IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單

創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(1)

  在開始網(wǎng)絡(luò)服務(wù)審計之前,必須創(chuàng)建網(wǎng)絡(luò)詳細(xì)清單。該清單包括收集所有網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)身份信息,如IP地址、網(wǎng)絡(luò)界面硬件(NIC)地址和DNS條目。在大多數(shù)環(huán)境中,某些信息是現(xiàn)有的,并且往往會有些錯誤。在大多數(shù)情況下,NIC信息和MAC地址將不被記錄。

  即使我們已經(jīng)獲得了信息,但是將創(chuàng)建詳細(xì)清單和驗證這些信息作為審計的第一步也是一個不錯的做法。這樣,我們就可以完全了解網(wǎng)絡(luò)環(huán)境,同時,它還能有助于發(fā)現(xiàn)必須清除的不一致性。本文中所涉及的方法是假設(shè)我們對正在審計的網(wǎng)絡(luò)有管理訪問權(quán)限。所提供的開源腳本在Unix/Linux、Apple OS X和 Windows環(huán)境的Cygwin上運(yùn)行,同時可以在基于IOS的交換機(jī)和支持SSH或者RCMD訪問的路由器上運(yùn)行。

  收集詳細(xì)清單屬性

  在我們開始這個收集過程之前,有必要先闡述一下我們對IP、MAC和DNS信息感興趣的原因所在。當(dāng)處理連接到網(wǎng)絡(luò)用戶和管理員的節(jié)點(diǎn)時,一般情況下,我們要么使用主機(jī)IP地址要么使用DNS來建立通信和交換數(shù)據(jù)。這些身份驗證方法都是友好用戶并且易于管理的。它們經(jīng)常指派一個人名(和號碼)來幫助我們實現(xiàn)與這些非人類機(jī)器的交互。這兩種方案是在70年代后期設(shè)計的,當(dāng)時串行終端設(shè)備是計算機(jī)交互的主要手段,而原ARPANET主機(jī)表還是一個電郵文件。

  這兩種方法的動態(tài)屬性,即分配和實現(xiàn),使它們可以靈活地同時支持全局和私有操作模式。然而,這種動態(tài)的屬性也恰恰制造了安全性麻煩。因為指派過程是動態(tài)和可轉(zhuǎn)移的,因此,不同的物理主機(jī)可以假裝指派相同的"網(wǎng)絡(luò)身份"。大多數(shù)基于網(wǎng)絡(luò)的攻擊都是利用了IP和DNS的不可驗證性。分布式拒絕服務(wù)(DDOS)攻擊可以使合法的主機(jī)失效,并且允許攻擊者偽裝被攻擊者的IP標(biāo)識。ID釣魚郵件可以使用偽URL來將沒有戒心的用戶重定向到假的網(wǎng)站上,從而獲取個人身份和金融帳戶信息。

  只有NIC MAC地址是唯一的,因為它們是與主機(jī)的NIC相關(guān)的,而非主機(jī)本身。目前大多數(shù)的工作站和服務(wù)器都有內(nèi)置的網(wǎng)絡(luò)接口,這樣, MAC地址就是一種非常理想的用于跟蹤和訪問控制(通過二層過濾和/或靜態(tài)DHCP)的網(wǎng)絡(luò)參數(shù)。這并不是說使用MAC地址就是萬無一失的;如果攻擊者進(jìn)入了本地網(wǎng)絡(luò),他就可能進(jìn)行ARP/MAC欺騙。同時,如果服務(wù)器由于失效而被替代,那么它的MAC信息也將改變。因此,如果沒有很好的跟蹤方法,跟蹤(和控制訪問使用)MAC、IP和DNS屬性是驗證和確保網(wǎng)絡(luò)連續(xù)性的最好的方法之一。

  主機(jī)驗證信息來源和方法


  首先,打開電子表格、記事本或者任何用于文檔化網(wǎng)絡(luò)節(jié)點(diǎn)的工具。我們將把這些信息作為控制數(shù)據(jù)。從驗證的角度來看,一個理想的審計環(huán)境是:我們正在驗證我們已經(jīng)確信是已存在的東西。如果這個數(shù)據(jù)并不是已經(jīng)存在的,那么第一個審計將作為與以后的審計對比的基線。

