返回
借助网络分析系统测试网络的安全性new

借助网络分析系统测试网络的安全性new

ID:18603890

大小:626.85 KB

页数:6页

时间:2018-09-19

借助网络分析系统测试网络的安全性new_第1页
借助网络分析系统测试网络的安全性new_第2页
借助网络分析系统测试网络的安全性new_第3页
借助网络分析系统测试网络的安全性new_第4页
借助网络分析系统测试网络的安全性new_第5页
资源描述:

《借助网络分析系统测试网络的安全性new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、借助网络分析系统测试网络的安全性1.1.前言一般情况下,大多数公司或企业,都部署有IDS入侵检测系统,同时通过IDS对网络的安全状况进行监控。当网络中出现攻击行为时,IDS会自动进行告警。虽然IDS目前在网络中应用非常广泛,但它存在两个非常大的不足。IDS只能对网络中正在进行的攻击行为进行监控,对于潜伏在网络中的攻击行为,IDS无能为力。IDS只能匹配规则库中存在的攻击行为,对于规则库中不存在的新型攻击、变种攻击,IDS不能对其进行识别和告警。由于网络中的攻击行为复杂多变,且IDS存在不足,为全面了解网络的安全状况,我们必须找到另一种更加合理

2、的解决方案。这里,我们提出一种通过网络分析系统对网络进行安全性测试的思路,仅供大家探讨。PS:1、本文仅讨论使用网络分析系统对网络进行的安全测试。2、文中使用的网络分析系统是“科来网络分析系统2010”。1.2.安装部署及抓包1.安装部署测试之前,我们需要先进行正确的安装部署。n将科来网络分析系统安装到分析用的机器上。n将安装科来的机器连接到交换机的镜像端口上。一般情况下对全网进行测试,则将分析用的机器连接到核心交换机的镜像端口;如果只需要对某个部门进行测试,则将分析用的机器连接到该部门交换机镜像端口。n在相应交换机上,配置好端口镜像或流镜像

3、。配置好后,可登录交换机,使用showint…或disint…之类的命令,查看端口的流量情况,如果端口流量较大,说明配置成功,反之则可能配置有问题。2.捕获数据包正确部署后,即开始捕获网络中的通讯内容,具体步骤如下:n启动科来网络分析系统2010。n选择正确的网卡。如果机器上有多个网卡,请确保选择的是连接交换机镜像端口的网卡。n选择恰当的分析方案并对其进行编辑,根据实际情况调整数据包缓存的大小,建议设置不超过300M。由于我们这儿做的是安全测试,所以选择“安全分析”方案。n网络档案使用默认即可,其它不进行设置,选择好后开始页面如下图。一切就绪

4、后,点击开始页右下角的开始捕获。注意:系统支持的分析方式有实时分析和回放分析。如果是对网络进行实时抓包分析,选择“实时分析”;如果是对已经保存好的数据包进行分析,选择“回放分析”。(系统默认情况下选中的是实时分析。)(图1科来网络分析系统开始页)1.1.详细分析进行安全分析时,建议抓取数据的时间稍长,最好不要低于10分钟,这样可以得出的测试结果将会更有说服力。测试后的分析主要从攻击行为和安全隐患两个方面进行。1.攻击行为分析从科来网络分析系统2010的多个与安全相关的视图,查看网络中是否存在攻击行为。nARP攻击如图2所示,如果网络中存在AR

5、P攻击,“疑似ARP攻击分析“视图会自动分析出ARP攻击的源地址,同时下面有详细的物理会话信息,双击物理会话的下面的条目,系统会继续分析具体的攻击数据包。同时,ARP攻击分析,也可以直接在诊断视图中查看。(图2疑似ARP攻击分析)n蠕虫病毒当网络中存在蠕虫病毒泛滥的情况时,系统会自动对其进行分析,并准确定位已经被感染蠕虫病毒的主机。图3所示的疑似蠕虫病毒分析视图,会自动显示出感染的主机,并将感染主机的详细信息,如流量、数据包、发送数据包、接收数据包、IP会话、TCP会话、原始数据包等进行显示。(图3蠕虫病毒分析)nDOS攻击针对网络中的DOS

6、攻击分析,系统可以检测出正在进行的主动DOS攻击行为,以及正在遭受DOS攻击的情况,如图4所示。疑似DOS攻击分析视图列出了可能正在进行DOS攻击的主机,疑似受到DOS攻击分析视图列出了可能正在遭受DOS攻击的主机,两个视图对这些主机的流量、发包、收包、会话、原始数据包等详细信息进行详细统计。(图4DOS攻击分析)nTCP端口扫描TCP端口扫描一般情况是后续攻击的前奏,系统的TCP端口扫描视图,可以对网络中的TCP端口扫描行为,进行准确检测和定位,如图5所示。(图5TCP端口扫描)1.安全隐患分析此处的安全隐患,包括设备管理安全隐患、电子邮件

7、安全隐患、FTP文件传输安全隐患。n设备管理安全隐患通常情况下,管理人员对已经投入使用的网络设备(交换机、路由器等)、安全设备(防火墙、UTM、IDS/IPS等)的管理,一般使用的方式有Web(HTTP,HTTPS)和命令行(Telnet,SSH)。这其中,HTTPS和SSH是加密协议,通过这两种方式的管理相对安全,但HTTP和Telnet则是明文传输协议,如果使用这两种方式进行设备管理,则存在巨大的安全隐患。备注:大部分的设备都还支持一种Console调试,使用这种方式时,管理人员必须到达设备的物理位置,使用Console线连接进行操作,一

8、般仅在初步调试设备时使用。正常投入网络使用的设备,很少采用这种方式。HTTP明文传输隐患查找:节点浏览器中选择HTTP协议,右边选择TCP会话视图,查看与网络中设备

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。