Набор инструментов системного администрирования: Сканирование сети

Узнайте о сканировании сети для обнаружения сервисов и их регулярном мониторинге для обеспечения максимального времени работы. Залогом безопасности вашей сети является наличие информации о том, что в ней находится, какие сервисы и отдельные компьютеры подвержены риску несанкционированного доступа. Сервисы, находящиеся в сети без соответствующего разрешения, не только снижают ее производительность, но и могут использоваться для несанкционированного доступа. Данная статья расскажет об использовании методов сканирования в целях обеспечения постоянной доступности тех сервисов, что действительно необходимы.

Мартин Браун, внештатный автор, консультант

Мартин Браун (Martin Brown) пишет статьи уже более семи лет. Он является автором многочисленных книг и статей по различным темам. Его квалификация охватывает множество платформ и языков разработки - Perl, Python, Java™, JavaScript, Basic, Pascal, Modula-2, C, C++, Rebol, Gawk, Shellscript, Windows®, Solaris, Linux, BeOS, Mac OS X и т.д., а также Web-программирование, системное управление и интеграция. Мартин является внутренним экспертом (SME) компании Microsoft® и регулярно пишет для ServerWatch.com, LinuxToday.com и IBM developerWorks. Он также принимает участие в блогах Computerworld, The Apple Blog и на других сайтах. Связаться с ним можно через его Web-сайт.



09.02.2010

Об этом цикле статей

У каждого администратора UNIX® есть свой набор утилит, приемов и систем, которые он регулярно использует для облегчения процесса администрирования. Для упрощения различных процессов применяются специальные утилиты, последовательности команд и скрипты. Некоторые из этих инструментов поставляются с операционной системой, но большинство приемов накапливается с годами опыта и в результате желания системного администратора облегчить себе жизнь. Данный цикл посвящен вопросам максимально эффективного использования типовых инструментов, использующихся в различных средах UNIX, включая методы упрощения администрирования в гетерогенной среде.

Виды сканирования сети

Сканирование сети позволяет быстро получить картину происходящих в ней процессов, собрать сведения о ее конфигурации и доступных сервисах. Различные виды сканирования сети направлены на сбор и регистрацию информации различного рода. Кроме того, их можно по-разному применять для получения различных сведений о сети.

Одним из ключевых элементов любой сетевой среды является возможность получения информации о том, что в ней находится. Взломы, оборудование, установленное без разрешения, неправильно работающие или неправильно сконфигурированные хосты - все это может потенциально привести к возникновению проблем с сетью.

Первым видом сканирования сети, который стоит использовать, является поиск используемых адресов Internet Protocol (IP). Поскольку сам IP-адрес несет мало информации без номера сетевого порта, через который возможен обмен данными (например, портов, используемых протоколами Hypertext Transfer Protocol (HTTP) или Simple Mail Transfer Protocol (SMTP)), необходимо выяснить номера портов, открытых для входящих подключений.

Другой вид сканирования заключается в мониторинге информации, находящейся в пакетах, передаваемых по вашей сети. Сканирование содержимого пакетов способно дать много полезных сведений, позволяющих ясно понять природу передаваемой информации и оценить общую производительность сети.

Путем сопоставления сведений, полученных путем сканирования содержимого пакетов, с информацией о хостах и портах, имеющихся в сети, можно получить очень хорошее представление о происходящих в сети процессах.

Например, во время сканирования сети вы можете обнаружить, что определенный хост принимает входящие подключения через нестандартный порт. Но понимание характера передаваемых данных и содержащейся в них информации может быть затруднено без сканирования содержимого пакетов.

Может оказаться, что хост и порт используются не в добросовестных целях, например, для организации HTTP-сервера, а в пагубных - для организации взлома, SSH-туннеля или другого нарушения информационной безопасности.

Сканирование хостов

Определение компьютеров, входящих в сеть, является первичной задачей сканирования и может оказать существенную помощь в понимании происходящего в сети. Такие сведения полезны уже сами по себе, но их сопоставление с информацией, которая технически должна уже иметься в вашем распоряжении, такой как, например, список рабочих станций и их IP-адресов, может быть еще более полезным.

