執(zhí)行服務(wù)版本檢測(cè)的規(guī)模,，提高探測(cè)效率,。

　　端口掃描其是建立在傳輸層協(xié)議之上的，根據(jù)具體協(xié)議,，可以劃分為TCP端口掃描和UDP端口掃描,。在端口掃描中，最流行的TCP端口掃描技術(shù)依然是TCP半連接方法,，如TCP SYN,，通過向目標(biāo)端口發(fā)送SYN包請(qǐng)求連接，目標(biāo)接收到SYN包后響應(yīng)SYN/ACK包,，探測(cè)主機(jī)接收到響應(yīng)后用RST包終止握手,。

　　TCP SYN半連接

　　在完成端口掃描后，可以嘗試與端口建立完整TCP連接進(jìn)行服務(wù)類型和版本探測(cè),。通常情況下,，與服務(wù)端口建立連接后，數(shù)秒時(shí)間內(nèi)，服務(wù)會(huì)返回Banner歡迎信息,，通過將Banner信息與服務(wù)特征指紋庫(kù)中的特征指紋進(jìn)行匹配,，就可以鑒別并提取該端口對(duì)應(yīng)服務(wù)的類型和版本信息，這個(gè)過程一般被稱為null probe,。如果null probe未能成功匹配服務(wù),，則可繼續(xù)按照指定順序發(fā)送多種預(yù)先構(gòu)造好的探測(cè)包，并利用響應(yīng)數(shù)據(jù)和特征指紋進(jìn)行匹配,，直到全部匹配結(jié)束,。

　　05 結(jié)語(yǔ)

　　網(wǎng)絡(luò)資產(chǎn)主動(dòng)探測(cè)的優(yōu)點(diǎn)是對(duì)探測(cè)目標(biāo)更具有針對(duì)性,，可以通過定制構(gòu)造探測(cè)包對(duì)其進(jìn)行探測(cè),，準(zhǔn)確率高，探針部署也更加靈活,。但其也有一定的局限性,，探測(cè)目標(biāo)可能會(huì)針對(duì)部分常見的探測(cè)包請(qǐng)求進(jìn)行過濾，使得無法準(zhǔn)確識(shí)別,；此外,，主動(dòng)探測(cè)會(huì)產(chǎn)生額外的探測(cè)流量，會(huì)在一定程度上增加網(wǎng)絡(luò)負(fù)載,，或多或少會(huì)擾動(dòng)網(wǎng)絡(luò)的當(dāng)前狀態(tài),，導(dǎo)致探測(cè)結(jié)果出現(xiàn)偏差。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<