第11章 网络管理技术

选择题37~40 综合题第4题（sniffer抓包分析）

11.1 ICMP协议类型

1. 基本概念

   • 工作在网络层，在IP主机、路由器之间传递消息和差错报告
   • 用于ping命令或者trace命令
   • ICMP被封装在IP数据包内
   • ICMP的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成

2. 协议类型

   类型代码	类型描述	类型代码	类型描述
   0	Echo应答	12	数据包参数错误
   3	目标不可达	13	时间戳请求
   4	源抑制	14	时间戳应答
   5	重定向	15	信息请求
   8	Echo请求	16	信息应答
   9	路由器通告	17	地址掩码请求
   10	路由器恳求	18	地址掩码应答
   11	超时

3. ICMP主要功能

   • 通告网络错误（发送“目标不可达”的ICMP报文）
     • 网络不可达（网络故障）
     • 主机不可达（IP地址错误）
     • 协议不可达（目的节点不支持数据包中指定的高层协议）
     • 端口不可达（数据包指定的目标端口在目的结点无效）
   • 通告网络拥塞（发送“源抑制”的ICMP报文，源结点收到后会降低发送速度）
     • 路由器或目标主机因缓存满来不及处理而丢弃IP数据包
   • 协助查找网络故障
     • ICMP支持Echo（回送）功能，在两个主机之间发送一个往返的数据包
     • 当网络中一个节点主动向另一个节点发出"Echo请求"报文，其中包含着这个报文的标 识和序列号，收到该报文的节点则必须向源节点发出"Echo应答"报文。
     • Ping命令即是利用这个功能,在网络上传输一系列数据包 ,测量平均往返时间并计算丢 包率。
   • 通告超时
     • 每个IP数据包的包头部分有一个8比特的"生存期" ( TTL )字段,取值范围是0 -255。 IP数据包在传输过程中，每经过一个路由器，该字段的值便减1。
     • 一个IP数据包从源节点出发时,它的TIL已被预先设定一 个数值,在传输过程中,如果该P包的TTL降低到零。路由器就会丢弃此包,这时会生成一个"超时”( time exceeded )的ICMP报文,通告这一事实。。
     • Trace就是一种基于上述功能的通用网络管理工具,它通过发送小TIL值的包及监视ICMP超时通告来探知网络路由。
   • 路由重定向
     • 如果路由器查找路由表发现由更好的路由，就会向源主机发出"重定向"的ICMP报文
   • 检查IP协议的错误
     • 当路由器或其他主机收到一个IP包,发现它的包头中字段的值不正确,就会向源主机发送“参数错误”的ICMP报文;
   • 测量指定路径上的通信延迟
     • ICMP时间戳消息的使用方法与Echo消息非常相似。不同的是,其”请求”、"响应” 消息均带有时间戳
   • 获取子网掩码
     • 一台主机可以发出一个包含"掩码请求”报文的广播包,默认网关路由器上的ICMP会向源主机发出一个"掩码应答”报文,把子网掩码通知它

11.2 windows 2003网络管理配置命令

1. ipconfig：显示TCP/IP网络配置信息
2. hostname：显示当前主机名
3. ARP：显示、删除、修改ARP条目（-s 添加 -d 删除 -a 显示）
4. NBTSTAT：显示本机与远程计算机基于TCP/IP的NetBIOS统计以及连接信息
5. NET：管理网络环境、服务、用户、登录等本地信息
6. NETSTAT：显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息
7. ping：通过发送ICMP报文，监听回应报文，从而检查与远程或本地计算机的连接。默认发送4个ICMP报文，每个报文包含64字节数据
8. tracert：通过发送包含不同TTL的ICMP报文并监听回应报文，来检测到达目的计算机的路径
9. pathping：结合了ping和tracert命令的功能，将报文发送到所经过的所有路由器，并根据每条返回的报文进行统计
10. route：显示或修改本地IP路由表条目信息

11.3 SNMP管理模型与配置命令

1. 基本概念

   SNMP用来管理TCP/IP互联网和以太网，有三个组成部分：管理站、代理和MIB，其管理模型是一个Manager/Agent模型，类似于Client/Sever模式。