При сканировании IP-адресов сети следует иметь в виду несколько вещей:

  • IP-адреса могут меняться. Кроме того, при использовании Dynamic Host Configuration Protocol (DHCP) полученный список адресов может оказаться неполным.
  • Одного сеанса сканирования скорее всего будет недостаточно для получения всей интересующей информации. Сканирование IP-адресов позволяет найти адреса только включенных хостов с загруженной операционной системой. Выключенные или спящие системы не будут видны. Следовательно, для достоверного определения всех хостов сети может потребоваться несколько сеансов сканирования.
  • Факт нахождения хоста в сети говорит лишь о том, что он сконфигурирован соответствующим образом. О том, что он при этом является санкционированным данный факт не свидетельствует. Чтобы убедиться в том, что хост находится в вашей сети на "законных" основаниях, потребуется сопоставление данных, полученных путем сканирования, с уже известной информацией.

Утилита nmap позволяет осуществлять сканирование хостов, находящихся в сети. Она позволяет проверять доступность хостов, определять их IP- и MAC-адреса, сканировать и проверять открытые порты, используемые протоколы и операционные системы.

Для выполнения первичного ping-теста и получения списка хостов, находящихся в сети, запустите утилиту с параметром -sP и укажите цель сканирования. Цель сканирования может быть задана перечислением имен или IP-адресов хостов, указанием сетевой части IP-адреса и маски подсети, а также диапазонами IP-адресов.

Например, для сканирования всех хостов в сети 192.168.0.0 необходимо запустить утилиту, как показано в листинге 1.

Листинг 1. Сканирование всех хостов в сети 192.168.0.0
$ nmap -sP 192.168.0.0/24

Starting Nmap 4.20 (http://insecure.org) at 2007-10-14 19:15 GMT
Host gendarme.mcslp.pri (192.168.0.1) appears to be up.
MAC Address: 00:0F:B5:30:42:60 (Netgear)
Host 192.168.0.31 appears to be up.
MAC Address: 00:02:11:90:15:31 (Nature Worldwide Technology)
Host 192.168.0.50 appears to be up.
MAC Address: 00:61:CA:28:0C:23 (Unknown)
Host 192.168.0.66 appears to be up.
MAC Address: 00:08:7B:05:D1:52 (RTX Telecom A/S)
Host 192.168.0.68 appears to be up.
MAC Address: 00:18:4D:59:AB:B5 (Netgear)
Host 192.168.0.101 appears to be up.
MAC Address: 00:16:CB:A0:3B:CB (Apple Computer)
Host 192.168.0.103 appears to be up.
MAC Address: 00:0D:93:4E:61:2A (Apple Computer)
Host nautilus.mcslp.pri (192.168.0.108) appears to be up.
MAC Address: 00:16:CB:8F:04:0B (Apple Computer)
Host narcissus.mcslp.pri (192.168.0.110) appears to be up.
MAC Address: 00:16:CB:85:2D:15 (Apple Computer)
Host airong.wireless.mcslp.pri (192.168.0.210) appears to be up.
MAC Address: 00:0F:B5:0D:82:FC (Netgear)
Host gentoo2.vm.mcslp.pri (192.168.0.230) appears to be up.
Nmap finished: 256 IP addresses (11 hosts up) scanned in 20.758 seconds

Результатом работы nmap является полный список обнаруженных хостов, их IP- и MAC-адреса, а также краткие сведения о предполагаемом производителе оборудования хоста. Получение этих сведений возможно благодаря тому, что известны диапазоны MAC-адресов, выделенных производителям оборудования.

Однако приведенные результаты сканирования не содержат информации о номерах портов, открытых для входящих подключений. Эта информация помогла бы понять природу трафика, обрабатываемого хостом, а в случае, если хост вам неизвестен, помогла бы установить происходящие на нем процессы.

