第11章 网络管理技术

互联网控制报文协议ICMP

Internet Control Message Protocol，Internet控制报文协议

• 常见的报文格式

  • 0：Echo应答
  • 3：目标不可达
  • 4：源抑制
  • 5：重定向
  • 11：超时
  • 13：时间戳请求
  • 14：时间戳应答

特点：

• IP的TTL值减为0时，路由器发出“超时”报文
• 收到“Echo请求”报文的目的节点必须向源节点发出“Echo应答”报文
• ICMP消息封装在IP数据包，而不是TCP数据包内
• 数据包中指定的目的端口在目的节点无效时，源节点会受到一个“目标不可达”报文
• 当路由器缓存已满，只能将数据包丢弃时，路由器向源节点发出“源抑制”报文

SNMP

SNMP支持的操作：

• 获取Get
• 设置Set：只有团体字的访问模式是read-write的条件下，才能实现Set

• 通知Notification：代理使用Inform方式执行Notification操作时需要收到管理站发出的一条确认消息

• Cisco路由器

  • 团体名admin，只读：snmp-server community admin ro
  • 设置SNMP具有发送信息的功能：enable traps

  • 设置接收通知的管理站：#snmp-server host <主机名或 IP 地址> [ traps | informs ][ version { 1 | 2c } ] <团体名> [ udp-port <端口号> ] [ <通知类型> ]

    • traps 或 informs：用于指定向这台主机是发送自陷信息还是发送通知(默认为发送自陷信息)。
    • version 1 或 2c：用于指定是按照哪个版本的 SNMP 发送。
    • udp-port：用于指定这台主机使用哪个 UDP 端口号接收通知(默认为 162)。
      • 创建或修改SNMP视阈：snmp-server view
      • 指定端口断开或连接时向管理站发出通知：snmp trap link-status

特点：

• SNMP管理模型中，Manager通过SNMP定义的PDU向Agent发出请求
• SNMP是基于UDP传输的
• MIB-2库中 计量器 类型的值可以增加也可以减少，计数器 类型的值只能增加不能减少
• 出现自陷情况时，代理站会向管理站 发出包含团体字和TrapPDU的报文
• 当管理站需要查询时，就像某个代理发出包含团体字和 GetRequestPDU 的报文
• 向管理站发出一条Inform通知而未收到确认消息时，会再次发送

软件：

• Solarwinds
• Netview
• MRTG：不能用于网络嗅探（OPNET、NS-2、X-scanner也不能）
• 【不支持SNMP】Wireshark

能用于网络嗅探：

• Wireshark
• Sniffer
• Ethereal
• TCPdump

Windows2003网络管理

• net命令
  • net view：显示域列表、计算机列表
  • net statistics：显示本地工作站或服务器服务的统计日志

• netstat命令：显示活动的TCP连接等信息

  • -a：显示所有连接和侦听端口

    活动连接
    
    协议  本地地址          外部地址        状态
    TCP    0.0.0.0:80             genuine-software:0     LISTENING
    TCP    0.0.0.0:135            genuine-software:0     LISTENING
    TCP    0.0.0.0:445            genuine-software:0     LISTENING
    

  • -r：显示路由表信息，有Active Routes、Persistent Routes

• route：修改主机默认网关设置

• tracert
  • "Destination net unreachable" 相关路由器设置了访问控制

• pathping命令：报文发送所经过的所有路由器，并对返回的报文进行统计。可用于检测本机配置的DNS服务器是否工作正常。

  Tracing route to www.lb.pku.edu.cn [162.105.131.113]
  Over a maximum of 30 hops:
    0     jscs    [202.113.76.123]
    1     202.113.76.1 reports: Destination net unreachable.
  