  正如我們前面所探討的,主機(jī)詳細(xì)清單收集三種數(shù)據(jù):IP地址、MAC地址和DNS條目。在清單的最后,我們必須有一個清單數(shù)據(jù)集,它看起來是這樣的:

172.30.100.1???? 0000.0c07.ac05? CISCO SYSTEMS,?? gw.outlan.net
172.30.100.100?? 0004.ac5e.4810? IBM CORP.? yp.outlan.net
172.30.100.14??? 000b.cd83.53f6? Unknown OUI????? oscar.outlan.net
172.30.100.15??? 0008.02a1.4d80? Compaq Computer? auth.outlan.net
172.30.100.16??? 0050.8b2c.f25e? COMPAQ COMPUTER? mail.outlan.net
172.30.100.17??? 0002.a528.b2b3? Compaq Computer? home.outlan.net
172.30.100.172?? 0008.c7f4.4655? COMPAQ COMPUTER? foo.outlan.net
172.30.100.18??? 000b.cd50.786a? Unknown OUI????? kermit.outlan.net
172.30.100.19??? 0008.c72a.c8fb? COMPAQ COMPUTER? bigbird.outlan.net
172.30.100.2???? 0001.812b.fe08? Nortel Networks? rs01.outlan.net
172.30.100.3???? 0005.5fe7.0800? Cisco Systems,?? rs02.outlan.net

  必須為網(wǎng)絡(luò)的每個分段創(chuàng)建諸如這樣的表。目前,我們已經(jīng)探討了4種屬性的其中3種。第三個字段中的數(shù)據(jù)是每個MAC地址的機(jī)構(gòu)的唯一識別符(OUI)。每個以太網(wǎng)MAC地址的前24字節(jié)是硬件制造商的OUI,它是由IEEE所指派的。制造商使用OUI以及一個唯一的24字節(jié)值來為每個網(wǎng)絡(luò)接口創(chuàng)建唯一的MAC地址。

  我們知道網(wǎng)絡(luò)節(jié)點(diǎn)的OUI能夠協(xié)助跟蹤和故障修復(fù)行為不當(dāng)?shù)闹鳈C(jī)。在網(wǎng)絡(luò)化的前期,NIC是一個添加到計算機(jī)的附加組件,它要求跟蹤MAC地址并將MAC地址與跟蹤主機(jī)相關(guān)聯(lián)。目前,大多數(shù)的硬件制造商提供一個或多個網(wǎng)卡,因此,在大多數(shù)情況下,解析主機(jī)MAC OUI也就是識別連接到網(wǎng)絡(luò)的硬件類型,以及操作系統(tǒng)類型。

  一旦完成了清單,就可以收集和比較后續(xù)的清單了,這樣,我們就可以很容易地發(fā)現(xiàn)變化和錯誤以便我們調(diào)查和改正它們。所有這樣的數(shù)據(jù)都可以在網(wǎng)絡(luò)上收集到;并不需要訪問節(jié)點(diǎn)。清單的數(shù)據(jù)是通過從網(wǎng)絡(luò)交換機(jī)和路由器ARP和接口表、DNS Zone Dump和ICMP PING掃描來收集的。ARP和ICMP掃描能提供有效IP主機(jī)的信息。DNS Zone和接口表提供管理域上關(guān)于IP網(wǎng)絡(luò)的信息,以及主機(jī)名信息。每個數(shù)據(jù)源都提供一種信息,同時,它們還提供可以與其它的資源作比較的冗余信息,以便確保正確性和發(fā)現(xiàn)不一致性。

  工具

  運(yùn)行下面的腳本,我們的計算機(jī)必須支持Perl、SED、awk、sh、sort、date、diff和grep。同時,我們還將需要下載和編譯domainscan和 fping。(Fping是ping的替代,它支持大量掃描和輸出選項,因此對于依賴ICMP修復(fù)故障的管理員來說,它是一個強(qiáng)大的工具。)腳本作為程序封裝使用,它可以提取和格式化清單數(shù)據(jù)從而使它更容易訪問。下面是關(guān)于每個腳本的概述,闡述了它們所依賴的程序和它們的功能:

  vidump.sh——這個Bourne Shell腳本使用SSH來獲取一組路由器的物理接口或者交換機(jī)的VLAN接口。它建立了一組連接到路由器或者交換機(jī)的IP網(wǎng)絡(luò),從而可以用來確定哪些網(wǎng)絡(luò)我們必須審計。同時,它還有助于識別哪些設(shè)備可以運(yùn)行ARP Dump。

