24直播网体育在线直播_24直播网体育下载_24直播网nba直播

IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → 創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單

創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(1)

  在開(kāi)始網(wǎng)絡(luò)服務(wù)審計(jì)之前,必須創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單。該清單包括收集所有網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)身份信息,如IP地址、網(wǎng)絡(luò)界面硬件(NIC)地址和DNS條目。在大多數(shù)環(huán)境中,某些信息是現(xiàn)有的,并且往往會(huì)有些錯(cuò)誤。在大多數(shù)情況下,NIC信息和MAC地址將不被記錄。

  即使我們已經(jīng)獲得了信息,但是將創(chuàng)建詳細(xì)清單和驗(yàn)證這些信息作為審計(jì)的第一步也是一個(gè)不錯(cuò)的做法。這樣,我們就可以完全了解網(wǎng)絡(luò)環(huán)境,同時(shí),它還能有助于發(fā)現(xiàn)必須清除的不一致性。本文中所涉及的方法是假設(shè)我們對(duì)正在審計(jì)的網(wǎng)絡(luò)有管理訪問(wèn)權(quán)限。所提供的開(kāi)源腳本在Unix/Linux、Apple OS X和 Windows環(huán)境的Cygwin上運(yùn)行,同時(shí)可以在基于IOS的交換機(jī)和支持SSH或者RCMD訪問(wèn)的路由器上運(yùn)行。

  收集詳細(xì)清單屬性

  在我們開(kāi)始這個(gè)收集過(guò)程之前,有必要先闡述一下我們對(duì)IP、MAC和DNS信息感興趣的原因所在。當(dāng)處理連接到網(wǎng)絡(luò)用戶和管理員的節(jié)點(diǎn)時(shí),一般情況下,我們要么使用主機(jī)IP地址要么使用DNS來(lái)建立通信和交換數(shù)據(jù)。這些身份驗(yàn)證方法都是友好用戶并且易于管理的。它們經(jīng)常指派一個(gè)人名(和號(hào)碼)來(lái)幫助我們實(shí)現(xiàn)與這些非人類機(jī)器的交互。這兩種方案是在70年代后期設(shè)計(jì)的,當(dāng)時(shí)串行終端設(shè)備是計(jì)算機(jī)交互的主要手段,而原ARPANET主機(jī)表還是一個(gè)電郵文件。

  這兩種方法的動(dòng)態(tài)屬性,即分配和實(shí)現(xiàn),使它們可以靈活地同時(shí)支持全局和私有操作模式。然而,這種動(dòng)態(tài)的屬性也恰恰制造了安全性麻煩。因?yàn)橹概蛇^(guò)程是動(dòng)態(tài)和可轉(zhuǎn)移的,因此,不同的物理主機(jī)可以假裝指派相同的"網(wǎng)絡(luò)身份"。大多數(shù)基于網(wǎng)絡(luò)的攻擊都是利用了IP和DNS的不可驗(yàn)證性。分布式拒絕服務(wù)(DDOS)攻擊可以使合法的主機(jī)失效,并且允許攻擊者偽裝被攻擊者的IP標(biāo)識(shí)。ID釣魚(yú)郵件可以使用偽URL來(lái)將沒(méi)有戒心的用戶重定向到假的網(wǎng)站上,從而獲取個(gè)人身份和金融帳戶信息。

  只有NIC MAC地址是唯一的,因?yàn)樗鼈兪桥c主機(jī)的NIC相關(guān)的,而非主機(jī)本身。目前大多數(shù)的工作站和服務(wù)器都有內(nèi)置的網(wǎng)絡(luò)接口,這樣, MAC地址就是一種非常理想的用于跟蹤和訪問(wèn)控制(通過(guò)二層過(guò)濾和/或靜態(tài)DHCP)的網(wǎng)絡(luò)參數(shù)。這并不是說(shuō)使用MAC地址就是萬(wàn)無(wú)一失的;如果攻擊者進(jìn)入了本地網(wǎng)絡(luò),他就可能進(jìn)行ARP/MAC欺騙。同時(shí),如果服務(wù)器由于失效而被替代,那么它的MAC信息也將改變。因此,如果沒(méi)有很好的跟蹤方法,跟蹤(和控制訪問(wèn)使用)MAC、IP和DNS屬性是驗(yàn)證和確保網(wǎng)絡(luò)連續(xù)性的最好的方法之一。

  主機(jī)驗(yàn)證信息來(lái)源和方法


  首先,打開(kāi)電子表格、記事本或者任何用于文檔化網(wǎng)絡(luò)節(jié)點(diǎn)的工具。我們將把這些信息作為控制數(shù)據(jù)。從驗(yàn)證的角度來(lái)看,一個(gè)理想的審計(jì)環(huán)境是:我們正在驗(yàn)證我們已經(jīng)確信是已存在的東西。如果這個(gè)數(shù)據(jù)并不是已經(jīng)存在的,那么第一個(gè)審計(jì)將作為與以后的審計(jì)對(duì)比的基線。

