第十一章 网络管理技术

1.网络管理模型(SNMP)

 (1)SNMP 的基本概念

     SNMP 是用于传输管理信息的传输协议，只在 TCP/IP 协议层上进行定义，并基于 UDP 传输。

     MIB-2 库中计数器类型的值只能增加，不能减少；而计量器类型的值可以增加也可以减少。

     SNMP 管理模型中，Manager 通过 SNMF 定义的 PDU 向 Agent 发出请求，而 Agent 将得到 MIB 值通过 SNMP协议传给 Manager。

     标识符（OID）是用于对网络硬件进行唯一的标识，其中 1.3.6.1.4.1.9 开头的 OID 表示 Cisco。

     SNMP 的体系结构包括 SNMP 管理站、SNMP 代理、管理信息库（MIB），其管理模型是一个管理/代理模式，它的这种管理模型类似于客户/服务器模型。

     从被管代理设备中收集数据有两种方法：轮询方法和基于中断的方法。

     SNMP 定义了管理进程和代理进程之间的关系，这个关系称为团体（community）。

     一个团体包括一个代理和若干个管理控制该代理的管理站，它们之间发送、接收报文时必须以团体名进行认证，只有团体名正确、认证通过，报文才能被接收。

     管理信息报文中包括两部分内容：①团体名和发送方的一些附加信息；②数据，即两个管理应用实体之间真正需要交换的信息。

(2)  SNMP 支持的操作

SNMP 支持的操作主要有：获取（get）、设置（set）、通知（notification），每种操作都有相应的 PDU 格式。

    Get 操作

①   用于管理站向代理查询被管设备上的 MIB 库数据。

②   分为 get 和 getnext 两个操作，分别查询指定对象的值和查询指定对象的下一个相邻对象的值。

③   当管理站需要查询时，向某个代理发出包含有“团体名”和 GetRequestPDU（GetNextRequestPDU）的报文。

④   在这个请求报文中，还包含“请求标识”（一个顺序号）和“变量绑定表”。变量绑定表是指对象的标识符及其相应的值。在发送查询请求时，变量绑定表的值为空。

⑤   代理收到查询请求报文后， 根据要求提取 MIB 库数据，构成一个包含同样“ 团体名“ 和

GetResponsePDU 的报文，发给管理站。

    Set 操作

①   用于管理站命令代理对被管设备上 MIB 库中的对象值进行设置。

②   当管理站需要修改被管设备上 MIB 库的某个数据时，就向某个代理发出包含有“团体名”和SetRequestPDU 的报文。

③   请求 PDU 的内容：“请求标识”（一个顺序号）和“变量绑定表”，就是指定某个对象标识符及其要设定的新值。

④   代理收到这样请求报文后，就好执行设置操作并返回包含有 GetResponsePDU 的报文。

⑤ 只有在团体字的访问模式是 read-write 的条件下才能实现 set 操作。

    Notification 操作

用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为自陷（Trap） 和通知（Inform）两类。其中：

① Trap：又称为“中断”。SNMP 规定，在冷启动、热启动、链路失效、链路启动等 6 种情况下，设备可以发出 Trap 信息。有些设备厂家还自定义了一些针对该种设备的特殊自陷情况。在发生 Trap 时，代理会向管理站发出一个包含有“团体名”和 TrapPDU 的报文。

②   Inform：与 Trap 不同的是，当管理站收到一条 Inform 通知后需要向发送者回复一条确认信息。当发送者没有收到期望的应答时，它将再次发送 inform 通知给管理站，以确保把通知发送到期望的管理站。Inform 通知会耗用网络和设备资源，因此不常使用。

(3)  网络设备的 SNMP 配置

创建或修改对 SNMP 团体名的访问控制

指定一个团体名，用于同一团体内的管理站和代理之间进行通信认证。此命令在全局模式下执行。

格式：router(config)#snmp-server community community-name ［view view-name ］［{ro|rw}］［access- list］

