日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

77 FreeBSD連載:安全工具( 三 )

云知道


顯然為了安全起見,不用作網(wǎng)絡(luò)管理用途的計(jì)算機(jī)上不應(yīng)該運(yùn)行這一類的網(wǎng)絡(luò)分析軟件,為了屏蔽它們,可以屏蔽內(nèi)核中的bpfilter偽設(shè)備 。一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或發(fā)送與本計(jì)算機(jī)無關(guān)的數(shù)據(jù)包,為了接收這些數(shù)據(jù)包,就必須使用網(wǎng)卡的混雜模式,并繞過標(biāo)準(zhǔn)的TCP/IP堆棧才行 。在FreeBSD下,這就需要內(nèi)核支持偽設(shè)備bpfilter 。因此,在內(nèi)核中取消bpfilter支持,就能屏蔽tcpdump之類的網(wǎng)絡(luò)分析工具 。
并且當(dāng)網(wǎng)卡被設(shè)置為混雜模式時(shí),系統(tǒng)會(huì)在控制臺(tái)和日志文件中留下記錄,提醒管理員留意這臺(tái)系統(tǒng)是否被用作攻擊同網(wǎng)絡(luò)的其他計(jì)算機(jī)的跳板 。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
雖然網(wǎng)絡(luò)分析工具能將網(wǎng)絡(luò)中傳送的數(shù)據(jù)記錄下來,但是網(wǎng)絡(luò)中的數(shù)據(jù)流量相當(dāng)大,如何對這些數(shù)據(jù)進(jìn)行分析、分類統(tǒng)計(jì)、發(fā)現(xiàn)并報(bào)告錯(cuò)誤卻是更關(guān)鍵的問題 。網(wǎng)絡(luò)中的數(shù)據(jù)包屬于不同的協(xié)議,而不同協(xié)議數(shù)據(jù)包的格式也不同 。因此對捕獲的數(shù)據(jù)進(jìn)行解碼,將包中的信息盡可能的展示出來,對于協(xié)議分析工具來講更為重要 。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應(yīng)用層協(xié)議,而不僅僅只支持tcp、udp等低層協(xié)議 。
從上面tcpdump的輸出可以看出,tcpdump對截獲的數(shù)據(jù)并沒有進(jìn)行徹底解碼,數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進(jìn)制的形式直接打印輸出的 。顯然這不利于分析網(wǎng)絡(luò)故障,通常的解決辦法是先使用帶-w參數(shù)的tcpdump截獲數(shù)據(jù)并保存到文件中,然后再使用其他程序進(jìn)行解碼分析 。當(dāng)然也應(yīng)該定義過濾規(guī)則,以避免捕獲的數(shù)據(jù)包填滿整個(gè)硬盤 。FreeBSD提供的一個(gè)有效的解碼程序?yàn)閠cpshow,它可以通過Packages Collection來安裝 。
# pkg_add /cdrom/packages/security/tcpshow*# tcpdump -c 3 -w tcpdump.outtcpdump: listening on fxp0# tcpshow < tcpdump.out---------------------------------------------------------------------------Packet 1TIME: 12:00:59.984829LINK: 00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026 <*** No decode support for encapsulated protocol ***>---------------------------------------------------------------------------Packet 2TIME: 12:01:01.074513 (1.089684)LINK: 00:A0:C9:AB:3C:DF -> FF:FF:FF:FF:FF:FF type=ARPARP: htype=Ethernet ptype=IP hlen=6 plen=4 op=request sender-Mac-addr=00:A0:C9:AB:3C:DF sender-IP-address=202.102.245.3 target-MAC-addr=00:00:00:00:00:00 target-IP-address=202.102.245.3---------------------------------------------------------------------------Packet 3TIME: 12:01:01.985023 (0.910510)LINK: 00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026 <*** No decode support for encapsulated protocol ***>tcpshow能以不同方式對數(shù)據(jù)包進(jìn)行解碼,并以不同的方式顯示解碼數(shù)據(jù),使用者可以根據(jù)其手冊來選擇最合適的參數(shù)對截獲的數(shù)據(jù)包進(jìn)行分析 。從上面的例子中可以看出,tcpshow支持的協(xié)議也并不豐富,對于它不支持的協(xié)議就無法進(jìn)行解碼 。
除了tcpdump之外,F(xiàn)reeBSD的Packages Collecion中還提供了Ethereal和Sniffit兩個(gè)網(wǎng)絡(luò)分析工具,以及其他一些基于網(wǎng)絡(luò)分析方式的安全工具 。其中Ethereal運(yùn)行在X Window下,具有不錯(cuò)的圖形界面,Sniffit使用字符窗口形式,同樣也易于操作 。然而由于tcpdump對過濾規(guī)則的支持能力更強(qiáng)大,因此系統(tǒng)管理員仍然更喜歡使用它 。
對于有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員,使用這些網(wǎng)絡(luò)分析工具不但能用來了解網(wǎng)絡(luò)到底是如何運(yùn)行的,故障出現(xiàn)在何處,還能進(jìn)行有效的統(tǒng)計(jì)工作,如那種協(xié)議產(chǎn)生的通信量占主要地位,那個(gè)主機(jī)最繁忙,網(wǎng)絡(luò)瓶頸位于何處等等問題 。因此網(wǎng)絡(luò)分析工具是用于網(wǎng)絡(luò)管理的寶貴系統(tǒng)工具 。
為了防止數(shù)據(jù)被濫用的網(wǎng)絡(luò)分析工具截獲,關(guān)鍵還是要在網(wǎng)絡(luò)的物理結(jié)構(gòu)上解決 。常用的方法是使用交換機(jī)或網(wǎng)橋?qū)⑿湃尉W(wǎng)絡(luò)和不信任網(wǎng)絡(luò)分隔開,可以防止外部網(wǎng)段竊聽內(nèi)部數(shù)據(jù)傳輸,但仍然不能解決內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相互通信時(shí)的數(shù)據(jù)安全問題 。

推薦閱讀