   管理站（Manager）通过SNMP定义的PDU向代理（Agent）发送请求，而代理（Agent）将得到MIB值通过SNMP协议发送给管理站Manager。

   版本：

   • SNMP v1 最基本、最简单
   • SNMP v2 弥补版本1在安全方面的缺陷
   • SNMP v3 加强了安全性并且与SNMP v1具有很好的兼容性

2. SNMP管理站和代理

   • SNMP采用分布式结构，一个管理站可以管理多个代理；一个代理可以被多个管理管理、控制。

   • SNMP采用“团体”实现安全控制，每个团体都被指定一个团体名。一个团体包括一个代理和若干个管理控制该代理的管理站。

   • 管理站和代理之间发送、接受报文时必须以团体名进行认证，只有团体名正确、认证通过，报文才能被接受。一个团体可以规定具有一种访问模式（主要有read-only和read-write两种）

3. 管理信息库MIB-2

   MIB-2采用树形结构，每个MIB-2对象都有一个唯一的对象标识符（OID）来标识和命名，MIB-2库中所有对象，其标识符（OID）一定都是由1.3.6.1.2.1开头的。比如Cisco许多私有定义的管理对象其标识符（OID）就是由1.3.6.1.4.1.9

   MIB-2库中对象值数据类型有简单类型和应用类型。

   简单类型：整数（32位）、8个一组的字符串和对象标识符

   应用类型：IP地址、计数器、计量器、时钟

   • 时钟：用来记录从某个时间的发生开始到目前为止所经过的时间，单位是0.01s
   • 计数器：非负的整数，从0开始逐步增加但不能减少，一直增加到最大，然后回到0从头开始
   • 计量器：和计数器很相似，唯一区别是计量器的值可以增加也可以减少，而且增加到最大值以后不归0，二十不再增加（封顶），但可以降下来。

4. SNMP支持的操作

   获取（Get）、设置（Set）、通知（Notification），每种操作都有相应的PDU格式

   • Get操作：用于管理站内代理查询被管理设备上的MIB库数据，分为Get和GetNext两个操作，分别查询指定对象的值和查询指定对象的下一个相邻对象的值。

     当管理站需要查询时，向某个代理发送包含有“团体名”和GetRequestPDU（GetNextRequestPDU）的报文；代理收到这样的请求报文后，根据要求提取MIB库数据，构成了一个包含有同样“团体名”和GetResponsePDU的报文，发给管理站。

   • Set操作：用于管理站命令代理对被管理设备上MIB库中的对象值进行设置

     当管理站需要修改被管理设备上MIB库的某个数据时,就向某个代理发出包含有**“团体名”和SetRequestPDU的报文。代理收到请求报文后,执行设置操作并返回包含有GetResponsePDU的报文** 注意：团体字的访问模式必须是read-write时才能实现Set操作。

   • Notification操作：用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为**自陷（Trap）和通知（Inform）**两类。

     • Trap：又称为“中断”和“陷入”；每当出现Trap情况时，代理就会向管理站发出包含有“团体名”和TrapPDU的报文。
     • Inform：需要SNMP管理站确认接受的Trap，当管理站收到一条Inform通知后需要向发送者回复一条确定信息。

5. SNMP配置命令

   1. 创建或修改对SNMP团体名的访问控制

      (config)#snmp-server community <团体名> [view <视阈名>] [{ro|rw}] [访问控制表号]

      • 代理和管理站配置的团体名要相同

      • 视阈名规定了本团体内访问管理信息库的范围（MIB的范围）

   • 访问控制表号是一个介于1~99的郑书

   • ro|rw：用来设置管理站对代理的操作权限，ro为只读，rw为可读写

   • 建立一个团体，团体名为public，访问权限为可读可写，管理站的IP地址由10号ACL规定

     (config)#snmp-server community public rw 10

   2. 创建或修改一个SNMP视阈

      (config)#snmp-server view <视阈名> <对象标识符或子树> {included|excluded}

      • 视阈名，管理人员指定的一个字符串

      • 对象标识符或子树，是在这个视阈中包含（included）或排除（excluded）的MIB库对象的标识符

      • 建立一个视阈，名为part-object，它包括MIB-2库中系统组的所有对象和Cisco私有库的所有对象

        (config)#snmp-server view part-object system included

        (config)#snmp-server view part-object cisco included

   3. 设置路由器上的SNMP代理，使之具有发出通知的功能

      (config)#snmp-server enable traps [<通知类型>][<通知选项>]

