《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 淺談網絡資產探測技術與常用方法

淺談網絡資產探測技術與常用方法

2022-11-10
來源:安全牛
關鍵詞: 網絡資產 探測

  近年來,以計算機系統(tǒng)為代表的信息系統(tǒng)建設蓬勃發(fā)展,各種新型的信息技術層出不窮,;同時,后疫情時代受不確定的疫情波動影響,,企業(yè)的線下發(fā)展明顯失速,數字化,、線上化,、云化成為很多企業(yè)保持增速的解決方案。依托于“云大移智”等新型信息技術實現數字化賦能,,企業(yè)正在加快數字平臺建設和應用,,數據成為驅動企業(yè)發(fā)展的重要生產要素。

  當數據成為企業(yè)最重要的核心資產之一,,意味著企業(yè)必須重視并具備數據安全保護能力,,因為唯有數據完整、清晰,、安全和可靠,,才能為企業(yè)產生有效價值。數據安全治理或防護首先依托于數據資產梳理,,而數據資產梳理則依托于數據資產發(fā)現,。數據在企業(yè)網絡中必然擁有存儲的載體,如數據庫,、文件系統(tǒng)等,,而伴隨數字化進程,,企業(yè)的數據資產散落于各種網絡中,成為數據泄露的風險點,;而伴隨著時間流逝,,被遺棄或遺忘在網絡中的數據載體將成為最大的隱患。故數據資產發(fā)現,,首先步驟就是探測發(fā)現存儲數據的網絡資產,。本文在此介紹當前網絡資產探測的常用方法和技術,并對其優(yōu)缺點做簡要歸納,。

  01 網絡資產探測

  網絡資產探測通常是指追蹤發(fā)現和分析掌握網絡資產情況的過程,。通過網絡資產探測,能夠幫助企業(yè)組織梳理網絡中當前存活的數據存儲應用和服務,,為數據治理資產納管提供信息基礎,;此外,還可以據此發(fā)現網絡中存在的隱匿非法資產,,為及時處理提供便利。網絡資產探測是實現數據治理的重要前提之一,, 在數據安全相關工作中具有應用價值,。

  從探測基礎數據的來源角度進行分類,網絡資產探測主要分為主動探測和被動探測,。本文將重點介紹目前網絡資產主動探測,。

  02 基于高速網絡掃描的主動探測

  主動探測方法,主要應用多樣的高速網絡掃描技術,,如主機存活檢測,、端口掃描和服務鑒別等技術,通過主動向目標網絡資產發(fā)送構造的探測數據包,,并從返回的響應數據包的相關信息中提取目標特征,,與內置特征庫中的特征指紋進行匹配,來實現對操作系統(tǒng),、開放端口,、服務應用類型和版本的探測。

  03 主機存活檢測

  企業(yè)的網絡拓撲結構,,一般分為二層網絡和三層網絡,。二層網絡僅僅通過MAC尋址即可實現通訊,而三層網絡通信需要經過路由器轉發(fā),,則必須通過IP路由才能實現跨網段的通信,。

  基于ARP協議

  如果掃描探針與檢測目標處于同一網段的二層網絡當中,那么使用地址解析協議(ARP)掃描技術是很好的選擇,。該方法速度快,,掃描結果精準,,且通常不會有安全措施用于阻止正常的ARP數據包,掃描被干擾的可能性小,。但當掃描探針與檢測目標處于不同網段,,屬于三層網絡的不同子域時,則應考慮使用其他協議,。

  基于ICMP協議

  為了發(fā)現和處理網絡中的各種錯誤,,誕生了互聯網控制報文協議(ICMP)。這種協議同樣是屬于TCP/IP協議簇的一個子協議,,其是網絡層中的重要成員,,可以用于在IP主機、路由器之間傳遞控制消息,。ICMP協議數據報文有很多種類,,但總體可分為查詢報文和差錯報告報文。其中,,查詢報文是用一對請求和應答定義的,,也就是說,主機A可以向主機B發(fā)送ICMP數據包查詢信息,,主機B在接收到該數據包后會給出應答,。故通過ICMP查詢報文,即可進行主機存活檢測,。

