借助網(wǎng)絡(luò)分析系統(tǒng)測試網(wǎng)絡(luò)的安全性

1、借助網(wǎng)絡(luò)分析系統(tǒng)測試網(wǎng)絡(luò)的安全性1.1. 前言一般情況下，大多數(shù)公司或企業(yè)，都部署有IDS入侵檢測系統(tǒng)，同時通過IDS對網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)控。當(dāng)網(wǎng)絡(luò)中出現(xiàn)攻擊行為時，IDS會自動進(jìn)行告警。雖然IDS目前在網(wǎng)絡(luò)中應(yīng)用非常廣泛，但它存在兩個非常大的不足。IDS只能對網(wǎng)絡(luò)中正在進(jìn)行的攻擊行為進(jìn)行監(jiān)控，對于潛伏在網(wǎng)絡(luò)中的攻擊行為，IDS無能為力。IDS只能匹配規(guī)則庫中存在的攻擊行為，對于規(guī)則庫中不存在的新型攻擊、變種攻擊，IDS不能對其進(jìn)行識別和告警。由于網(wǎng)絡(luò)中的攻擊行為復(fù)雜多變，且IDS存在不足，為全面了解網(wǎng)絡(luò)的安全狀況，我們必須找到另一種更加合理的解決方案。這里，我們提出一種通過網(wǎng)絡(luò)分析系統(tǒng)對網(wǎng)

2、絡(luò)進(jìn)行安全性測試的思路，僅供大家探討。PS：1、本文僅討論使用網(wǎng)絡(luò)分析系統(tǒng)對網(wǎng)絡(luò)進(jìn)行的安全測試。2、文中使用的網(wǎng)絡(luò)分析系統(tǒng)是“科來網(wǎng)絡(luò)分析系統(tǒng)2010”。1.2. 安裝部署及抓包1. 安裝部署測試之前，我們需要先進(jìn)行正確的安裝部署。n 將科來網(wǎng)絡(luò)分析系統(tǒng)安裝到分析用的機器上。n 將安裝科來的機器連接到交換機的鏡像端口上。一般情況下對全網(wǎng)進(jìn)行測試，則將分析用的機器連接到核心交換機的鏡像端口；如果只需要對某個部門進(jìn)行測試，則將分析用的機器連接到該部門交換機鏡像端口。n 在相應(yīng)交換機上，配置好端口鏡像或流鏡像。配置好后，可登錄交換機，使用show int 或dis int 之類的命令，查看端口的流量

3、情況，如果端口流量較大，說明配置成功，反之則可能配置有問題。2. 捕獲數(shù)據(jù)包正確部署后，即開始捕獲網(wǎng)絡(luò)中的通訊內(nèi)容，具體步驟如下：n 啟動科來網(wǎng)絡(luò)分析系統(tǒng)2010。n 選擇正確的網(wǎng)卡。如果機器上有多個網(wǎng)卡，請確保選擇的是連接交換機鏡像端口的網(wǎng)卡。n 選擇恰當(dāng)?shù)姆治龇桨覆ζ溥M(jìn)行編輯，根據(jù)實際情況調(diào)整數(shù)據(jù)包緩存的大小，建議設(shè)置不超過300M。由于我們這兒做的是安全測試，所以選擇“安全分析”方案。n 網(wǎng)絡(luò)檔案使用默認(rèn)即可，其它不進(jìn)行設(shè)置，選擇好后開始頁面如下圖。一切就緒后，點擊開始頁右下角的開始捕獲。注意：系統(tǒng)支持的分析方式有實時分析和回放分析。如果是對網(wǎng)絡(luò)進(jìn)行實時抓包分析，選擇“實時分析”；如果

4、是對已經(jīng)保存好的數(shù)據(jù)包進(jìn)行分析，選擇“回放分析”。（系統(tǒng)默認(rèn)情況下選中的是實時分析。）（圖1 科來網(wǎng)絡(luò)分析系統(tǒng)開始頁）1.3. 詳細(xì)分析進(jìn)行安全分析時，建議抓取數(shù)據(jù)的時間稍長，最好不要低于10分鐘，這樣可以得出的測試結(jié)果將會更有說服力。測試后的分析主要從攻擊行為和安全隱患兩個方面進(jìn)行。1. 攻擊行為分析從科來網(wǎng)絡(luò)分析系統(tǒng)2010的多個與安全相關(guān)的視圖，查看網(wǎng)絡(luò)中是否存在攻擊行為。n ARP攻擊如圖2所示，如果網(wǎng)絡(luò)中存在ARP攻擊，“疑似ARP攻擊分析“視圖會自動分析出ARP攻擊的源地址，同時下面有詳細(xì)的物理會話信息，雙擊物理會話的下面的條目，系統(tǒng)會繼續(xù)分析具體的攻擊數(shù)據(jù)包。同時，ARP攻擊分析

