近年來，以計(jì)算機(jī)系統(tǒng)為代表的信息系統(tǒng)建設(shè)蓬勃發(fā)展，各種新型的信息技術(shù)層出不窮；同時(shí)，后疫情時(shí)代受不確定的疫情波動(dòng)影響，企業(yè)的線下發(fā)展明顯失速，數(shù)字化、線上化、云化成為很多企業(yè)保持增速的解決方案。依托于“云大移智”等新型信息技術(shù)實(shí)現(xiàn)數(shù)字化賦能，企業(yè)正在加快數(shù)字平臺(tái)建設(shè)和應(yīng)用，數(shù)據(jù)成為驅(qū)動(dòng)企業(yè)發(fā)展的重要生產(chǎn)要素。

　　當(dāng)數(shù)據(jù)成為企業(yè)最重要的核心資產(chǎn)之一，意味著企業(yè)必須重視并具備數(shù)據(jù)安全保護(hù)能力，因?yàn)槲ㄓ袛?shù)據(jù)完整、清晰、安全和可靠，才能為企業(yè)產(chǎn)生有效價(jià)值。數(shù)據(jù)安全治理或防護(hù)首先依托于數(shù)據(jù)資產(chǎn)梳理，而數(shù)據(jù)資產(chǎn)梳理則依托于數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)。數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)中必然擁有存儲(chǔ)的載體，如數(shù)據(jù)庫、文件系統(tǒng)等，而伴隨數(shù)字化進(jìn)程，企業(yè)的數(shù)據(jù)資產(chǎn)散落于各種網(wǎng)絡(luò)中，成為數(shù)據(jù)泄露的風(fēng)險(xiǎn)點(diǎn)；而伴隨著時(shí)間流逝，被遺棄或遺忘在網(wǎng)絡(luò)中的數(shù)據(jù)載體將成為最大的隱患。故數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)，首先步驟就是探測發(fā)現(xiàn)存儲(chǔ)數(shù)據(jù)的網(wǎng)絡(luò)資產(chǎn)。本文在此介紹當(dāng)前網(wǎng)絡(luò)資產(chǎn)探測的常用方法和技術(shù)，并對(duì)其優(yōu)缺點(diǎn)做簡要?dú)w納。

　　01 網(wǎng)絡(luò)資產(chǎn)探測

　　網(wǎng)絡(luò)資產(chǎn)探測通常是指追蹤發(fā)現(xiàn)和分析掌握網(wǎng)絡(luò)資產(chǎn)情況的過程。通過網(wǎng)絡(luò)資產(chǎn)探測，能夠幫助企業(yè)組織梳理網(wǎng)絡(luò)中當(dāng)前存活的數(shù)據(jù)存儲(chǔ)應(yīng)用和服務(wù)，為數(shù)據(jù)治理資產(chǎn)納管提供信息基礎(chǔ)；此外，還可以據(jù)此發(fā)現(xiàn)網(wǎng)絡(luò)中存在的隱匿非法資產(chǎn)，為及時(shí)處理提供便利。網(wǎng)絡(luò)資產(chǎn)探測是實(shí)現(xiàn)數(shù)據(jù)治理的重要前提之一， 在數(shù)據(jù)安全相關(guān)工作中具有應(yīng)用價(jià)值。

　　從探測基礎(chǔ)數(shù)據(jù)的來源角度進(jìn)行分類，網(wǎng)絡(luò)資產(chǎn)探測主要分為主動(dòng)探測和被動(dòng)探測。本文將重點(diǎn)介紹目前網(wǎng)絡(luò)資產(chǎn)主動(dòng)探測。

　　02 基于高速網(wǎng)絡(luò)掃描的主動(dòng)探測

　　主動(dòng)探測方法，主要應(yīng)用多樣的高速網(wǎng)絡(luò)掃描技術(shù)，如主機(jī)存活檢測、端口掃描和服務(wù)鑒別等技術(shù)，通過主動(dòng)向目標(biāo)網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的探測數(shù)據(jù)包，并從返回的響應(yīng)數(shù)據(jù)包的相關(guān)信息中提取目標(biāo)特征，與內(nèi)置特征庫中的特征指紋進(jìn)行匹配，來實(shí)現(xiàn)對(duì)操作系統(tǒng)、開放端口、服務(wù)應(yīng)用類型和版本的探測。

　　03 主機(jī)存活檢測

　　企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，一般分為二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)。二層網(wǎng)絡(luò)僅僅通過MAC尋址即可實(shí)現(xiàn)通訊，而三層網(wǎng)絡(luò)通信需要經(jīng)過路由器轉(zhuǎn)發(fā)，則必須通過IP路由才能實(shí)現(xiàn)跨網(wǎng)段的通信。

　　基于ARP協(xié)議

　　如果掃描探針與檢測目標(biāo)處于同一網(wǎng)段的二層網(wǎng)絡(luò)當(dāng)中，那么使用地址解析協(xié)議（ARP）掃描技術(shù)是很好的選擇。該方法速度快，掃描結(jié)果精準(zhǔn)，且通常不會(huì)有安全措施用于阻止正常的ARP數(shù)據(jù)包，掃描被干擾的可能性小。但當(dāng)掃描探針與檢測目標(biāo)處于不同網(wǎng)段，屬于三層網(wǎng)絡(luò)的不同子域時(shí)，則應(yīng)考慮使用其他協(xié)議。

