師平 雷渭侶

廣東工業(yè)大學(xué)華立學(xué)院網(wǎng)絡(luò)工程系 廣東 511325

0 前言

在當(dāng)前環(huán)境下，與互聯(lián)網(wǎng)規(guī)模迅速發(fā)展相伴隨的還有網(wǎng)絡(luò)安全攻擊的頻繁涌現(xiàn)，其中危害較大的攻擊有兩種方式：分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）和蠕蟲病毒。

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）技術(shù)是傳統(tǒng)的檢測安全威脅的技術(shù)，但由于其技術(shù)的局限性，只能識別已知的攻擊手段，無法對未知的、新型的或沒有攻擊特征碼的攻擊手段提供預(yù)警能力。例如，DDoS攻擊和變形蠕蟲，都沒有攻擊的特征碼，IDS對它們往往無能為力。

DDoS攻擊和蠕蟲病毒的攻擊原理雖然不同，但它們也有內(nèi)在的共同特點(diǎn)，那就是這兩種網(wǎng)絡(luò)安全攻擊都會(huì)表現(xiàn)為網(wǎng)絡(luò)流量或連接的突然急劇變化，造成用戶的正常通信阻斷或網(wǎng)絡(luò)設(shè)備資源耗盡，進(jìn)而癱瘓用戶業(yè)務(wù)甚至整個(gè)互聯(lián)網(wǎng)。如何迅速發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的通信流量異常，并及時(shí)確定異常通信的準(zhǔn)確技術(shù)參數(shù)，例如，攻擊的來源、異常通信的具體流向和流量信息、占用的網(wǎng)絡(luò)端口、持續(xù)時(shí)間等，這是管理員能否在短時(shí)間內(nèi)對網(wǎng)絡(luò)安全攻擊作出正確響應(yīng)，減少其對網(wǎng)絡(luò)和用戶業(yè)務(wù)影響的一個(gè)關(guān)鍵因素。

目前，比較流行的異?，F(xiàn)象監(jiān)控手段是基于簡單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol）的網(wǎng)絡(luò)異?，F(xiàn)象監(jiān)控。

1 基于SNMP的監(jiān)控

1.1 SNMP簡介

1.1.1 網(wǎng)絡(luò)管理系統(tǒng)包含的元素

通常，一個(gè)網(wǎng)絡(luò)管理系統(tǒng)一般包含以下幾個(gè)元素：

（1）網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)。例如路由器、服務(wù)器等設(shè)備，每個(gè)節(jié)點(diǎn)都運(yùn)行著一個(gè)被稱為設(shè)備代理（agent）的應(yīng)用進(jìn)程，它是用于實(shí)現(xiàn)對被管理設(shè)備的各種被管理對象的信息，例如流量。進(jìn)行搜集和對這些被管理對象的訪問的支持。

（2）管理工作站。管理工作站運(yùn)行著管理平臺應(yīng)用系統(tǒng)，實(shí)現(xiàn)為管理員提供對被管理對象的可視化圖形界面，從而可以使管理員方便地進(jìn)行管理。

（3）管理協(xié)議。管理協(xié)議是用來定義設(shè)備代理和管理工作站之間管理信息傳送的規(guī)程，其中管理協(xié)議的操作是在管理框架下進(jìn)行的。管理框架定義了和安全相關(guān)的認(rèn)證、授權(quán)、訪問控制和加密策略等各種安全防護(hù)框架。

在運(yùn)行TCP/IP協(xié)議的互聯(lián)網(wǎng)環(huán)境中，管理協(xié)議標(biāo)準(zhǔn)是簡單網(wǎng)絡(luò)管理協(xié)議SNMP，它定義了傳送管理信息的協(xié)議信息格式及管理站和設(shè)備代理相互之間進(jìn)行信息傳送的規(guī)程。