参数说明：

Community-name：指定设备要加入的团体名，代理和管理站配置的团体名要相同，否则管理站和代理之间无法进行正常通信。

View-name：此前已经建立的视阈名，规定了本团体内访问管理信息库的范围。

ro|rw：用来设置管理站对代理的操作权限，ro 为只读，rw 为可读可写。

access-list：是一个介于 1-99 的整数，代表一个标准的访问控制列表。

(1)   创建或修改一个 SNMP 视阈此命令

在全局模式下执行

格式：(config)#snmp-server view <视阈名> <对象标识符或子树> {included |excluded}

参数说明：

视阈名：管理人员指定的一个字符串。

对象标识符或子树：是在这个视阈中包含（included)或排除（excluded)的 MIB 库对象的标识符。

(2)   设置路由器上的 SNMP 代理，使之具有发出通知的功能

此命令在全局模式下执行。

格式：(config)#snmp-server enable traps ［<通知类型>］［<通知选项>］

参数说明：通知类型和通知选项是对在什么情况下发出通知的规定。

(3)   在某个接口配置模式下，指定当该接口断开或连接时要向管理站发出通知

格式：(if-config) #snmp trap link-status

(4)   设置接收通知的管理站

此命令在全局配置模式下执行,用于设置由网络中的哪台主机作为接收自陷消息的管理站。

格式：(config)#snmp-server host<主机名或 IP 地址>［traps 丨 informs］［version {1 丨 2c}］<团体名>［udp-port<端口号>］［<通知类型>］

参数说明：

traps 或 informs：用于指定向这台主机是发送自陷还是发送通知（缺省为发送自陷）。

version 1 或 2c：用于指定是按照哪个版本的 SNMP 发送。

udp-port：用于指定这台主机使用哪个 UDP 端口号接收通知（缺省为 162)。

1.常见的网络管理命令如下

     ipconfig 命令：显示 TCP/IP 网络配置信息。

     hostname 命令：显示当前主机名

     ARP 命令：显示、删除、修改 ARP 条目信息。

①   s：添加一个 ARP 表项，将其 IP 地址（inet_addr)与 MAC 地址（eth_addr)关联。

②   -d：删除 inet_addr 指定的 ARP 表项。

③   -a：显示当前的 ARP 表项。

     NBTSTAT 命令：显示本机与远程计算机基于 TCP/IP 的 NetBIOS 统计以及连接信息。

①   -a：列出指定名称的远程计算机的名称表。

②   -A：列出指定 IP 地址的远程计算机的名称表。

③   -c：列出远程NetBIOS 名称缓存及其对应 IP 地址。

④   -n：列出本地NetBIOS 名称。

⑤   -r：列出通过广播和 WINS 解析的名称。

⑥   S：列出会话及其目的 IP 地址。

     NET 命令：管理网络环境、服务、用户、登录等本地信息。

①   NET VIEW：显示域列表、计算机列表或指定计算机上共享资源的列表。

② NET USER：显示、创建或修改计算机上的用户账户。

③  NET USE：显示、建立或取消计算机与共享资源的连接。

④   NET START：显示或启动正在运行的服务。

⑤   NET PAUSE：挂起一个 Windows 服务或资源。

⑥   NET CONTINUE：重新激活一个被 NET PAUSE 命令挂起的 Windows 服务。

⑦   NET STOP ：终止 Windows 服务。

⑧   NET STATISTICS：显示本地工作站或服务器服务的统计日志。

⑨   NET SHARE：显示、建立或取消共享资源。

⑩   NET SESSION：显示或中断本地服务器与其他计算机之间的会话。

⑪   NET CONFIG：显示工作站或服务器服务的配置信息。

     NETSTAT 命令：显示活动的 TCP 连接、侦听的端口、以太网统计信息、IP 路由表和 IP 统计信息。常用参数说明:

①   -a：显示所有连接和侦听端口。

②   -e：显示以太网统计信息

③   -p：显示指定协议的连接。

④   -r：显示路由表内容。

⑤   -s：显示协议统计信息。

     ping 命令：通过发送 ICMP 报文，监听回应报文，来检查与远程或本地计算机的连接。默认发送 4 个ICMP 报文，每个报文包含 64 字节数据。

常用参数说明如下。

①   -t：检査与指定计算机的连接,直至用户中断本次操作。

②   -a：将 IP 地址解析为主机名。

③   -n count：按照 count 指定的数量发送报文。

④   -isize：按照 size 指定的长度发送报文。

⑤   -f：在报文中发送“不分段”标志，以保证数据包不被路由器分段。

⑥   -w timeout：按照 timeout 给出的毫秒数设定等待应答的时间。

    tracert 命令：通过发送包含不同 TTL 的 ICMP 报文并监听回应报文，来检测到达目的计算机的路径。

    Route 命令：显示或修改本地 IP 路由表条目信息。

    Nslookup（域名查询）是一个用于查询 Internet 域名信息或诊断 DNS 服务器问题的工具。

    Pathping 结合了 ping 和tracert 命令的功能，将报文发送到所经过地所有路由器，并根据每跳返回的报文进行统计。

2.    漏洞库 CVE 及漏洞攻击

CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）是个行业标准，它为每个漏洞和暴露确定了唯一的名称和标准化描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。

漏洞攻击指黑客利用网络系统的漏洞，利用针对该漏洞的工具进行入侵、攻击的行为。比较典型的漏洞入侵有：SQL 注入入侵、跨站脚本入侵、unicode 漏洞入侵等。

3.    口令入侵

口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。实施口令入侵的前提是获取该主机上的某个合法用户账号，并成功破译用户口令。

     弱口令扫描：攻击者通过扫描大量主机，从中找出一两个存在弱口令的主机。

     暴力破解：尝试所有字符、数字的组合方式。

     网络嗅探：通过嗅探器软件监听网络中的数据包来获得密码。

     混合攻击：结合字典攻击和暴力攻击，先字典攻击，再暴力攻击。

     其他攻击方式：中间人攻击、重放攻击、生日攻击、时间攻击。

4.    拒绝服务攻击（Denial of Service, DoS）

攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务资源，使得网络服务不能响应正常的请求。常见的 DoS 攻击:

①   死亡之 Ping（Ping of Death）

死亡之 Ping 是通过构造出重组缓冲区大小的异常的 ICMP 包进行攻击。

②   SYN 洪泛滥（SYN Flooding）

SYN 洪泛滥是利用 TCP 连接的三次握手过程进行攻击。攻击者主机使用无效的 IP 地址，与被攻击主机进行TCP 的三次握手。在完成第二步后，被攻击主机就会处于开放会话的请求之中，但会话并未真正完成。被攻击主机必须等待连接超时，之后才能清除未完成的会话。在此期间，被攻击主机将会连续接收这种会话请求，最终因耗尽资源而停止响应。

③ Smurf 攻击。

Smurf 攻击是指攻击者在远程机器上发送 ICMP 应答请求服务，其目的主机是某个网络的广播地址，其请求包的源 IP 不是发起攻击的 IP 地址，而是将要攻击的主机的 IP 地址，网络中的大量主机收到 ICMP 应答请求服务包后，按源 IP 回复请求信息，从而导致受攻击主机的性能下降，甚至崩溃。

④ 分布式拒绝服务攻击（Distributed Denial of Service,DDoS）

DDoS 指通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成受害主机无法处理而拒绝服务。

⑤   Teardrop 攻击

Teardrop 攻击指利用 OS 处理分片重叠报文的漏洞进行攻击。

⑥   Land 攻击

Land 攻击指向某个设备发送数据包，并将数据报的源 IP 地址和目的 IP 地址都设置成攻击目标的地址。

5.    协议欺骗攻击

协议欺骗攻击是指针对网络协议的缺陷，采取某种欺骗手段，假冒身份来获取信息或取得特权的攻击方式。常见的协议欺骗攻击：

     ARP 欺骗攻击。利用 ARP 协议漏洞，通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗的攻击技术。

     IP 欺骗攻击。通过伪造某台主机的 IP 地址来骗取特权，进行攻击。

     DNS 欺骗攻击。攻击者通过种种欺骗手段，使用户查询（DNS）服务器进行域名解析时获得一个错误的

IP 地址，从而引导用户访问一个错误的站点。

6.    漏洞扫描工具

     漏洞扫描分为被动扫描和主动扫描。

     被动扫描对网络上流量进行分析，不产生额外的流量，不会导致系统的崩溃，其工作方式类似于 IDS；

     主动扫描则带有一种入侵的意味，肯能会影响网络系统的正常运行。

     常见的有 ISS、X-Scanner、MBSA、Metasploit Framework、Core Impact、Canvas 等。

     ISS 扫描器

ISS SafeSuite 套件系列包括互联网扫描器(Internet Scanner)、系统扫描器 (System Scanner)和数据库扫描器(Database Scanner)。