  arpextract.sh——這個Bourne Shell腳本同樣使用SSH來獲取IP地址或者基于IOS路由器或者交換機(jī)上的IP地址和ARP表。ARP表必須從直接連接到網(wǎng)絡(luò)分段的設(shè)備上獲取,這樣,我們就可以從中收集到ARP信息(理想狀態(tài)下是分段的默認(rèn)網(wǎng)關(guān))。否則,我們所查詢的IP地址的ARP終端條目將導(dǎo)致路由器或者交換機(jī)使用的物理接口來訪問目標(biāo)主機(jī)。

  dnsdump.sh——這是一個Bourne Shell腳本,它調(diào)用域掃描來在C類網(wǎng)絡(luò)上執(zhí)行DNS查找。它格式化用于與其它工具比較的和數(shù)據(jù)合并的輸出。為了達(dá)到更好的效果,使用網(wǎng)絡(luò)分段的根DNS服務(wù)器和次DNS服務(wù)器來運(yùn)行dnsdump.sh和比較結(jié)果。如果我們可以公共訪問的主機(jī),那么我們將想要將我們的DNS根條目與其它公共的DNS服務(wù)器作比較以便確保數(shù)據(jù)是一致的。

  activehosts.sh——這是另外一個Bourne Shell腳本,它調(diào)用fping來對IP地址范圍執(zhí)行ICMP ping掃描。正常情況下,我們將在有255個IP地址或者稍微少些的C類網(wǎng)絡(luò)上使用它。更大范圍的掃描也是可以運(yùn)行的,但是數(shù)據(jù)將變得較難管理些。和dnsdump.sh一樣,fping命令的輸出是經(jīng)過格式化來與其它的腳本一起使用的。

  ouiresolv.pl——這是一個Perl腳本,它處理48位以太網(wǎng)MAC地址的OUI部分。這個ouiresolv.pl腳本從arpresolv.txt文件上獲得輸入。這個文件是當(dāng)運(yùn)行arpextract.sh帶有將輸出保存為一個文件的選項來生成一個ARP表Dump時生成的。

  ouilookup.sh——這是一個ouiresolv.pl Perl腳本的Bourne Shell封裝腳本。它格式化了ouiresolv.pl輸出以便合并來自其它腳本的報告數(shù)據(jù)。

收集網(wǎng)絡(luò)清單數(shù)據(jù)

  建立清單最有效的方法是一次處理一個IP子網(wǎng)。每個網(wǎng)絡(luò)都有它本身的邏輯布局,但是每個網(wǎng)絡(luò)都會使用一個或多個子網(wǎng)。這樣IP子網(wǎng)就成為了處理中最小的邏輯單位。如果我們審計我們自己的網(wǎng)絡(luò),那么我們并不需要運(yùn)行vidump.sh,因為我們已經(jīng)知道了組成我們網(wǎng)絡(luò)的子網(wǎng)。然而,如果由于忘記或者并不熟悉正在審計的網(wǎng)絡(luò)部分,那么我們可以使用vidump.sh命令來從網(wǎng)關(guān)設(shè)備中獲取接口或者VLAN列表。腳本會向設(shè)備打開一個SSH會話。接著提示輸入密碼,然后輸出命令將被發(fā)送到CLI上,并作為文本文件(用于引用)保存。在一個IOS路由器上,使用的是?Vr命令標(biāo)記,而在一個IOS交換機(jī)上使用的是?Vv標(biāo)記。如果對于語法還有些疑問的話,那么可以運(yùn)行后面跟著?Vh標(biāo)記的命令。完整的命令語法看起來是這樣的: vidump.sh {-v|-i}。以下是一個CLI執(zhí)行例子:

Trinity# ./vidump.sh amin out-rs01 -v
amin@out-rs01's password:
Vlan179?? 172.30.179.3
Vlan168?? 172.30.168.3
Vlan5?? 172.30.5.3
Vlan11? 172.30.11.3
Vlan168?? 172.30.169.67
Vlan177 172.30.177.3
Vlan172? 172.30.172.3
Vlan164? 172.30.164.3
Vlan133? 172.30.169.133
Vlan165? 172.30.165.3
Vlan169? 172.30.169.163
The Report Name is: Vlan-list-out-rs01-10-21-04.txt
Trinity#
 

關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量