借助网络分析系统测试网络的安全性

1、借助网络分析系统测试网络的安全性1.1. 前言一般情况下，大多数公司或企业，都部署有IDS入侵检测系统，同时通过IDS对网络的安全状况进行监控。当网络中出现攻击行为时，IDS会自动进行告警。虽然IDS目前在网络中应用非常广泛，但它存在两个非常大的不足。IDS只能对网络中正在进行的攻击行为进行监控，对于潜伏在网络中的攻击行为，IDS无能为力。IDS只能匹配规则库中存在的攻击行为，对于规则库中不存在的新型攻击、变种攻击，IDS不能对其进行识别和告警。由于网络中的攻击行为复杂多变，且IDS存在不足，为全面了解网络的安全状况，我们必须找到另一种更加合理的解决方案。这里，我们提出一种通过网络分析系统对网

2、络进行安全性测试的思路，仅供大家探讨。PS：1、本文仅讨论使用网络分析系统对网络进行的安全测试。2、文中使用的网络分析系统是“科来网络分析系统2010”。1.2. 安装部署及抓包1. 安装部署测试之前，我们需要先进行正确的安装部署。n 将科来网络分析系统安装到分析用的机器上。n 将安装科来的机器连接到交换机的镜像端口上。一般情况下对全网进行测试，则将分析用的机器连接到核心交换机的镜像端口；如果只需要对某个部门进行测试，则将分析用的机器连接到该部门交换机镜像端口。n 在相应交换机上，配置好端口镜像或流镜像。配置好后，可登录交换机，使用show int 或dis int 之类的命令，查看端口的流量

3、情况，如果端口流量较大，说明配置成功，反之则可能配置有问题。2. 捕获数据包正确部署后，即开始捕获网络中的通讯内容，具体步骤如下：n 启动科来网络分析系统2010。n 选择正确的网卡。如果机器上有多个网卡，请确保选择的是连接交换机镜像端口的网卡。n 选择恰当的分析方案并对其进行编辑，根据实际情况调整数据包缓存的大小，建议设置不超过300M。由于我们这儿做的是安全测试，所以选择“安全分析”方案。n 网络档案使用默认即可，其它不进行设置，选择好后开始页面如下图。一切就绪后，点击开始页右下角的开始捕获。注意：系统支持的分析方式有实时分析和回放分析。如果是对网络进行实时抓包分析，选择“实时分析”；如果

4、是对已经保存好的数据包进行分析，选择“回放分析”。（系统默认情况下选中的是实时分析。）（图1 科来网络分析系统开始页）1.3. 详细分析进行安全分析时，建议抓取数据的时间稍长，最好不要低于10分钟，这样可以得出的测试结果将会更有说服力。测试后的分析主要从攻击行为和安全隐患两个方面进行。1. 攻击行为分析从科来网络分析系统2010的多个与安全相关的视图，查看网络中是否存在攻击行为。n ARP攻击如图2所示，如果网络中存在ARP攻击，“疑似ARP攻击分析“视图会自动分析出ARP攻击的源地址，同时下面有详细的物理会话信息，双击物理会话的下面的条目，系统会继续分析具体的攻击数据包。同时，ARP攻击分析

5、，也可以直接在诊断视图中查看。（图2 疑似ARP攻击分析）n 蠕虫病毒当网络中存在蠕虫病毒泛滥的情况时，系统会自动对其进行分析，并准确定位已经被感染蠕虫病毒的主机。图3所示的疑似蠕虫病毒分析视图，会自动显示出感染的主机，并将感染主机的详细信息，如流量、数据包、发送数据包、接收数据包、IP会话、TCP会话、原始数据包等进行显示。（图3 蠕虫病毒分析）n DOS攻击针对网络中的DOS攻击分析，系统可以检测出正在进行的主动DOS攻击行为，以及正在遭受DOS攻击的情况，如图4所示。疑似DOS攻击分析视图列出了可能正在进行DOS攻击的主机，疑似受到DOS攻击分析视图列出了可能正在遭受DOS攻击的主机，两

6、个视图对这些主机的流量、发包、收包、会话、原始数据包等详细信息进行详细统计。（图4 DOS攻击分析）n TCP端口扫描TCP端口扫描一般情况是后续攻击的前奏，系统的TCP端口扫描视图，可以对网络中的TCP端口扫描行为，进行准确检测 和定位，如图5所示。（图5 TCP端口扫描）2. 安全隐患分析此处的安全隐患，包括设备管理安全隐患、电子邮件安全隐患、FTP文件传输安全隐患。n 设备管理安全隐患通常情况下，管理人员对已经投入使用的网络设备（交换机、路由器等）、安全设备（防火墙、UTM、IDS/IPS等）的管理，一般使用的方式有Web（HTTP，HTTPS）和命令行（Telnet，SSH）。这其中，

7、HTTPS和SSH是加密协议，通过这两种方式的管理相对安全，但HTTP和Telnet则是明文传输协议，如果使用这两种方式进行设备管理，则存在巨大的安全隐患。备注：大部分的设备都还支持一种Console调试，使用这种方式时，管理人员必须到达设备的物理位置，使用Console线连接进行操作，一般仅在初步调试设备时使用。正常投入网络使用的设备，很少采用这种方式。HTTP明文传输隐患查找：节点浏览器中选择HTTP协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。如网络中设备地址是，则查看与通讯的会话，并查看下面的数据流信息，如图6，找到

8、用户名和密码均是admin的明文传输。（图6 HTTP明文传输）Telnet明文传输隐患查找：节点浏览器中选择Telnet协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。与HTTP明文传输方法一致，即可找到网络中使用Telnet的明文传输。3. 电子邮件安全隐患现在，使用Outlook和Foxmail进行电子邮件收发的用户较多，默认情况下，这两种协议都是明文传输，存在电子邮件安全隐患。查找明文邮件密码：节点浏览器中选择SMTP和POP3协议（一次只能选择一个），右边选择TCP会话视图，查看下面的电子邮件会话信息以及数据流，可以查找明文传输的用户名和密码，如图7。（图7

9、电子邮件明文密码）查找明文邮件内容：节点浏览器中选择SMTP和POP3协议（一次只能选择一个），右边选择日志-Email信息，查看邮件的通讯情况，可以查找明文传输的邮件通讯情况，如图8。（图8 电子邮件明文传输）4. FTP文件传输安全隐患默认情况下，通过CMD窗口、浏览器窗口、部分FTP客户端等方式的FTP访问，都是明文传输，存在巨大的安全隐患。查找FTP明文密码：节点浏览器中选择FTP协议，右边选择TCP会话视图，查看下面的FTP会话信息以及数据流，可以查找明文传输的FTP用户名和密码，如图9。（图9 FTP明文密码）查找FTP明文内容：节点浏览器中选择根节点，右边选择日志-FTP传输，可以查看到网络中使用明文进行的FTP文件传输情况，如图10。（图10 FTP明文传输）1.4. 分析