网络管理技术(二)
五 ,常见的网络故障及其处理
(1)常见网络故障
1主机故障
2网络设备故障
3通信线路故障
4软件系统故障
5网络拥塞与拒绝服务
(2)网络故障的检测与处理
1对故障进行分离和排序
2收集鼓掌信息
3分析原因
4故障测试与分析
5故障排除
6记录和总结
六,漏洞扫描
(1)漏洞扫描技术
漏洞即是指存在于计算机系统的硬件,软件,协议设计以及系统安全策略等方面的缺陷和不足。
漏洞扫描技术即是检测系统安全脆弱性的一种安全技术。通常分为基于主机和基于网络的两种扫描器:基于主机
的漏洞扫描器主要扫描主机系统相关的安全漏洞,如passwd文件,目录和文件权限,共享文件系统,敏感服务,软
件,系统漏洞等。
基于网络的漏洞扫描器主要扫描设定网络内的服务器,路由器,网桥,交换机,访问服务器,防火墙等设备的安
全漏洞,并可设定模拟供给,以测试系统的防御能力。
通常,漏洞扫描工具完成的功能包括:扫描,生成报告,分析并提出建议,以及数据管理等。网络漏洞扫描器的
主要性能应考虑的因素:
1速度
2能够发现的漏洞数量
3能否支持所定制的攻击方法
4能够给出清楚的安全漏洞报告
5更新的周期
(2)漏洞库CVE
公共漏洞和暴露(CVE)是个行业标准,它为每个漏洞和暴露确定了唯一的名称和标准化的描述,可以成为评价相
应入侵检测和漏洞扫描等工具产品和数据库库的基准。
如果在一个漏洞报告中指明的一个漏洞有CVE名称,就可以快速地在任何其他CVE兼容的数据库中找到相应的修
补程序。
七,常用网络管理软件的安装与配置
(1)网络管理软件的常见功能
1网路哟性能监控:提供带宽测量,路由CPU负荷性能指标的实时监控,以及历时数据统计。
2网络发现和拓扑管理:提供子网列表,ping sweep和IP网络浏览器。
3IP地址管理
4探测功能:提供ping和trace route等
5其他:如TFTP服务器等
(2)常见网络管理软件安装与配置
1大型管理平台
HP Open View,Sun Net Manager,IBM Net Viiew等。可以对多种网络,协议进行管理,有很好的开放性,支
持第三方管理软件的潜入。
2网络设备厂家自身产品的网管软件
如CISCO,Juniper,华为。
3中小型网络通用网管软件
如Solarwinds,MRTG,SNMPcI等。这些网路系统都是采用SNMP协议来对网络进行管理的。如果一个网络管理
控制多个代理,那么它和这些代理中的每一个都构成一个团体。
(3)网络设备SNMP配置(以cisco路由器为例)
1创建或修改对SNMP团体的访问控制
(config)# snmp-server community <团体名>
[view <示阀名>] [ro | rw] [<访问控制列表号>].
其中,
团体名:用于同一团体内的管理站和代理之间进行通信认证
示阀名:规定了本团体内访问管理信息库的范围
Ro或rw:代表访问权限为只读或可读写
访问控制列表号:1到99,标准的ACL,IP范围内的主机为属于这个“团体”的管理站。
(config)# snmp-server community public 4
(config)# snmp-server community admin viewpart rw
2创建或修改SNMP示阀
config)# snmp-server view <示阀名>
[<对象标识符或子树> |include|excluded]
3设置路由器上的SNMP代理工具有发出通知的功能
config)# snmp-server enable traps
[<通知类型>] [<通知选项>]
管理站对这种报文不必有所应答。
在某个接口的配置模式下,指定当该接口断开或链接时要向管理站发出通知:
config)# snmp-server trap link-status
4配置接收通知的管理站
config)# snmp-server host <主机名或IP地址>
[traps|informs] [version 1|2c]
<团体名.> [ udp-port<端口号>][<通知类型>]
八,管理和维护用户账务
(1)域用户管理
1添加用户账户
在【Active Directory用户计算机】中,右击User文件夹->【新建】->【用户】,输入用户的基本信息和登录名
称,设定用户密码,单击【下一步】,然后单击【完成】。
2修改域用户属性
在【Active Directory用户计算机】中,右击User栏中用户->单击“属性”,在属性对话框中对用户属性进行设置和
修改。
(2)组管理
1添加组
在【Active Directory用户计算机】中,右击User文件夹->【新建】->【组】,在新建组的对话框中输入组的名
称,并设置组作用域和组类型。
【组作用域】栏中的三个选项:
a本地作用域
具有本地作用域的组可以将其作为来自Windowsserver 2003或Windows NT域的组合账户,且可用于仅在域中授
予权限。具有本地作用域的组成为本地组。
b全局作用域
有全局作用域的组可将其成员作为仅来自组所定义的域的组和账户,并且在树林中的任何域中都可获得权限。有
全局作用域的组成为全局组。
c通用作用域
有通用作用域的组可以将其成员作为来自域树或树林中任何Windows server 2003域的组和账户,并且在域树或
树林中的任何域中都可获得权限。有通用作用域的组成为通用组。
【组类型】中的两个选项
a安全组:安全组列于定义资源和对象权限的选择性访问控制列表(DACL)中。
b通信组:通信组不采用安全机制。它们不能列于DACL中。只有电子邮件应用程序(如exchange)中的才能用通信
组将电子邮件发送给一组用户。
2在组中添加用户
九,利用工具监控和管理网络
(1)需求
(2)网络监听原理
网卡四种接收方式:广播,组播,单播,混杂模式。嗅探器通过将本地网卡设置为混杂模式,来监听并捕捉其连
接网段的所有的网络数据。
(3)网络监听部署
1对于共享型网络
在共享型网络中,只要将嗅探器部署到网络中的任意一个接口上或者插入到任何一个节点的链路中,即可以捕捉
到所有数据包。
2对于交换型网络
在交换式网络中,需要采用通过对交换机进行端口镜像的方式,来获得网络流量。
a配置被镜像端口
SW(config)#monitor session 1 sourceinterface Gi2/16
b配置镜像端口
SW(config)#monitor session 1 destinationinterface Gi2/12
