Acest conținut face parte din serie: Un set de instrumente de administrare a sistemului
Aveți grijă de articole noi din această serie.
Despre această serie de articole
Fiecare administrator UNIX® are setul propriu de utilități, trucuri și sisteme pe care le utilizează în mod regulat pentru a facilita procesul de administrare. Pentru a simplifica diferitele procese, se folosesc utilitare speciale, secvențe de comandă și scripturi. Unele dintre aceste instrumente vin cu sistemul de operare, dar majoritatea tehnicilor sunt acumulate cu ani de experiență și ca rezultat al dorinței administratorului de sistem de a face viața mai ușoară. Acest ciclu se concentrează pe utilizarea cea mai eficientă a instrumentelor standard utilizate în diferite medii UNIX, inclusiv metodele de simplificare a administrării într-un mediu eterogen.
Tipuri de scanare în rețea
Scanarea rețelei vă permite să obțineți rapid o imagine a proceselor care apar în ea, să adune informații despre configurația și serviciile disponibile. Diferite tipuri de rețele de scanare vizează colectarea și înregistrarea informațiilor de diferite tipuri. În plus, ele pot fi utilizate în diverse moduri pentru a obține diverse informații despre rețea.
Unul dintre elementele cheie ale oricărui mediu de rețea este capacitatea de a obține informații despre ceea ce este în el. Hacking-ul, echipamentele neautorizate, defecțiunile sau gazdele greșite pot duce la probleme cu rețeaua.
Un alt tip de scanare este monitorizarea informațiilor din pachetele transmise prin rețeaua dvs. Scanarea conținutului pachetelor poate oferi o mulțime de informații utile, permițându-vă să înțelegeți în mod clar natura informațiilor transmise și să evaluați performanța generală a rețelei.
Comparând informațiile obținute prin scanarea conținutului pachetelor cu informații despre gazde și porturile disponibile în rețea, puteți obține o idee foarte bună despre ceea ce se întâmplă în procesele de rețea.
De exemplu, în timpul unei scanări în rețea, este posibil să descoperiți că o anumită gazdă acceptă conexiunile de intrare printr-un port non-standard. Dar înțelegerea naturii datelor transmise și a informațiilor conținute în ele poate fi dificilă fără scanarea conținutului pachetelor.
Poate că gazda și portul nu sunt folosite în scopuri de bună credință, de exemplu, pentru organizarea unui server HTTP, dar pentru cele dăunătoare - pentru hacking, pentru un tunel SSH sau pentru o altă încălcare a securității informațiilor.
Scanarea gazde
De exemplu, pentru a scana toate host-urile din rețeaua 192.168.0.0, trebuie să rulați utilitarul, așa cum se arată în Lista 1.
Listarea 1. Scanarea tuturor gazdelor în rețea 192.168.0.0
Cu toate acestea, rezultatele de scanare de mai sus nu conțin informații despre numerele de port care sunt deschise pentru conexiunile primite. Aceste informații ar ajuta la înțelegerea naturii traficului care este procesat de gazdă și dacă gazda nu este cunoscută de dvs., ar ajuta la stabilirea proceselor care apar pe aceasta.
Port scanare
Dacă un serviciu de rețea rulează pe computer, de exemplu, un server Web, un server de poștă sau un serviciu peer-to-peer, acest computer trebuie să accepte conexiunile primite printr-un port specific. Unele porturi sunt standard (de exemplu, portul 80 este de obicei folosit pentru HTTP). Scanarea prin port poate fi efectuată pentru toate gazdele care urmează să fie scanate sau selectiv.
De exemplu, scanarea portului pe o gazdă separată vă permite să obțineți o idee foarte bună despre procesele care apar pe ea. Un exemplu de scanare a serverului de port este afișat în listare 2.
Listing 2. Scanarea porturilor de server
În mod implicit, rezultatele scanării includ numai informații despre porturile active TCP (Control Transmission Control Protocol) și porturile IP. Dacă doriți să scanați porturile User Datagram Protocol (UDP), trebuie să utilizați comutatorul -sU. după cum se arată în Lista 3.
Listarea 3. Folosind comutatorul -sU
Acest proces poate fi repetat cu toți gazdele din rețeaua dvs.
Salvarea rezultatelor
Așa cum sa spus mai devreme, informațiile primite în timpul unei singure sesiuni de gazdă sau scanare port vor fi relevante numai în momentul scanării. Unele gazde pot fi deconectate de la rețea, serviciile pot fi temporar indisponibile și într-o rețea foarte ocupată, pachetele de scanare pot pur și simplu să nu atingă ținta.
Scanarea ar trebui efectuată în mod regulat, cu compararea ulterioară (și chiar și fuzionarea) a rezultatelor cu cele obținute anterior. Cea mai simplă soluție la această problemă este să porniți nmap. salvând rezultatele și comparându-le cu cele obținute mai devreme folosind un utilitar similar cu dif.