5、，也可以直接在診斷視圖中查看。（圖2 疑似ARP攻擊分析）n 蠕蟲病毒當(dāng)網(wǎng)絡(luò)中存在蠕蟲病毒泛濫的情況時，系統(tǒng)會自動對其進(jìn)行分析，并準(zhǔn)確定位已經(jīng)被感染蠕蟲病毒的主機。圖3所示的疑似蠕蟲病毒分析視圖，會自動顯示出感染的主機，并將感染主機的詳細(xì)信息，如流量、數(shù)據(jù)包、發(fā)送數(shù)據(jù)包、接收數(shù)據(jù)包、IP會話、TCP會話、原始數(shù)據(jù)包等進(jìn)行顯示。（圖3 蠕蟲病毒分析）n DOS攻擊針對網(wǎng)絡(luò)中的DOS攻擊分析，系統(tǒng)可以檢測出正在進(jìn)行的主動DOS攻擊行為，以及正在遭受DOS攻擊的情況，如圖4所示。疑似DOS攻擊分析視圖列出了可能正在進(jìn)行DOS攻擊的主機，疑似受到DOS攻擊分析視圖列出了可能正在遭受DOS攻擊的主機，兩

6、個視圖對這些主機的流量、發(fā)包、收包、會話、原始數(shù)據(jù)包等詳細(xì)信息進(jìn)行詳細(xì)統(tǒng)計。（圖4 DOS攻擊分析）n TCP端口掃描TCP端口掃描一般情況是后續(xù)攻擊的前奏，系統(tǒng)的TCP端口掃描視圖，可以對網(wǎng)絡(luò)中的TCP端口掃描行為，進(jìn)行準(zhǔn)確檢測 和定位，如圖5所示。（圖5 TCP端口掃描）2. 安全隱患分析此處的安全隱患，包括設(shè)備管理安全隱患、電子郵件安全隱患、FTP文件傳輸安全隱患。n 設(shè)備管理安全隱患通常情況下，管理人員對已經(jīng)投入使用的網(wǎng)絡(luò)設(shè)備（交換機、路由器等）、安全設(shè)備（防火墻、UTM、IDS/IPS等）的管理，一般使用的方式有Web（HTTP，HTTPS）和命令行（Telnet，SSH）。這其中，

7、HTTPS和SSH是加密協(xié)議，通過這兩種方式的管理相對安全，但HTTP和Telnet則是明文傳輸協(xié)議，如果使用這兩種方式進(jìn)行設(shè)備管理，則存在巨大的安全隱患。備注：大部分的設(shè)備都還支持一種Console調(diào)試，使用這種方式時，管理人員必須到達(dá)設(shè)備的物理位置，使用Console線連接進(jìn)行操作，一般僅在初步調(diào)試設(shè)備時使用。正常投入網(wǎng)絡(luò)使用的設(shè)備，很少采用這種方式。HTTP明文傳輸隱患查找：節(jié)點瀏覽器中選擇HTTP協(xié)議，右邊選擇TCP會話視圖，查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會話信息。如網(wǎng)絡(luò)中設(shè)備地址是，則查看與通訊的會話，并查看下面的數(shù)據(jù)流信息，如圖6，找到用戶名和密碼均是admin的明文傳輸。（圖6

8、 HTTP明文傳輸）Telnet明文傳輸隱患查找：節(jié)點瀏覽器中選擇Telnet協(xié)議，右邊選擇TCP會話視圖，查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會話信息。與HTTP明文傳輸方法一致，即可找到網(wǎng)絡(luò)中使用Telnet的明文傳輸。3. 電子郵件安全隱患現(xiàn)在，使用Outlook和Foxmail進(jìn)行電子郵件收發(fā)的用戶較多，默認(rèn)情況下，這兩種協(xié)議都是明文傳輸，存在電子郵件安全隱患。查找明文郵件密碼：節(jié)點瀏覽器中選擇SMTP和POP3協(xié)議（一次只能選擇一個），右邊選擇TCP會話視圖，查看下面的電子郵件會話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)挠脩裘兔艽a，如圖7。（圖7 電子郵件明文密碼）查找明文郵件內(nèi)容：節(jié)點瀏覽

9、器中選擇SMTP和POP3協(xié)議（一次只能選擇一個），右邊選擇日志-Email信息，查看郵件的通訊情況，可以查找明文傳輸?shù)泥]件通訊情況，如圖8。（圖8 電子郵件明文傳輸）4. FTP文件傳輸安全隱患默認(rèn)情況下，通過CMD窗口、瀏覽器窗口、部分FTP客戶端等方式的FTP訪問，都是明文傳輸，存在巨大的安全隱患。查找FTP明文密碼：節(jié)點瀏覽器中選擇FTP協(xié)議，右邊選擇TCP會話視圖，查看下面的FTP會話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)腇TP用戶名和密碼，如圖9。（圖9 FTP明文密碼）查找FTP明文內(nèi)容：節(jié)點瀏覽器中選擇根節(jié)點，右邊選擇日志-FTP傳輸，可以查看到網(wǎng)絡(luò)中使用明文進(jìn)行的FTP文件傳輸情況，如圖10。（圖10 FTP明文傳輸）1.4. 分析結(jié)