出于業(yè)界對網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)化的迫切要求，因特網(wǎng)工程業(yè)務(wù)工作組IETF于1990年發(fā)布了SNMP v1的正式請求文件RFC文檔。其設(shè)計(jì)思想重點(diǎn)放在協(xié)議的簡單性、靈活性和可擴(kuò)展性上，并希望把SNMP作為一個(gè)過渡性的網(wǎng)絡(luò)協(xié)議來實(shí)現(xiàn)對互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備進(jìn)行管理時(shí)遵循的標(biāo)準(zhǔn)，待OSI的通用管理入侵協(xié)議CMIP的開發(fā)、實(shí)現(xiàn)和標(biāo)準(zhǔn)化成熟和完善到可以在業(yè)界推廣之后，再用CMIP替換SNMP。但由于各種原因，CMIP并沒有替代SNMP，而SNMP發(fā)展成為網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)。

1.1.2 SNMP的三個(gè)標(biāo)準(zhǔn)版本

SNMP發(fā)展主要有三個(gè)標(biāo)準(zhǔn)版本：SNMP v1、SNMP v2和SNMP v3。SNMP v2又分為若干個(gè)子版本，其中SNMP v2c應(yīng)用最為廣泛。

（1）SNMP v1。是第一個(gè)正式協(xié)議版本，在請求文件文檔RFC1155-RFC1158中定義，該版本采用了基于共同體名的安全機(jī)制。

（2）SNMP v2。這個(gè)版本被稱為基于共同體各的SNMP v2，使用基于共同體名的安全機(jī)制和SNMP vp做出的協(xié)議操作方面的擴(kuò)充，由RFC1901-RFC1906定義。

（3）SNMP v3。該協(xié)議版本采用基于用戶的安全機(jī)制，其安全機(jī)制是在SNMP v2u和SNMP v2*（“*”表示多個(gè)子版本）基礎(chǔ)上進(jìn)行大量的評議后進(jìn)行了更新，并且對協(xié)議機(jī)制的邏輯功能模塊進(jìn)行劃分而保證了良好的可擴(kuò)充性，由RFC2271-RFC2275定義。

使用SNMP協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)和管理結(jié)構(gòu)工作一般包括：管理進(jìn)程通過定時(shí)向各個(gè)設(shè)備的設(shè)備代理進(jìn)程發(fā)送查詢請求信息來跟蹤各個(gè)設(shè)備的狀態(tài)；而當(dāng)設(shè)備出現(xiàn)異常事件時(shí)，例如設(shè)備冷啟動(dòng)等，設(shè)備代理進(jìn)程主動(dòng)向管理進(jìn)程發(fā)送陷阱信息，匯報(bào)出現(xiàn)的異常事件。這些輪詢信息和陷阱信息的發(fā)送和接收規(guī)程及其格式定義都是由SNMP協(xié)議定義的；而被管理設(shè)備將其各種管理對象的信息都存放在一個(gè)稱為管理信息庫MIB的庫結(jié)構(gòu)中。

SNMP協(xié)議運(yùn)行在用戶數(shù)據(jù)報(bào)協(xié)議UDP之上，它利用的是UDP協(xié)議的161/162端口。其中161端口由管理進(jìn)程監(jiān)聽，等待設(shè)備代理進(jìn)程發(fā)送的異常事件報(bào)告陷阱信息，例如執(zhí)行軟中斷（Trap）。設(shè)備的所有需要被管理的信息被看作一個(gè)各種被管理對象的集合，這些被管理對象由OSI定義在一個(gè)被稱作管理信息庫MIB的虛擬信息庫中。

目前，基于SNMP的網(wǎng)絡(luò)監(jiān)控主要有免費(fèi)的軟件和專業(yè)廠商提供的軟硬一體的設(shè)備。免費(fèi)軟件以MRTG為代表，專業(yè)一體設(shè)備以思科公司在CAT6K交換機(jī)中提供的網(wǎng)絡(luò)分析模塊NAM為代表。

