Rendszeradminisztrációs eszközkészlet a hálózati szkenneléshez
Ez a tartalom a sorozat része: Rendszerfelügyeleti eszközök készlete
Vigyázz az új cikkekre ebben a sorozatban.
Erről a cikksorról
Minden egyes UNIX® rendszergazda rendelkezik saját segédprogramokkal, trükkökkel és rendszerekkel, amelyeket rendszeresen használ az adminisztrációs folyamat megkönnyítésére. A különböző folyamatok egyszerűsítésére speciális segédprogramokat, parancsszekvenciákat és parancsfájlokat használnak. Néhány ilyen eszköz az operációs rendszerrel érkezik, de a technikák többsége évek óta tapasztalható, és a rendszergazda vágya, hogy megkönnyítse az életet. Ez a ciklus a különböző UNIX környezetekben használt szabványos eszközök leghatékonyabb felhasználására összpontosít, beleértve a heterogén környezetben történő adminisztráció egyszerűsítésére szolgáló módszereket.
A hálózati szkennelés típusai
A hálózat szkennelése lehetővé teszi, hogy gyorsan képet kapjon a benne lévő folyamatokról, információkat gyűjtsön a konfigurációról és a rendelkezésre álló szolgáltatásokról. Különböző típusú pásztázó hálózatok célja különböző típusú információk gyűjtése és rögzítése. Ezenkívül különféle módokon is felhasználhatók a hálózattal kapcsolatos különböző információk megszerzésére.
A hálózati környezet egyik legfontosabb eleme az, hogy információt szerezzen arról, mi van benne. Hackelés, illetéktelen felszerelés, hibás vagy rosszul konfigurált házigazdák mind vezethetnek a hálózat problémáihoz.
A másik típusú letapogatás a hálózaton keresztül továbbított csomagok információinak felügyelete. A csomagok tartalmának beolvasása sok hasznos információval szolgálhat, amely lehetővé teszi, hogy világosan megértsük a továbbítandó információk természetét és értékeljük a hálózat általános teljesítményét.
Ha összeveti a csomagok tartalmának a hálózaton rendelkezésre álló állomásokkal és portokkal kapcsolatos információkkal történő lekérdezésével kapott információkat, akkor nagyon jó ötletet kap arra, hogy mi történik a hálózati folyamatokban.
Például egy hálózati vizsgálat során előfordulhat, hogy egy adott állomás fogadja a bejövő kapcsolatokat egy nem szabványos porton keresztül. De a csomagok tartalmának beolvasása nélkül nehéz megérteni a továbbított adatok természetét és a benne foglalt információkat.
Előfordulhat, hogy a gazdagép és a port nem használják jóhiszemű célokra, például egy HTTP-szerver megszervezéséhez, hanem a rosszindulatúakhoz - a hackeléshez, az SSH-alagúthoz vagy más információbiztonsági megszegéshez.
Szerverek beolvasása
Például a 192.168.0.0 hálózaton lévő összes gazda beolvasásához el kell indítania a segédprogramot, amint az az 1. listán látható.
Listázás 1. A hálózaton lévő összes gazda beolvasása 192.168.0.0
A fenti szkennelési eredmények azonban nem tartalmaznak információt a bejövő kapcsolatok számára nyitott portszámokról. Ez az információ segítené a fogadó által feldolgozott forgalom természetét, és ha a gazda nem ismeri Önt, segítene a benne lévő folyamatok megállapításában.
Portszkennelés
Ha a számítógépen hálózati szolgáltatás működik, például egy webkiszolgálót, egy levélkiszolgálót vagy egy peer-to-peer szolgáltatást, akkor a számítógépnek be kell fogadnia a bejövő kapcsolatokat egy adott porton keresztül. Egyes portok szabványosak (például a 80-as portot általában HTTP-hez használják). A portszkennelés elvégezhető minden beolvasandó gazda számára, vagy szelektíven.
Például egy porton történő beolvasás egy különálló állomáson lehetővé teszi, hogy nagyon jó ötletet kapjon a folyamatban lévő folyamatokról. A portkiszolgáló-vizsgálat egy példája a 2. listában található.
Listázás 2. Szerver portok beolvasása
Alapértelmezés szerint a szkennelési eredmények csak az aktuális átviteli protokoll (TCP) és az IP-portok adatait tartalmazzák. Ha a User Datagram Protocol (UDP) portokat be szeretné szkennelni, használnia kell a -sU kapcsolót. amint azt a 3. jegyzék mutatja.
Listázás 3. A -sU kapcsoló használata
Ez a folyamat megismételhető a hálózat minden állomásával.
Eredmények mentése
Amint korábban említettük, az egyetlen gazda- vagy portszkennelési munkamenet során kapott információ csak a beolvasás időpontjában releváns. Bizonyos házigazdák leválaszthatók a hálózattól, a szolgáltatások ideiglenesen nem érhetők el, és nagyon elfoglalt hálózatban a letapogatásos csomagok egyszerűen nem érhetik el a célt.