  Computing statistics for 25 seconds...
              Source to Here   This Node/Link
  Hop  RTT    Lost/Sent = Pct  Lost/Sent = Pct  Address
    0                                           jscs [202.113.76.123]
                                  100/100 = 100%   |
    1   ---   100/100 = 100%    0/100 = 0%       jscs [0.0.0.0]
  
  Trace complete
  

造成一台计算机无法浏览某个Web网站的原因

1. 该计算机的TCP/IP协议工作不正常
2. 该计算机IP地址与掩码设置有错误
3. 改计算机网关设置错误
4. 该计算机DNS设置有误
5. 该计算机的浏览器有问题
6. 该计算机设置的DNS服务器工作不正常
7. 网络中路由器或防火墙有相关拦截的ACL规则
8. 该网站工作不正常

校园网内的一台计算机无法使用域名而只能使用卫P地址访问某个外部服务器，造成这种情况的原因不可能是

说明域名服务器有问题，不可能是【该计算机与DNS服务器不在同一子网】

可能是：

• 本地域名服务器无法与外部正常通信
• 提供被访问服务器名字解析的服务器有故障
• 该计算机DNS设置有误

ping www.pku.edu.cn 得到IP地址，说明

说明本机的IP地址可用，DNS服务器和域名解析服务工作都正常

但无法说明本机的网关配置是否正确

ping有正常结果，说明主机www.pku.edu.cn的网关配置正确

但无法说明主机www.XXX上WWW服务工作正常

第在某Cisco路由器上使用命令snmp-server host 202.113.77.5 system进行SNMP设置，如果在管理站202.113.77.5上能够正常接收来自该路由器的通知，那么下列描述中错误的是 ( )。
* A. 路由器上已用snmp-server enable traps设置了SNMP代理具有发出通知的功能
* B. 路由器向管理站按照团体字public发送通知
* C. 管理站202.113.77.5使用UDP的162端口接收通知
* D. 路由器使用SNMPv1向管理站发送通知

正确答案：B

网络攻击

攻击

• SYN Flooding攻击：使用无效IP地址，利用TCP连接的三次握手过程，使得受害主机处于开放会话的请求之中，直至连接超时，最终因为资源耗尽而停止响应。
• DDos（Denial Of Service）攻击：利用攻破的多个系统发送大量请求去集中攻击其他目标，受害设备因为无法处理而拒绝服务。
• SQL注入攻击：利用系统漏洞，防火墙无法阻断，基于网络的入侵防护系统和基于主机的入侵防护系统难以阻断。
• Land攻击：向某个设备发送数据包，并将数据包的源IP地址和目的地址都设置成攻击目标的地址

• 协议欺骗攻击：伪造某台主机的IP地址窃取特权。

  • IP欺骗攻击
  • ARP欺骗攻击
  • DNS欺骗攻击
  • 源路由欺骗攻击

• NDS欺骗攻击：是用户查询服务器进行域名解析时，获得一个错误的IP地址，从而可将用户引导到错误的Internet站点

• IP欺骗攻击：伪造某台主机的IP地址骗取特权，进而进行攻击的技术
• Cookie篡改攻击：通过Cookie的篡改实现非法访问目标站点
• Smurf攻击：冒充受害主机的IP地址，向一个大的网络发送echo request的定向广播包，此网络的许多主机都做出回应，受害主机会收到大量的echo reply消息。

重点：

• 基于网络的防护系统无法阻断：Cookie 篡改、DNS欺骗、SQL注入
• 基于网络的入侵防护系统和基于主机的入侵防护系统都难以阻断：跨站脚本攻击、SQL注入攻击

漏洞查找

漏洞扫描工具的主要性能指标包括速度、漏洞数量及更新周期、是否支持定制攻击等。

分类：

• 被动扫描：工作方式类似于IDS
• 主动扫描：可能会影响网络系统的正常运行

工具：

• ISS：ISS的System Scanner依附于主机上的扫描器代理侦测主机内部的漏洞
• X-Scanner：多线程的方式对指定IP地址段进行安全漏洞扫描，不涉及路由器交换机的扫描
• MBSA
• CVE：为每个漏洞确定了唯一的名称和标准化描述