  正如我們前面所探討的,主機(jī)詳細(xì)清單收集三種數(shù)據(jù):IP地址、MAC地址和DNS條目。在清單的最后,我們必須有一個(gè)清單數(shù)據(jù)集,它看起來(lái)是這樣的:

172.30.100.1???? 0000.0c07.ac05? CISCO SYSTEMS,?? gw.outlan.net
172.30.100.100?? 0004.ac5e.4810? IBM CORP.? yp.outlan.net
172.30.100.14??? 000b.cd83.53f6? Unknown OUI????? oscar.outlan.net
172.30.100.15??? 0008.02a1.4d80? Compaq Computer? auth.outlan.net
172.30.100.16??? 0050.8b2c.f25e? COMPAQ COMPUTER? mail.outlan.net
172.30.100.17??? 0002.a528.b2b3? Compaq Computer? home.outlan.net
172.30.100.172?? 0008.c7f4.4655? COMPAQ COMPUTER? foo.outlan.net
172.30.100.18??? 000b.cd50.786a? Unknown OUI????? kermit.outlan.net
172.30.100.19??? 0008.c72a.c8fb? COMPAQ COMPUTER? bigbird.outlan.net
172.30.100.2???? 0001.812b.fe08? Nortel Networks? rs01.outlan.net
172.30.100.3???? 0005.5fe7.0800? Cisco Systems,?? rs02.outlan.net

  必須為網(wǎng)絡(luò)的每個(gè)分段創(chuàng)建諸如這樣的表。目前,我們已經(jīng)探討了4種屬性的其中3種。第三個(gè)字段中的數(shù)據(jù)是每個(gè)MAC地址的機(jī)構(gòu)的唯一識(shí)別符(OUI)。每個(gè)以太網(wǎng)MAC地址的前24字節(jié)是硬件制造商的OUI,它是由IEEE所指派的。制造商使用OUI以及一個(gè)唯一的24字節(jié)值來(lái)為每個(gè)網(wǎng)絡(luò)接口創(chuàng)建唯一的MAC地址。

  我們知道網(wǎng)絡(luò)節(jié)點(diǎn)的OUI能夠協(xié)助跟蹤和故障修復(fù)行為不當(dāng)?shù)闹鳈C(jī)。在網(wǎng)絡(luò)化的前期,NIC是一個(gè)添加到計(jì)算機(jī)的附加組件,它要求跟蹤MAC地址并將MAC地址與跟蹤主機(jī)相關(guān)聯(lián)。目前,大多數(shù)的硬件制造商提供一個(gè)或多個(gè)網(wǎng)卡,因此,在大多數(shù)情況下,解析主機(jī)MAC OUI也就是識(shí)別連接到網(wǎng)絡(luò)的硬件類型,以及操作系統(tǒng)類型。

  一旦完成了清單,就可以收集和比較后續(xù)的清單了,這樣,我們就可以很容易地發(fā)現(xiàn)變化和錯(cuò)誤以便我們調(diào)查和改正它們。所有這樣的數(shù)據(jù)都可以在網(wǎng)絡(luò)上收集到;并不需要訪問(wèn)節(jié)點(diǎn)。清單的數(shù)據(jù)是通過(guò)從網(wǎng)絡(luò)交換機(jī)和路由器ARP和接口表、DNS Zone Dump和ICMP PING掃描來(lái)收集的。ARP和ICMP掃描能提供有效IP主機(jī)的信息。DNS Zone和接口表提供管理域上關(guān)于IP網(wǎng)絡(luò)的信息,以及主機(jī)名信息。每個(gè)數(shù)據(jù)源都提供一種信息,同時(shí),它們還提供可以與其它的資源作比較的冗余信息,以便確保正確性和發(fā)現(xiàn)不一致性。

  工具

  運(yùn)行下面的腳本,我們的計(jì)算機(jī)必須支持Perl、SED、awk、sh、sort、date、diff和grep。同時(shí),我們還將需要下載和編譯domainscan和 fping。(Fping是ping的替代,它支持大量掃描和輸出選項(xiàng),因此對(duì)于依賴ICMP修復(fù)故障的管理員來(lái)說(shuō),它是一個(gè)強(qiáng)大的工具。)腳本作為程序封裝使用,它可以提取和格式化清單數(shù)據(jù)從而使它更容易訪問(wèn)。下面是關(guān)于每個(gè)腳本的概述,闡述了它們所依賴的程序和它們的功能:

  vidump.sh——這個(gè)Bourne Shell腳本使用SSH來(lái)獲取一組路由器的物理接口或者交換機(jī)的VLAN接口。它建立了一組連接到路由器或者交換機(jī)的IP網(wǎng)絡(luò),從而可以用來(lái)確定哪些網(wǎng)絡(luò)我們必須審計(jì)。同時(shí),它還有助于識(shí)別哪些設(shè)備可以運(yùn)行ARP Dump。