  ICMP的響應請求和應答可以用來測試發(fā)送和接收兩端鏈路及目標主機TCP/IP協議是否正常,,其在當前最常見的實踐應用即是ping命令。然而,,由于許多網絡設備的防火墻可能配置禁止該類ICMP報文,,故主機掃描可能被阻斷。另尋他法,,ICMP查詢報文,,除了響應請求和應答外,還包括時間戳請求和應答,、地址掩碼請求和應答等,,因此,還可以選擇構造這些類型的ICMP數據包進行探測掃描,。

  微信圖片_20221110133001.jpg

  ICMP報文種類

  基于TCP協議

  傳輸控制協議(TCP)是一種面向連接的,、可靠的、基于字節(jié)流的傳輸層通信協議,。建立完整的TCP會話,,需要完成三次握手過程,這個過程既耗資源又耗時,,所以在高速網絡掃描技術中不會完成整個三次握手,,而是僅僅發(fā)送SYN或ACK數據包的半連接掃描,。對于TCP SYN掃描,在得到響應后發(fā)送RST包終止握手,;對于TCP ACK掃描,,則由被檢測主機返回RST包?;赥CP存活主機發(fā)現技術,,結果可靠性較高,但是其建立于傳輸層通信,,故必須指定端口,,限制了使用范圍。

  微信圖片_20221110133004.jpg

  TCP三次握手過程

  基于UDP協議

  用戶數據報協議(UDP)和TCP類似,,也是一種傳輸層協議,。然而和TCP協議相比,UDP是一種無連接的協議,,它不能和TCP探測那樣依賴于建立連接的過程,,而是只能通過是否存在端口關閉網絡不可達時返回的ICMP報文來判斷。此外,,由于UDP是無連接不可靠的,,對于沒有ICMP報文返回的端口也無法準確判斷是通信成功還是數據包丟失,故其掃描結果的可靠性也相對較低,。

  04 端口掃描和服務鑒別

  端口掃描是服務鑒別的基礎和前提,在探測流程中,,先進行端口存活掃描,,可以排除關閉的和不可通信端口,縮小后續(xù)執(zhí)行服務版本檢測的規(guī)模,,提高探測效率,。

  端口掃描其是建立在傳輸層協議之上的,根據具體協議,,可以劃分為TCP端口掃描和UDP端口掃描,。在端口掃描中,最流行的TCP端口掃描技術依然是TCP半連接方法,,如TCP SYN,,通過向目標端口發(fā)送SYN包請求連接,目標接收到SYN包后響應SYN/ACK包,,探測主機接收到響應后用RST包終止握手,。

  微信圖片_20221110133006.jpg

  TCP SYN半連接

  在完成端口掃描后,可以嘗試與端口建立完整TCP連接進行服務類型和版本探測,。通常情況下,,與服務端口建立連接后,,數秒時間內,服務會返回Banner歡迎信息,,通過將Banner信息與服務特征指紋庫中的特征指紋進行匹配,,就可以鑒別并提取該端口對應服務的類型和版本信息,這個過程一般被稱為null probe,。如果null probe未能成功匹配服務,,則可繼續(xù)按照指定順序發(fā)送多種預先構造好的探測包,并利用響應數據和特征指紋進行匹配,,直到全部匹配結束,。

  05 結語

  網絡資產主動探測的優(yōu)點是對探測目標更具有針對性,可以通過定制構造探測包對其進行探測,,準確率高,,探針部署也更加靈活。但其也有一定的局限性,,探測目標可能會針對部分常見的探測包請求進行過濾,,使得無法準確識別;此外,,主動探測會產生額外的探測流量,,會在一定程度上增加網絡負載,或多或少會擾動網絡的當前狀態(tài),,導致探測結果出現偏差,。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失,。聯系電話:010-82306118;郵箱:[email protected],。