借助網(wǎng)絡(luò)分析系統(tǒng)測試網(wǎng)絡(luò)的安全性1.1. 前言一般情況下，大多數(shù)公司或企業(yè)，都部署有IDS入侵檢測系統(tǒng)，同時(shí)通過IDS對(duì)網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)控。當(dāng)網(wǎng)絡(luò)中出現(xiàn)攻擊行為時(shí)，IDS會(huì)自動(dòng)進(jìn)行告警。雖然IDS目前在網(wǎng)絡(luò)中應(yīng)用非常廣泛，但它存在兩個(gè)非常大的不足。IDS只能對(duì)網(wǎng)絡(luò)中正在進(jìn)行的攻擊行為進(jìn)行監(jiān)控，對(duì)于潛伏在網(wǎng)絡(luò)中的攻擊行為，IDS無能為力。IDS只能匹配規(guī)則庫中存在的攻擊行為，對(duì)于規(guī)則庫中不存在的新型攻擊、變種攻擊，IDS不能對(duì)其進(jìn)行識(shí)別和告警。由于網(wǎng)絡(luò)中的攻擊行為復(fù)雜多變，且IDS存在不足，為全面了解網(wǎng)絡(luò)的安全狀況，我們必須找到另一種更加合理的解決方案。這里，我們提出一種通過網(wǎng)絡(luò)分析系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行安全性測試的思路，僅供大家探討。PS：1、本文僅討論使用網(wǎng)絡(luò)分析系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行的安全測試。2、文中使用的網(wǎng)絡(luò)分析系統(tǒng)是“科來網(wǎng)絡(luò)分析系統(tǒng)2010”。1.2. 安裝部署及抓包1. 安裝部署測試之前，我們需要先進(jìn)行正確的安裝部署。n 將科來網(wǎng)絡(luò)分析系統(tǒng)安裝到分析用的機(jī)器上。n 將安裝科來的機(jī)器連接到交換機(jī)的鏡像端口上。一般情況下對(duì)全網(wǎng)進(jìn)行測試，則將分析用的機(jī)器連接到核心交換機(jī)的鏡像端口；如果只需要對(duì)某個(gè)部門進(jìn)行測試，則將分析用的機(jī)器連接到該部門交換機(jī)鏡像端口。n 在相應(yīng)交換機(jī)上，配置好端口鏡像或流鏡像。配置好后，可登錄交換機(jī)，使用show int 或dis int 之類的命令，查看端口的流量情況，如果端口流量較大，說明配置成功，反之則可能配置有問題。2. 捕獲數(shù)據(jù)包正確部署后，即開始捕獲網(wǎng)絡(luò)中的通訊內(nèi)容，具體步驟如下：n 啟動(dòng)科來網(wǎng)絡(luò)分析系統(tǒng)2010。n 選擇正確的網(wǎng)卡。如果機(jī)器上有多個(gè)網(wǎng)卡，請(qǐng)確保選擇的是連接交換機(jī)鏡像端口的網(wǎng)卡。n 選擇恰當(dāng)?shù)姆治龇桨覆?duì)其進(jìn)行編輯，根據(jù)實(shí)際情況調(diào)整數(shù)據(jù)包緩存的大小，建議設(shè)置不超過300M。由于我們這兒做的是安全測試，所以選擇“安全分析”方案。n 網(wǎng)絡(luò)檔案使用默認(rèn)即可，其它不進(jìn)行設(shè)置，選擇好后開始頁面如下圖。一切就緒后，點(diǎn)擊開始頁右下角的開始捕獲。注意：系統(tǒng)支持的分析方式有實(shí)時(shí)分析和回放分析。如果是對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)抓包分析，選擇“實(shí)時(shí)分析”；如果是對(duì)已經(jīng)保存好的數(shù)據(jù)包進(jìn)行分析，選擇“回放分析”。（系統(tǒng)默認(rèn)情況下選中的是實(shí)時(shí)分析。）（圖1 科來網(wǎng)絡(luò)分析系統(tǒng)開始頁）1.3. 詳細(xì)分析進(jìn)行安全分析時(shí)，建議抓取數(shù)據(jù)的時(shí)間稍長，最好不要低于10分鐘，這樣可以得出的測試結(jié)果將會(huì)更有說服力。測試后的分析主要從攻擊行為和安全隱患兩個(gè)方面進(jìn)行。1. 攻擊行為分析從科來網(wǎng)絡(luò)分析系統(tǒng)2010的多個(gè)與安全相關(guān)的視圖，查看網(wǎng)絡(luò)中是否存在攻擊行為。n ARP攻擊如圖2所示，如果網(wǎng)絡(luò)中存在ARP攻擊，“疑似ARP攻擊分析“視圖會(huì)自動(dòng)分析出ARP攻擊的源地址，同時(shí)下面有詳細(xì)的物理會(huì)話信息，雙擊物理會(huì)話的下面的條目，系統(tǒng)會(huì)繼續(xù)分析具體的攻擊數(shù)據(jù)包。同時(shí)，ARP攻擊分析，也可以直接在診斷視圖中查看。（圖2 疑似ARP攻擊分析）n 蠕蟲病毒當(dāng)網(wǎng)絡(luò)中存在蠕蟲病毒泛濫的情況時(shí)，系統(tǒng)會(huì)自動(dòng)對(duì)其進(jìn)行分析，并準(zhǔn)確定位已經(jīng)被感染蠕蟲病毒的主機(jī)。圖3所示的疑似蠕蟲病毒分析視圖，會(huì)自動(dòng)顯示出感染的主機(jī)，并將感染主機(jī)的詳細(xì)信息，如流量、數(shù)據(jù)包、發(fā)送數(shù)據(jù)包、接收數(shù)據(jù)包、IP會(huì)話、TCP會(huì)話、原始數(shù)據(jù)包等進(jìn)行顯示。（圖3 蠕蟲病毒分析）n DOS攻擊針對(duì)網(wǎng)絡(luò)中的DOS攻擊分析，系統(tǒng)可以檢測出正在進(jìn)行的主動(dòng)DOS攻擊行為，以及正在遭受DOS攻擊的情況，如圖4所示。疑似DOS攻擊分析視圖列出了可能正在進(jìn)行DOS攻擊的主機(jī)，疑似受到DOS攻擊分析視圖列出了可能正在遭受DOS攻擊的主機(jī)，兩個(gè)視圖對(duì)這些主機(jī)的流量、發(fā)包、收包、會(huì)話、原始數(shù)據(jù)包等詳細(xì)信息進(jìn)行詳細(xì)統(tǒng)計(jì)。（圖4 DOS攻擊分析）n TCP端口掃描TCP端口掃描一般情況是后續(xù)攻擊的前奏，系統(tǒng)的TCP端口掃描視圖，可以對(duì)網(wǎng)絡(luò)中的TCP端口掃描行為，進(jìn)行準(zhǔn)確檢測 和定位，如圖5所示。（圖5 TCP端口掃描）2. 安全隱患分析此處的安全隱患，包括設(shè)備管理安全隱患、電子郵件安全隱患、FTP文件傳輸安全隱患。n 設(shè)備管理安全隱患通常情況下，管理人員對(duì)已經(jīng)投入使用的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（防火墻、UTM、IDS/IPS等）的管理，一般使用的方式有Web（HTTP，HTTPS）和命令行（Telnet，SSH）。這其中，HTTPS和SSH是加密協(xié)議，通過這兩種方式的管理相對(duì)安全，但HTTP和Telnet則是明文傳輸協(xié)議，如果使用這兩種方式進(jìn)行設(shè)備管理，則存在巨大的安全隱患。備注：大部分的設(shè)備都還支持一種Console調(diào)試，使用這種方式時(shí)，管理人員必須到達(dá)設(shè)備的物理位置，使用Console線連接進(jìn)行操作，一般僅在初步調(diào)試設(shè)備時(shí)使用。正常投入網(wǎng)絡(luò)使用的設(shè)備，很少采用這種方式。HTTP明文傳輸隱患查找：節(jié)點(diǎn)瀏覽器中選擇HTTP協(xié)議，右邊選擇TCP會(huì)話視圖，查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會(huì)話信息。如網(wǎng)絡(luò)中設(shè)備地址是192.168.8.1，則查看與192.168.8.1通訊的會(huì)話，并查看下面的數(shù)據(jù)流信息，如圖6，找到用戶名和密碼均是admin的明文傳輸。（圖6 HTTP明文傳輸）Telnet明文傳輸隱患查找：節(jié)點(diǎn)瀏覽器中選擇Telnet協(xié)議，右邊選擇TCP會(huì)話視圖，查看與網(wǎng)絡(luò)中設(shè)備進(jìn)行通訊的TCP會(huì)話信息。與HTTP明文傳輸方法一致，即可找到網(wǎng)絡(luò)中使用Telnet的明文傳輸。3. 電子郵件安全隱患現(xiàn)在，使用Outlook和Foxmail進(jìn)行電子郵件收發(fā)的用戶較多，默認(rèn)情況下，這兩種協(xié)議都是明文傳輸，存在電子郵件安全隱患。查找明文郵件密碼：節(jié)點(diǎn)瀏覽器中選擇SMTP和POP3協(xié)議（一次只能選擇一個(gè)），右邊選擇TCP會(huì)話視圖，查看下面的電子郵件會(huì)話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)挠脩裘兔艽a，如圖7。（圖7 電子郵件明文密碼）查找明文郵件內(nèi)容：節(jié)點(diǎn)瀏覽器中選擇SMTP和POP3協(xié)議（一次只能選擇一個(gè)），右邊選擇日志->Email信息，查看郵件的通訊情況，可以查找明文傳輸?shù)泥]件通訊情況，如圖8。（圖8 電子郵件明文傳輸）4. FTP文件傳輸安全隱患默認(rèn)情況下，通過CMD窗口、瀏覽器窗口、部分FTP客戶端等方式的FTP訪問，都是明文傳輸，存在巨大的安全隱患。查找FTP明文密碼：節(jié)點(diǎn)瀏覽器中選擇FTP協(xié)議，右邊選擇TCP會(huì)話視圖，查看下面的FTP會(huì)話信息以及數(shù)據(jù)流，可以查找明文傳輸?shù)腇TP用戶名和密碼，如圖9。（圖9 FTP明文密碼）查找FTP明文內(nèi)容：節(jié)點(diǎn)瀏覽器中選擇根節(jié)點(diǎn)，右邊選擇日志->FTP傳輸，可以查看到網(wǎng)絡(luò)中使用明文進(jìn)行的FTP文件傳輸情況，如圖10。（圖10 FTP明文傳輸）1.4. 分析結(jié)論通過上述的抓包和測試分析，可以對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全面體驗(yàn)，讓管理人員知道網(wǎng)絡(luò)的當(dāng)前安全狀況，以及網(wǎng)絡(luò)中是否存在潛在的安全隱患，從而有效確保網(wǎng)絡(luò)的安全。所以，使用網(wǎng)絡(luò)分析系統(tǒng)，從宏觀上對(duì)網(wǎng)絡(luò)的安全性進(jìn)行測試，是網(wǎng)絡(luò)安全整體防御體系中必不可少的一部分，是當(dāng)前網(wǎng)絡(luò)安全防護(hù)狀態(tài)的必要補(bǔ)充。