A szkennelést rendszeresen, az eredmények összehasonlításával (és még az összefonódással) együtt kell elvégezni a korábban kapott adatokkal. A probléma legegyszerűbb megoldása az nmap elindítása. az eredmények megtakarítása és összehasonlítása a korábbiakhoz képest a diff-hoz hasonló segédprogram használatával.
Példa arra, hogy hasonlítsa össze ugyanazt a host két szkennelési munkamenetének eredményeit az nmap segítségével, a 4. listában.
Listázás 4. Az ugyanazon gazda két szkennelési munkamenetének eredményeinek összehasonlítása nmap segítségével
A lista sorai "<' или '>, attól függően, hogy melyik fájlban van a különbség. Így láthatjuk, hogy a Network File System (NFS) protokoll az első fájlban szerepel, de nem a második fájlban, míg a mysql és vnc portokat megnyitották a második munkamenet alatt.
A csomagok tartalmának szkennelése
Az nmap kiváló eszköz az IP-kiszolgálók és a nyitott portok megtalálásához, de nem tudja megmutatni a hálózaton keresztül továbbított csomagok tartalmát. A csomagok tartalmának beolvasása lehetővé teszi, hogy megtekinthesse, mely állomásokat cserélnek egy adott állomással, milyen információkat továbbítanak és milyen szolgáltatásokat használnak.
A csomagok gyűjtött tartalma tájékoztatni fogja Önt a protokoll használatáról (például arról, hogy mely felhasználók látogatást tettek egy adott levelezőszerveren, és melyik házigazdák). Segít meghatározni a forgalom típusát, amennyiben a portszám nem határozható meg.
A hálózaton keresztül közlekedő csomagok tartalmának beolvasásához nincs szükség nmap-re. a beolvasó állomásokat és portokat, és egy másik eszközt. Számos ilyen eszköz létezik, beleértve azokat is, amelyek különböző operációs rendszerekkel vannak ellátva és harmadik gyártók által kifejlesztettek. Az ilyen eszközökre vonatkozó példák az Erőforrások részben találhatók.
Minden ilyen eszköz ugyanazokkal a bemeneti feltételekkel rendelkezik. Például egy Ethernet hálózatban csomagok érkeznek minden egyes fizikai portra - a továbbított információk megvizsgálására elegendő az összes bejövő csomag beolvasása. A kapcsolókra épített Ethernet hálózaton a csomagok nem érkeznek egymás után minden porthoz, de a legmodernebb kapcsolóknak van egy szerviz portja, ahol a csomagok még mindig esnek. Még ebben a hálózatban is értékes információkat kaphat az eszköz futtatásával, a csomagok tartalmának letapogatásával közvetlenül az érdeklődő gazda számára.
Az ilyen eszközök használatának módszerei és az általuk kapott információk némileg eltérnek, de az alapelvek mindig ugyanazok. Az AIX rendszeren az iptrace kiszolgálói folyamatként működik, amelyet explicit módon meg kell kezdeni és leállítani. Ha például futtatni szeretné, futtassa a következő parancsot:
A snoop eszköz. A Solaris csomagban található csomag egyszerűen elindítható bármikor:
Mivel a hálózaton keresztül továbbított adatok mennyisége jelentős lehet, az eszközök lehetővé teszik a szkennelés korlátozását, ha csak a megfelelő gazdagépeket, portokat és protokollokat határozza meg. Például egy adott állomás bejövő és kimenő adatainak vizsgálatához futtassa a következő parancsot:
Mivel a legtöbb kijelző nem képes az összes adatot befogadni, érdemes közvetlenül fájlba menteni őket:
A mentett információ elolvasása a fájlból adja meg az elérési utat a -i kapcsoló után.
A fenti példában engedélyezték a részletes információkijelző módot, amely alapértelmezés szerint minden összeállított csomag csomag tartalmának megjelenítését biztosítja.
Listázás 5. Adatcsere rögzítése az NFS protokollon keresztül
Minden egyes sor elején a beolvasott csomag protokollszintje meg van adva. Ebben az esetben az Ethernet, IP és TCP csomagok tartalma, beleértve a küldő és fogadó gazdagépekre vonatkozó információkat, valamint a csomag IP-zászlóit tartalmazza.
A 6. lista tartalmazza a gazdagépnév-keresés során gyűjtött adatokat a Domain Name Server (DNS) használatával.
Listázás 6. A DNS-keresés DNS-sel gyűjtött adatai
Ez a példa azt mutatja, hogy a snoop a DNS protokollt dekódolja a tényleges keresési eredményeket tartalmazó adatok megjelenítésére.
Listázás 7. Csomagok cseréje a weboldal elérésekor
következtetés
A hálózaton található adatok elérhetősége és az adatok továbbítása jelentősen enyhítheti számos problémát, beleértve az információbiztonsághoz és teljesítményhez kapcsolódó problémákat.
A hálózati szkennelés és a csomag tartalmának letapogatása hasznos gyakorlat, amely tájékoztatást nyújt a hálózatában található tartalmakról és arról, hogy mi történik benne. Ez lehetővé teszi, hogy gyorsan azonosítsa a problémák forrásait, azonosítsa a potenciálisan rosszindulatú vagy illetéktelen gazdákat és folyamatokat.