①   互联网扫描器

网络扫描器对网络中所有附属设备，进行自动的安全漏洞扫描，检查它们的弱点，将风险分为高、中、低三个等级，并生成报告。

②   系统扫描器

是一个基于主机的漏洞扫描系统。依附于主机上的扫描器代理侦测主机内部的漏洞。时间策略是定时操作， 扫描对象是操作系统。

③   数据库扫描器

数据库扫描器是针对数据库管理系统风险的评估检测工具。

     MBSA

MBSA 会对一个或多个系统进行扫描，并返回一个有关安全修补程序缺少、密码脆弱、Internet Explorer 和

Outlook Express 安全设置以及 Office 宏保护设置等方面的报告。

     X-Scanner

①   X-Scanner 运行在 Windows 平台上，主要针对 Windows NT、Windows XP 和 Windows 2000 操作系统的安全进行全面细致的评估。

②   X-Scanner 采用多线程方式对指定 IP 地址段(或单机)进行安全漏洞扫描。

7.    互联网控制报文协议 ICMP

(1)ICMP 的基本概念

     ICMP 是（Internet Control Message Protocol）Internet 控制报文协议。

     它是 TCP/IP 协议族的一个子协议，属于网络层协议，用于在 IP 主机、路由器之间传递控制消息和差错报告。

     ICMP 唯一的功能是报告问题，纠正错误的任务由发送方完成。

     ICMP 消息被封装在 IP 数据包内，通过 IP 包传送的 ICMP 信息主要是涉及错误操作的报告和回送给源节点的关于 IP 数据包处理情况的消息。

     使用面向连接的传输

(2)   ICMP 消息类型

(3)   ICMP 的主要功能

     通告网络错误

当数据包在传输过程中，如果出现网络错误，相关路由器或主机上的 ICMP 会向源节点发送一个“目标不可达（destination unreachable）”的 ICMP 报文。

     通告网络拥塞

当路由器或目标主机因缓存满来不及处理而丢弃 IP 数据包时，它会向发送数据包的源节点发出一个“源抑制”的 ICMP 报文。源节点收到这个报文后会降低发送速度。

     协助查找网络故障

ICMP 支持 Echo（回送）功能，在两个主机之间发送一个往返的数据包。当网络中一个节点主动向另一个节点发出“Echo 请求”报文，其中包含着这个报文的标识和序列号，收到该报文的节点则必须向源节点发出“Echo 应答”报文。

     通告超时

每个 IP 数据包的包头部分有一个 8 比特的“生存期”（TTL）字段，取值范围是 0-255。IP 数据包在传输过程中，每经过一个路由器，该字段的值便减 1。一个 IP 数据包从源节点出发时，它的 TTL 已被预先设定一个数值，在传输过程中，如果该 IP 包的 TTL 降低到零，路由器就会丢弃此包，这时会生成一个“超时”（time exceeded）的 ICMP 报文，通告这一事实。

     路由重定向

当一台主机向自己的默认网关路由器发送一个需要转发的数据包时，如果路由器查找路由表发现有更好的路由，就会向源主机发出“重定向”的 ICMP 报文。

     检查 IP 协议的错误

当路由器或其他主机收到一个 IP 包，发现它的包头中字段的值不正确，就会向源主机发送“参数错误” 的 ICMP 报文。

     测量指定路径上的通信延迟

ICMP 时间戳消息的使用方法与 Echo 消息非常相似。不同的是，其“请求”“响应”消息均带有时间戳。

     获取子网掩码

一台主机可以发出一个包含“掩码请求”报文的广播包，默认网关路由器上的 ICMP 会向源主机发出一个“掩码应答”报文，把子网掩码通知它。

9.    网络数据监听工具（嗅探器软件）

常用的有 Wireshark、Sniffer      Pro、Ethereal、TCPdump 等。

10.   查找和排除故

计算机无法正常访问邮件服务器的可能原因有：

     该计算机网卡安装、网线连接有问题；

     该计算机的 IP 地址和子网掩码配置错误；

     该计算机的 TCP/IP 协议工作不正常；

     该计算机网关设置错误；

     该计算机访问邮件服务器网络通道上的交换机、路由器有问题；

     该计算机访问请求无法到达邮件服务器。