　　基于ICMP協(xié)議

　　為了發(fā)現(xiàn)和處理網(wǎng)絡(luò)中的各種錯(cuò)誤，誕生了互聯(lián)網(wǎng)控制報(bào)文協(xié)議（ICMP）。這種協(xié)議同樣是屬于TCP/IP協(xié)議簇的一個(gè)子協(xié)議，其是網(wǎng)絡(luò)層中的重要成員，可以用于在IP主機(jī)、路由器之間傳遞控制消息。ICMP協(xié)議數(shù)據(jù)報(bào)文有很多種類，但總體可分為查詢報(bào)文和差錯(cuò)報(bào)告報(bào)文。其中，查詢報(bào)文是用一對(duì)請(qǐng)求和應(yīng)答定義的，也就是說，主機(jī)A可以向主機(jī)B發(fā)送ICMP數(shù)據(jù)包查詢信息，主機(jī)B在接收到該數(shù)據(jù)包后會(huì)給出應(yīng)答。故通過ICMP查詢報(bào)文，即可進(jìn)行主機(jī)存活檢測。

　　ICMP的響應(yīng)請(qǐng)求和應(yīng)答可以用來測試發(fā)送和接收兩端鏈路及目標(biāo)主機(jī)TCP/IP協(xié)議是否正常，其在當(dāng)前最常見的實(shí)踐應(yīng)用即是ping命令。然而，由于許多網(wǎng)絡(luò)設(shè)備的防火墻可能配置禁止該類ICMP報(bào)文，故主機(jī)掃描可能被阻斷。另尋他法，ICMP查詢報(bào)文，除了響應(yīng)請(qǐng)求和應(yīng)答外，還包括時(shí)間戳請(qǐng)求和應(yīng)答、地址掩碼請(qǐng)求和應(yīng)答等，因此，還可以選擇構(gòu)造這些類型的ICMP數(shù)據(jù)包進(jìn)行探測掃描。

　　ICMP報(bào)文種類

　　基于TCP協(xié)議

　　傳輸控制協(xié)議（TCP）是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。建立完整的TCP會(huì)話，需要完成三次握手過程，這個(gè)過程既耗資源又耗時(shí)，所以在高速網(wǎng)絡(luò)掃描技術(shù)中不會(huì)完成整個(gè)三次握手，而是僅僅發(fā)送SYN或ACK數(shù)據(jù)包的半連接掃描。對(duì)于TCP SYN掃描，在得到響應(yīng)后發(fā)送RST包終止握手；對(duì)于TCP ACK掃描，則由被檢測主機(jī)返回RST包?；赥CP存活主機(jī)發(fā)現(xiàn)技術(shù)，結(jié)果可靠性較高，但是其建立于傳輸層通信，故必須指定端口，限制了使用范圍。

　　TCP三次握手過程

　　基于UDP協(xié)議

　　用戶數(shù)據(jù)報(bào)協(xié)議（UDP）和TCP類似，也是一種傳輸層協(xié)議。然而和TCP協(xié)議相比，UDP是一種無連接的協(xié)議，它不能和TCP探測那樣依賴于建立連接的過程，而是只能通過是否存在端口關(guān)閉網(wǎng)絡(luò)不可達(dá)時(shí)返回的ICMP報(bào)文來判斷。此外，由于UDP是無連接不可靠的，對(duì)于沒有ICMP報(bào)文返回的端口也無法準(zhǔn)確判斷是通信成功還是數(shù)據(jù)包丟失，故其掃描結(jié)果的可靠性也相對(duì)較低。

　　04 端口掃描和服務(wù)鑒別

　　端口掃描是服務(wù)鑒別的基礎(chǔ)和前提，在探測流程中，先進(jìn)行端口存活掃描，可以排除關(guān)閉的和不可通信端口，縮小后續(xù)執(zhí)行服務(wù)版本檢測的規(guī)模，提高探測效率。

　　端口掃描其是建立在傳輸層協(xié)議之上的，根據(jù)具體協(xié)議，可以劃分為TCP端口掃描和UDP端口掃描。在端口掃描中，最流行的TCP端口掃描技術(shù)依然是TCP半連接方法，如TCP SYN，通過向目標(biāo)端口發(fā)送SYN包請(qǐng)求連接，目標(biāo)接收到SYN包后響應(yīng)SYN/ACK包，探測主機(jī)接收到響應(yīng)后用RST包終止握手。

　　TCP SYN半連接

　　在完成端口掃描后，可以嘗試與端口建立完整TCP連接進(jìn)行服務(wù)類型和版本探測。通常情況下，與服務(wù)端口建立連接后，數(shù)秒時(shí)間內(nèi)，服務(wù)會(huì)返回Banner歡迎信息，通過將Banner信息與服務(wù)特征指紋庫中的特征指紋進(jìn)行匹配，就可以鑒別并提取該端口對(duì)應(yīng)服務(wù)的類型和版本信息，這個(gè)過程一般被稱為null probe。如果null probe未能成功匹配服務(wù)，則可繼續(xù)按照指定順序發(fā)送多種預(yù)先構(gòu)造好的探測包，并利用響應(yīng)數(shù)據(jù)和特征指紋進(jìn)行匹配，直到全部匹配結(jié)束。

　　05 結(jié)語

　　網(wǎng)絡(luò)資產(chǎn)主動(dòng)探測的優(yōu)點(diǎn)是對(duì)探測目標(biāo)更具有針對(duì)性，可以通過定制構(gòu)造探測包對(duì)其進(jìn)行探測，準(zhǔn)確率高，探針部署也更加靈活。但其也有一定的局限性，探測目標(biāo)可能會(huì)針對(duì)部分常見的探測包請(qǐng)求進(jìn)行過濾，使得無法準(zhǔn)確識(shí)別；此外，主動(dòng)探測會(huì)產(chǎn)生額外的探測流量，會(huì)在一定程度上增加網(wǎng)絡(luò)負(fù)載，或多或少會(huì)擾動(dòng)網(wǎng)絡(luò)的當(dāng)前狀態(tài)，導(dǎo)致探測結(jié)果出現(xiàn)偏差。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<