  arpextract.sh——這個(gè)Bourne Shell腳本同樣使用SSH來(lái)獲取IP地址或者基于IOS路由器或者交換機(jī)上的IP地址和ARP表。ARP表必須從直接連接到網(wǎng)絡(luò)分段的設(shè)備上獲取,這樣,我們就可以從中收集到ARP信息(理想狀態(tài)下是分段的默認(rèn)網(wǎng)關(guān))。否則,我們所查詢的IP地址的ARP終端條目將導(dǎo)致路由器或者交換機(jī)使用的物理接口來(lái)訪問(wèn)目標(biāo)主機(jī)。

  dnsdump.sh——這是一個(gè)Bourne Shell腳本,它調(diào)用域掃描來(lái)在C類網(wǎng)絡(luò)上執(zhí)行DNS查找。它格式化用于與其它工具比較的和數(shù)據(jù)合并的輸出。為了達(dá)到更好的效果,使用網(wǎng)絡(luò)分段的根DNS服務(wù)器和次DNS服務(wù)器來(lái)運(yùn)行dnsdump.sh和比較結(jié)果。如果我們可以公共訪問(wèn)的主機(jī),那么我們將想要將我們的DNS根條目與其它公共的DNS服務(wù)器作比較以便確保數(shù)據(jù)是一致的。

  activehosts.sh——這是另外一個(gè)Bourne Shell腳本,它調(diào)用fping來(lái)對(duì)IP地址范圍執(zhí)行ICMP ping掃描。正常情況下,我們將在有255個(gè)IP地址或者稍微少些的C類網(wǎng)絡(luò)上使用它。更大范圍的掃描也是可以運(yùn)行的,但是數(shù)據(jù)將變得較難管理些。和dnsdump.sh一樣,fping命令的輸出是經(jīng)過(guò)格式化來(lái)與其它的腳本一起使用的。

  ouiresolv.pl——這是一個(gè)Perl腳本,它處理48位以太網(wǎng)MAC地址的OUI部分。這個(gè)ouiresolv.pl腳本從arpresolv.txt文件上獲得輸入。這個(gè)文件是當(dāng)運(yùn)行arpextract.sh帶有將輸出保存為一個(gè)文件的選項(xiàng)來(lái)生成一個(gè)ARP表Dump時(shí)生成的。

  ouilookup.sh——這是一個(gè)ouiresolv.pl Perl腳本的Bourne Shell封裝腳本。它格式化了ouiresolv.pl輸出以便合并來(lái)自其它腳本的報(bào)告數(shù)據(jù)。

收集網(wǎng)絡(luò)清單數(shù)據(jù)

  建立清單最有效的方法是一次處理一個(gè)IP子網(wǎng)。每個(gè)網(wǎng)絡(luò)都有它本身的邏輯布局,但是每個(gè)網(wǎng)絡(luò)都會(huì)使用一個(gè)或多個(gè)子網(wǎng)。這樣IP子網(wǎng)就成為了處理中最小的邏輯單位。如果我們審計(jì)我們自己的網(wǎng)絡(luò),那么我們并不需要運(yùn)行vidump.sh,因?yàn)槲覀円呀?jīng)知道了組成我們網(wǎng)絡(luò)的子網(wǎng)。然而,如果由于忘記或者并不熟悉正在審計(jì)的網(wǎng)絡(luò)部分,那么我們可以使用vidump.sh命令來(lái)從網(wǎng)關(guān)設(shè)備中獲取接口或者VLAN列表。腳本會(huì)向設(shè)備打開(kāi)一個(gè)SSH會(huì)話。接著提示輸入密碼,然后輸出命令將被發(fā)送到CLI上,并作為文本文件(用于引用)保存。在一個(gè)IOS路由器上,使用的是?Vr命令標(biāo)記,而在一個(gè)IOS交換機(jī)上使用的是?Vv標(biāo)記。如果對(duì)于語(yǔ)法還有些疑問(wèn)的話,那么可以運(yùn)行后面跟著?Vh標(biāo)記的命令。完整的命令語(yǔ)法看起來(lái)是這樣的: vidump.sh {-v|-i}。以下是一個(gè)CLI執(zhí)行例子:

Trinity# ./vidump.sh amin out-rs01 -v
amin@out-rs01's password:
Vlan179?? 172.30.179.3
Vlan168?? 172.30.168.3
Vlan5?? 172.30.5.3
Vlan11? 172.30.11.3
Vlan168?? 172.30.169.67
Vlan177 172.30.177.3
Vlan172? 172.30.172.3
Vlan164? 172.30.164.3
Vlan133? 172.30.169.133
Vlan165? 172.30.165.3
Vlan169? 172.30.169.163
The Report Name is: Vlan-list-out-rs01-10-21-04.txt
Trinity#
 

關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量