      通知类型和通知选项是对什么情况下发出通知的规定

   4. 在某个接口配置模式下，指定当该接口断开或连接时都要向管理站发出通知

      (if-config) #snmp trap link-status

   5. 设置接受通知的管理站

      (config)#snmp-server host <主机名或IP地址> [traps|informs] [version{1|2c}] <团体名> [<udpprot <端口号>] [<通知类型>]

      • traps或informs：用于指定向这台主机是发送自陷信息还是发送通知**（默认为发送自陷信息）**
      • version 1或2c：用于指定是按照哪个版本的SNMP发送
      • upd-port：用于指定哪个UDP端口接受通知**（默认为162）**

11.4 网络攻击与漏洞查询

1. 网络攻击的基本方法

   • 木马入侵：设计并隐藏在计算机中进行特定工作或依照黑客的操作来进行某些工作的程序

   • 漏洞入侵：指黑客利用网络系统的漏洞，采用针对该漏洞的工具或自己设计的针对该漏洞的工具等方式入侵、攻击的行为

   • 口令入侵：使用某些合法用户的账户及其口令登录到目的主机，然后在实施攻击行为

   • 缓冲区溢出攻击：利用缓冲区溢出漏洞所进行的攻击行动。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等,甚至攻击者得到系统控制权，进行各种非法操作。

   • 协议欺骗攻击：是指针对网络协议的缺陷，采取某种欺骗手段，假冒身份来获取信息或取得特权的攻击方式。

     • ARP欺骗攻击：利用ARP协议漏洞，通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术
     • IP欺骗攻击：通过伪造某台主机的IP地址来骗取特权，进行攻击;
     • DNS欺骗攻击：攻击者通过种欺骗手段,使用户查询( DNS )服务器进行域名解析时获得一个错误的IP地址，从而引导用户访问一个错误的站点
     • 源路由欺骗攻击：通过指定路由，以假冒身份与其他主机进行合法通信或者发送假报文，使受攻击主机出现错误动作

   • 拒绝服务攻击（DoS）：攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务器资源，使得网络服务不能相应正常的请求

     • 死亡之Ping（Ping of Death）：是通过构造出重组缓冲区大小的异常的ICMP包进行攻击
     • SYN洪泛滥（SYN Flooding）：是利用TCP连接的三次握手过程进行攻击。攻击者主机使用无效的IP地址，与被攻击主机进行TCP的三次握手
     • Smurf攻击：是指攻击者在远程机器上发送ICMP应答请求服务，其目的主机是某个网络的广播地址，其请求包的源IP不是发起攻击的IP地址，而是将要攻击的主机的IP地址
     • 分布式拒绝服务攻击( DDoS )：指通过很多"僵尸主机"( 被攻击者入侵过或可间接 利用的主机)向受害主机发送大量看似合法的网络包,从而造成受害主机无法处理而拒绝 服务
     • Teardrop攻击：指利用OS处理分片重叠报文的漏洞进行攻击;
     • Land攻击：指向某个设备发送数据包，并将数据报的源IP地址和目的IP地址都设置成 攻击目标的地址

2. 漏洞查找办法

   扫描分为被动和主动，被动扫描对网络上流量进行分析，不产生额外的流量，也不会导致系统的崩溃；主动扫描则更多带有入侵的意味，可能会影响网络系统的正常运行。

   常见：ISS、X-Scanner、MBSA等。

   • ISS SafeSuite套件：互联网扫描器、系统扫描器和数据库扫描器

   • X-Scanner：运行在Windows上，主要针对Windows NT XP 2000。采用多线程方式对指定IP地址段（或单机）进行安全漏洞扫描

   • MBSA：微软公司提供的免费安全评估工具，优势在于其全面的系统安全扫描分析报告。可分析其他主机

3. 漏洞修补办法

   漏洞库CVE是个行业标准，为每个漏洞和暴露确定了唯一的名称和标准化描述。

   微软（WSUS）是用来实时发布微软公司操作系统更新程序的服务系统。

11.5 网络故障查找与排除

• 网卡安装、网线连接有问题
• IP地址和子网掩码配置错误
• TCP/IP协议工作不正常
• 网关设置错误
• 无法正常进行域名解析（域名解析服务器有故障）
• 路由设置存在问题（路径不可达）