1.2 MRTG多路由器流量圖表繪制器

多路由器流量圖表繪制器MRTG（Multi Router Traffic Grapher）是一個(gè)監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的免費(fèi)工具軟件，它通過SNMP協(xié)議從設(shè)備得到使用設(shè)備（如交換機(jī)）的網(wǎng)絡(luò)流量信息，并將流量負(fù)載以包含PNG格式圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載，便于網(wǎng)絡(luò)管理員對所監(jiān)聽的設(shè)備進(jìn)行管理。目前，市場上可以進(jìn)行網(wǎng)絡(luò)管理的智能型交換機(jī)都支持SNMP協(xié)議，可以通過MRTG對網(wǎng)絡(luò)流量進(jìn)行每天和每周的統(tǒng)計(jì)顯示，如圖1和圖2所示。

圖1 MRTG每天流量的統(tǒng)計(jì)值示例

圖2 MRTG每周流量的統(tǒng)計(jì)值示例

MRTG具有以下特點(diǎn)：

（1）可移植性。目前可以運(yùn)行在大多數(shù)UNIX系統(tǒng)和Windows NT系統(tǒng)之上；

（2）源碼開放。MRTG是用Perl編寫的，源代碼完全開放；

（3）具有高可移植性的SNMP支持。MRTG采用了Simon Lernen編寫的具有高移植性的SNMP模塊，從而不依賴于操作系統(tǒng)的SNMP模塊的支持；

（4）支持SNMP v2c。MRTG可以讀取SNMP v2c的64位的計(jì)數(shù)器，從而大大減少了計(jì)數(shù)器回轉(zhuǎn)次數(shù)；

（5）可靠的接口標(biāo)識。被監(jiān)控的設(shè)備的接口可以用IP地址、設(shè)備描述、SNMP對接口的編號及MAC地址來標(biāo)識；

（6）常量大小的日志文件。MRTG的日志不會(huì)變大，因?yàn)樵谶@里使用了獨(dú)特的數(shù)據(jù)合并算法；

（7）自動(dòng)配置功能。MRTG自身有配置工具套件，使得配置過程非常簡單；

（8）性能。時(shí)間敏感的部分使用C語言編寫，因此，具有很好的性能；

（9）PNG格式圖形。圖形采用GD庫直接產(chǎn)生PNG格式；

（10）可定制性。MRTG產(chǎn)生的Web頁面是完全可以預(yù)先定制的。也就是說，分別進(jìn)行Web頁面開發(fā)。

思科的網(wǎng)絡(luò)分析模塊NAM（Network Analysis Model）是CAT6K上的一個(gè)流量分析模塊，是網(wǎng)絡(luò)異?，F(xiàn)象監(jiān)控的硬件模式，可為網(wǎng)絡(luò)管理員提供進(jìn)行智能決策的所需數(shù)據(jù)。從嵌入式到路由器和交換機(jī)之中的管理信息庫MIB以及使用遠(yuǎn)程監(jiān)視RMON（Remote Monitor on）MIB功能，交換探測（SwitchProbe）設(shè)備和網(wǎng)絡(luò)分析模塊中可以隨時(shí)獲得這些數(shù)據(jù)。當(dāng)需要提供概覽或進(jìn)行故障診斷時(shí)，可以實(shí)時(shí)查看這些智能代理收集到的數(shù)據(jù)。此外，可以將這些數(shù)據(jù)存儲到數(shù)據(jù)庫中，供歷史查閱、制訂網(wǎng)絡(luò)方案和進(jìn)行趨勢預(yù)測之用。

交換機(jī)和路由器等網(wǎng)絡(luò)互連設(shè)備的主要用途是傳送數(shù)據(jù)流和信息流。大多數(shù)交換機(jī)設(shè)備都裝備了嵌入式mini-RMON代理，啟動(dòng)這一代理以后，它可以提供基本的網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)，例如，鏈路利用率、分組大小分布、沖突錯(cuò)誤分布，以及每一個(gè)網(wǎng)絡(luò)端口的廣播和組播通信流量級別。這些嵌入式mini-RMON代理還可以提供利用率的歷史視圖，并能夠通過設(shè)備閾值、觸發(fā)報(bào)警和向網(wǎng)絡(luò)管理基站發(fā)送軟中斷來監(jiān)視網(wǎng)絡(luò)中的關(guān)鍵條件。

網(wǎng)絡(luò)分析模塊NAM可以提供OSI所有七層網(wǎng)絡(luò)通信流的完全透明度。這意味著網(wǎng)絡(luò)段的利用情況可以被分解到應(yīng)用層和用戶，并以此為基礎(chǔ)生成報(bào)告。NAM是完全專用的網(wǎng)絡(luò)監(jiān)視設(shè)備，并不會(huì)因?yàn)閳?zhí)行其他的網(wǎng)絡(luò)任務(wù)而停止對網(wǎng)絡(luò)進(jìn)行監(jiān)視。

NAM模塊具有以下優(yōu)點(diǎn)：

（1）NAM提供的可視性能可以更好地優(yōu)化各種網(wǎng)絡(luò)資源來滿足應(yīng)用要求，使計(jì)劃擴(kuò)展的各項(xiàng)基于網(wǎng)絡(luò)的應(yīng)用更加易于實(shí)施；

（2）避免產(chǎn)生效率和收入的減少。通過主動(dòng)式的監(jiān)控和快速故障診斷，降低由于網(wǎng)絡(luò)性能退化和待機(jī)時(shí)間導(dǎo)致的損失；

（3）強(qiáng)化網(wǎng)絡(luò)安全性。NAM為其他網(wǎng)絡(luò)安全機(jī)制設(shè)備，例如，入侵檢測系統(tǒng)IDS、防火墻，這些設(shè)備提供調(diào)查取證的能力，同時(shí)可以用于探測網(wǎng)絡(luò)流量中的異常非法入侵；

（4）嵌入網(wǎng)絡(luò)的應(yīng)用層級別可視性。在數(shù)據(jù)鏈路層或MAC地址層提供了端口級的流量統(tǒng)計(jì)，在應(yīng)用層、主機(jī)、網(wǎng)絡(luò)會(huì)話，甚至基于網(wǎng)絡(luò)的應(yīng)用服務(wù)包括服務(wù)質(zhì)量QoS都提供流量分析；

（5）NAM可以按虛擬局域網(wǎng)VLAN而不是按源MAC地址來匯聚統(tǒng)計(jì)數(shù)據(jù)。

2 結(jié)束語

基于簡單網(wǎng)絡(luò)管理協(xié)議SNMP是目前相當(dāng)流行的網(wǎng)絡(luò)異常監(jiān)控手段，是監(jiān)控手段的姣姣者。它可以通過圖形對網(wǎng)絡(luò)的流量進(jìn)行每天和每周進(jìn)行統(tǒng)計(jì)顯示，能夠及進(jìn)發(fā)現(xiàn)安全問題及時(shí)處理。

支持網(wǎng)絡(luò)繪制的工具是多路由器流量表繪制器MRTG，具有可移植性、源碼開放性、可靠性的接口標(biāo)識、自動(dòng)配置功能、PNG格式圖形和或定制性等特點(diǎn)。

在進(jìn)行網(wǎng)絡(luò)的分析中使用了思科的網(wǎng)絡(luò)分析模塊NAM。具有可視性能、優(yōu)化格式、較高的生產(chǎn)效率、強(qiáng)化網(wǎng)絡(luò)的安全性等優(yōu)點(diǎn)。

網(wǎng)絡(luò)異常現(xiàn)象的監(jiān)控，除了基于SNMP手段以外，還可用基于Netflow流量的監(jiān)控及基于全球預(yù)警系統(tǒng)的異常監(jiān)控。由于篇幅的限制，這兩種手段就不在這里一一介紹了，若讀者感興趣，可查閱相就的資料。

[1]思科系統(tǒng)（中國）網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全.北京郵電大學(xué)出版社.2006.

[2]思科安全監(jiān)控分析和響應(yīng)系統(tǒng)（MARS）.http://www.cisco.com/global/cn/solutions/products_netsol/security/products/mars/index.

[3]IEEE802.Port-Based Access Control IEEE802.1x-2001.June 2001.

[4]Authentication Protocol（EAP）RFC2748.Standard Track.June 2004.

[5]雷渭侶，王蘭波.計(jì)算機(jī)網(wǎng)絡(luò).北京:機(jī)械工業(yè)出版社.2008.