Un exemplu de comparare a rezultatelor a două sesiuni de scanare ale aceleiași gazde folosind nmap este prezentat în Lista 4.
Listarea 4. Compararea rezultatelor a două sesiuni de scanare ale aceleiași gazde utilizând nmap
Liniile de listare încep cu '<' или '>", în funcție de care fișier este diferența. Astfel, puteți vedea că protocolul Network File System (NFS) este menționat în primul fișier, dar nu în al doilea fișier, în timp ce porturile mysql și vnc au fost deschise în timpul celei de-a doua sesiuni.
Scanarea conținutului pachetelor
nmap este un instrument excelent pentru găsirea gazdelor IP și a porturilor deschise, dar nu va putea să vă arate conținutul pachetelor transmise prin rețea. Scanarea conținutului pachetelor vă permite să vedeți ce gazde schimbă date cu o anumită gazdă, ce fel de informații sunt transmise și ce servicii sunt utilizate.
Conținutul colectat al pachetelor vă va spune despre utilizarea acestui sau acelui protocol (de exemplu, utilizatorii care au vizitat un anumit server de poștă și care gazde). Acesta va ajuta la determinarea tipului de trafic în cazul în care nu poate fi determinat de numărul portului.
Pentru a scana conținutul pachetelor care circulă prin rețea, nu aveți nevoie de nmap. gazde și porturi de scanare și un alt instrument. Există multe astfel de instrumente, inclusiv cele care vin cu sisteme de operare diferite și sunt dezvoltate de producători terți. Exemple de astfel de instrumente sunt enumerate în secțiunea Resurse.
Toate aceste instrumente au aceleași condiții de intrare. De exemplu, într-o rețea Ethernet, pachetele ajung la fiecare port fizic - pentru a examina informațiile transmise, este suficient să scanați toate pachetele primite. Într-o rețea Ethernet construită pe switch-uri, pachetele nu ajung în toate porturile la rând, dar cele mai moderne switch-uri au un port de serviciu, în care toate pachetele încă cad. Chiar și în această rețea, puteți obține informații valoroase prin rularea instrumentului, scanarea conținutului pachetelor, direct pe gazda care vă interesează.
Metodele de utilizare a acestor instrumente și informațiile obținute cu ajutorul lor sunt ușor diferite, dar principiile de bază sunt întotdeauna aceleași. Pe AIX, iptrace este implementat ca un proces server, care trebuie să fie inițiat și oprit explicit. De exemplu, pentru ao rula, executați următoarea comandă:
Instrumentul Snoop. Pachetul inclus în pachetul Solaris poate fi pornit în orice moment:
Întrucât cantitatea de date transmise prin rețea poate fi semnificativă, instrumentele vă permit să limitați scanarea specificând doar gazdele, porturile și protocoalele de interes. De exemplu, pentru a examina datele de intrare și de ieșire pentru o anumită gazdă, executați următoarea comandă:
Deoarece cele mai multe afișaje nu pot accepta toate datele, este logic să le salvați direct într-un fișier:
Pentru a citi informațiile salvate din fișier, specificați calea către acesta după comutatorul -i.
În exemplul de mai sus, modul de ieșire a informațiilor detaliate a fost activat, oferind afișarea conținutului tuturor pachetelor procesate, în loc de o scurtă descriere a informațiilor sumare.
Listarea 5. Înregistrarea schimbului de date prin protocolul NFS
La începutul fiecărei linii, se specifică nivelul protocolului din pachetul scanat. În acest caz, conținutul pachetelor Ethernet, IP și TCP este furnizat, incluzând informații despre gazdele care trimit și primesc, precum și semnele IP pentru acest pachet.
Lista 6 conține informații colectate în timpul căutării numelui gazdei utilizând Domain Name Server (DNS).
Listing 6. Informații colectate în timpul căutării DNS cu DNS
Acest exemplu arată cum snoop decriptează protocolul DNS pentru a afișa date care conțin rezultate reale de căutare.
Listing 7. Schimb de pachete atunci când accesați un site Web
concluzie
Disponibilitatea informațiilor despre ceea ce este în rețeaua dvs. și despre ce date sunt transmise pe aceasta poate să atenueze în mod semnificativ multe probleme, inclusiv cele legate de securitatea și performanța informațiilor.
Partajarea conținutului pachetului de scanare și scanare a rețelei este o practică utilă care vă oferă informații despre ceea ce este în rețeaua dvs. și despre ce se întâmplă în ea. Acest lucru vă permite să identificați rapid sursele de probleme, să identificați gazdele și procesele potențial dăunătoare sau neautorizate.
Descărcați resurse
Subiecte conexe
Trimiteți-le prietenilor: