在线探测技术研究论文

摘要网络设备的在线状态及其工作、运行信息的收集是网络安全管理、网络安全状况分析的基础，本文介绍了几种探测技术和探测工具的使用，并介绍了计算机探测技术的应用。

关键词扫描；探测；；拓扑图；自动化管理

1引言

随着网络技术的飞速发展，网络的安全风险系数不断提高，需要在不影响网络性能的情况下对网络进行监听和探测，从计算机网络系统的各个终端主机、应用系统以及若干关键点收集信息，并分析这些信息，发现漏洞、缺陷以及潜在的威胁，从而提供对网络的实时保护，提高信息安全基础结构的完整性。

2探测技术介绍

2.1常用简单的扫描技术

扫描是一种基于Internet的远程检测网络或主机的技术，通过扫描发现检测主机TCP/IP端口的分配情况、开放的服务已经存在的安全漏洞等信息。主要使用的技术有Ping扫描、端口扫描以及漏洞扫描等。

Ping扫描是通过发送ICMP包到目标主机，检测是否有返回应答来判断主机是否处于活动状态。这种方法具有使用简单、方便的优点，但是由于ICMP包是不可靠的、非面向连接的协议，所以这种扫描方法也容易出错，也可能被边界路由器或防火墙阻塞。

端口扫描技术就是通过向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，它仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点，发现系统的安全漏洞，了解系统目前向外界提供了哪些服务，从而为系统管理网络提供了一种手段。端口扫描主要有TCP全连接、SYN（半连接）扫描等方式。

图1Sniffer探测信息矩阵图示

漏洞扫描技术主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。

2.2利用探测工具

网络探测工具非常多，种类非常繁杂，功能也不尽相同，这里只以网络侦听工具Sniffer和X-scan扫描器为例进行阐述。

Sniffer是一种通过网络侦听获取所有的网络信息（包括数据包信息，网络流量信息、网络状态信息、网络管理信息等），具有实时检测网络活动、产生可视化的即时报警和通报信息、基于网络特定终端，会话或任何网络部分的详细利用情况收集和错误统计、保存基线分析的历史数据和错误信息等功能。Sniffer还可以根据抓获的数据包信息动态绘制各主机直接的通信关系图示。

X-scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞都给出了相应的漏洞描述、解决方案及详细描述链接。扫描结束后生成检测报告。

图2X-scan检测报告图示现在网上还有其他各类有特色的扫描器，种类繁多，如nMAP、SATAN、iris等，在此不一一介绍。

2.3路由交换设备的探测与管理

通过SNMP协议MIB库，可以获取网络中的交换机的交换表和路由器的路由表，实现流量统计，速率统计等功能，绘制出网络拓扑结构图。通过MIB库定义的接口，还可以远程控制和修改路由器、交换机的配置信息。

2.4获取应用系统的运行信息

通过收集网络中的防火墙、防病毒软件以及其他应用系统的运行日志，发现非法入侵或越权访问信息，程序运行报警信息等，及时掌握网络和系统的安全特性，在遇到攻击或威胁时可以进一步采取措施，避免造成损失，并有效防止损失的扩大化。

2.5部署的探测技术

在网络中设立一台服务器，安装服务程序，在网络中需要探测的计算机上安装客户端程序，并制定一些特定的协议，服务器端定期查询客户端的状态和日志信息，或者按照服务器端制定的策略，客户端定期将自己的状态、日志、或应用程序运行信息发送给服务器，服务器端对这些信息进行过滤、分析、整理和审计，以获取反映客户端微机的运行状态。如果服务器端在制定的策略时间范围内没有接收到该客户端的信息，则可以判断该客户端处于离线状态，或者网络线路出现故障。

3探测技术的应用

应用一：掌握和了解系统运行情况

通过探测技术，获取计算机的在线状态，可以及时发现网络中离线或出现故障的计算机，或者发现哪些计算机没有运行本该运行的程序和应用，还可以通过这些探测信息及时发现计算机系统存在的漏洞以及计算机系统运行存在的风险，如：入侵检测系统。

图3Cisco交换机的流量和数量统计图示

应用二：实时反映网络拓扑结构

探测的结果还可以用来实时反映网络的连接结构，为实时绘制网络的拓扑结构图，实时反映网络的运行状态等提供了依据。如：HPOpenView网络节点管理器，鼠标放在某个节点上将显示该节点的详细信息，示例图示如下：

图4HPOpenView绘制网络拓扑图示

应用三：实现网络的自动化管理

通过探测收集到网络的运行信息，为网络的安全管理依据和手段，这样就可以在制定相应的策略指导下实现个应用系统之间的联动，如给防火墙设置新的安全规格，发现病毒后对杀毒软件的病毒库进行及时更新等，建立起一套统一、安全、高效的安全检测、监控、管理体系，实现网络的互连、互控、互动和集中统一防御，从而达到了自动化管理的目标。

为了提供自动化管理效率和准确性，可以在管理员的干预下建立一个专家数据库，对系统的联动提供指导和依据。

4结束语

一般来说，在线探测技术是网络管理的基础，探测结果是实施下一步安全管理、系统联动等管理手段的依据，所以保证检测结果的正确性非常必要，因此需要对探测收集到的信息需要进行验证，以达到去伪存真的目标，提高管理的准确性和效率。

参考资料

[1]王曦杨健编著.《网络安全技术与实务》，电子工业出版社，2006

[2]余承行主编,刘亲华等副主编.《信息安全技术》科学出版社，2005

[3]李石磊.网络安全扫描技术原理及建议，东软教育在线网站

[4]HPOpenView联机文档

[5]RFC2011：SNMPv2ManagementInformationBasefortheInternetProtocolusingSMIv2