c检查配置
SW#show monitor session 1
Type:Local Session
Source Ports:
Both:Gi2/16
Destination Ports:Gi2/12
(4)网络数据监听工具
常见的网络数据监听工具Sniffer Pro,Ethereal,TCPdump等。其中的Sniffer Pro是一个功能强大的可视化网络
流量监控软件,主要功能包括:
1捕捉网络流量,进行数据包解码分析
2实时监测网络活动
3内置分析器诊断网络故障
4存储各种历时信息,并进行基线分析
5当探测网络故障时可以发出警报
6可以模拟生成数据包对网络进行探测
十,查找和排除故障的基本方法
(1)收集故障有关信息
1该计算机使用真实IP地址
2该计算机能够使用域名访问自己校园网的WWW服务器
3该计算机与校园网WWW服务器不在同一个网段(VLAN)
4在同一网段的其他计算机正常访问www.mircosoft.com
(2)可能造成一台计算机无法浏览某个WWW服务器的原因主要有:
1该计算机的TCP/IP协议工作不正常
2该计算机的IP地址与掩码设置有误
3该计算机的网关设置有误
4该计算机的DNS设置有误
5该计算机系统的浏览器有问题
6提供www.mircosoft.com名字解析的服务器有故障
7服务器www.mircosoft.com工作不正常
8校园网路由设置中存在问题
9该计算机请求无法到达服务器www.mircosoft.com
(3)故障测试与分析
1运行命令ping www.mircosoft.com测试:
C:\>ping www.mircosoft.com
Pinging lb1.www.ms.akadns.net[207.46.19.60(www.mircosoft.com的IP地址)] with 32 bytes of data:
Reply from 202.113.79.1:destination netunreachable(表名该计算机发出的ping包在202.113.79.1被阻拦了)
Reply from 202.113.79.1:destination netunreachable
Reply from 202.113.79.1:destination netunreachable
Reply from 202.113.79.1:destination netunreachable
Ping statistics for 207.46.19.60:
Packets:Sent=4.Received=4,Lost=0(0% loss)
Approximate round trip times inmilli-seconds:
Minimum=0ms,Maximum=oms,Average=oms
2运行tracert www.microsoft.com测试:
C:\>tracert www.mircosoft.com
Tracing toute to lb1.www.ms.akadns.net[65.55.57.27] over a maximum of 30 hops:
1<1ms <1ms<1ms 202.113.79.53
2<1ms <1ms<1ms 202.113.79.9
3 202.113.79.1 reports:destination netunreachable.(第三跳202.113.79.1存在访问控制)
Trace complete
另外:如果出现request timed out可能是目标方工作不正常。
十一,网络攻击与漏洞查找的基本方法
(1)常见的网络入侵与攻击的基本方法
1木马入侵:C/S结构,不自身复制
2漏洞入侵:Unicode漏洞入侵,跨站脚本注入。Sql注入入侵
3协议欺骗攻击
4口令入侵
5缓冲区溢出漏洞攻击
6拒绝服务攻击
(2)协议欺骗攻击
针对网络协议的缺陷假冒用户身份截取信息获得特权的攻击方式。主要的协议欺骗攻击方式有以下几种:IP欺骗
攻击:ARP欺骗攻击,DNS欺骗攻击,源路由欺骗攻击
(3)拒绝服务攻击
基本方法是通过发送大量合法的请求来消耗和占用过多的服务资源,使得网络服务不能响应正常的请求。常用的
DoS攻击包括:
1Smurf攻击
攻击者冒充受害者主机的IP地址,向一个大的网络发送scho request的定向广播包,此网络的许多主机都做出回
应,受害主机会受到大量的echo reply消息。
2SYN Flooding
利用TCP三次握手过程进行攻击,使用无效的IP地址。
3分布式拒绝服务攻击
攻击者攻破了多个系统,并利用这些系统去集中攻击其他目标,成百上千的主机发送大量的请求,受害设备因无
法处理而拒绝服务。
4Ping of Death
通过构造出重组缓冲区大小的异常的ICMP包进行攻击。
5Teardrop
利用OS处理分片重叠报文的漏洞进行攻击
6Land攻击
向某个设备发送数据包,并将数据包的源地址和目的地址都设置成攻击目标地址
(4)漏洞查找方法
漏洞扫描分为被动和主动两种。被动扫描对网络上的流量进行分析,不产生额外流量,类似于IDS。主动扫描可
能会影响网络系统的正常运行。
常用的漏洞扫描攻击有:ISS,Microsoft Baseline Security Analyzer,X-Scanner。
1,ISS扫描器是主动扫描的一种。
Internet Scanner对网络设备进行自动的安全漏洞分析。
System Scanner是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。
2,X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种
操作方式。
3,MBSA是微软的安全评估工具。
(5)漏洞修补方法
Microsoft Windows Server Update Service(WSUS)是用来实时发布微软公共操作系统软件更新程序的服务器,
WSUS通过Internet和微软公司Microsoft Windows Server Update Service实时连接,及时获得微软公司最新更新程
序,大大缩短了网内计算机执行重大更新时的时间过程。
可更新部署windows Server 2003,Windows Server和Windows XP,Office XP,Exchange Server 2003以及SQL
server 2000和更高版本的更新。