Сканирование портов

Если на компьютере запущен сетевой сервис, например, Web-сервер, почтовый сервер или пиринговый сервис, данный компьютер должен принимать входящие подключения через определенный порт. Некоторые порты являются стандартными (например, порт 80 обычно используется для HTTP). Сканирование портов может быть выполнено для всех хостов, подлежащих проверке, или выборочно.

Например, сканирование портов на отдельном хосте позволяет получить очень хорошее представление о происходящих на нем процессах. Пример сканирования портов сервера приведен в листинге 2.

Листинг 2. Сканирование портов сервера
$ nmap -sT narcissus

Starting Nmap 4.20 (http://insecure.org) at 2007-10-14 19:45 GMT
Interesting ports on narcissus.mcslp.pri (192.168.0.110):
Not shown: 1674 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
106/tcp  open  pop3pw
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
311/tcp  open  asip-webadmin
389/tcp  open  ldap
427/tcp  open  svrloc
443/tcp  open  https
548/tcp  open  afpovertcp
625/tcp  open  unknown
749/tcp  open  kerberos-adm
1011/tcp open  unknown
1014/tcp open  unknown
1015/tcp open  unknown
2049/tcp open  nfs
3306/tcp open  mysql
3689/tcp open  rendezvous
5900/tcp open  vnc
MAC Address: 00:16:CB:85:2D:15 (Apple Computer)

Nmap finished: 1 IP address (1 host up) scanned in 22.399 seconds

По умолчанию в результаты сканирования включаются только сведения об активных портах Transmission Control Protocol (TCP) и IP. Если требуется сканирование портов User Datagram Protocol (UDP), необходимо использовать ключ -sU, как показано в листинге 3.

Листинг 3. Использование ключа -sU
$ nmap -sU -sT narcissus

Starting Nmap 4.20 (http://insecure.org) at 2007-10-14 20:05 GMT
Interesting ports on narcissus.mcslp.pri (192.168.0.110):
Not shown: 3150 closed ports
PORT     STATE         SERVICE
21/tcp   open          ftp
22/tcp   open          ssh
25/tcp   open          smtp
53/tcp   open          domain
80/tcp   open          http
106/tcp  open          pop3pw
110/tcp  open          pop3
111/tcp  open          rpcbind
143/tcp  open          imap
311/tcp  open          asip-webadmin
389/tcp  open          ldap
427/tcp  open          svrloc
443/tcp  open          https
548/tcp  open          afpovertcp
625/tcp  open          unknown
749/tcp  open          kerberos-adm
1011/tcp open          unknown
1014/tcp open          unknown
1015/tcp open          unknown
2049/tcp open          nfs
3306/tcp open          mysql
3689/tcp open          rendezvous
5900/tcp open          vnc
53/udp   open|filtered domain
67/udp   open|filtered dhcps
88/udp   open|filtered kerberos-sec
111/udp  open|filtered rpcbind
123/udp  open|filtered ntp
427/udp  open|filtered svrloc
464/udp  open          kpasswd5
989/udp  open|filtered unknown
990/udp  open|filtered unknown
1008/udp open|filtered ufsd
1021/udp open|filtered unknown
5353/udp open|filtered zeroconf
MAC Address: 00:16:CB:85:2D:15 (Apple Computer)

Nmap finished: 1 IP address (1 host up) scanned in 78.605 seconds

Данный процесс можно повторить со всеми хостами вашей сети.

Сохранение результатов

Как было сказано ранее, информация, полученная в ходе единственного сеанса сканирования хостов или портов, будет актуальна только на момент выполнения сканирования. Некоторые хосты могут быть отключены от сети, сервисы могут быть временно недоступны, а в очень загруженной сети сканирующие пакеты могут просто не достигнуть цели.

Сканирование необходимо выполнять регулярно с последующим сравнением (и даже объединением) результатов с полученными ранее. Самым простым решением данной задачи является запуск nmap, сохранение результатов и сравнение их с полученными ранее при помощи утилиты, подобной diff.

Пример сравнения результатов двух сеансов сканирования одного и того же хоста с помощью nmap приведен в листинге 4.

Листинг 4. Сравнение результатов двух сеансов сканирования одного и того же хоста с помощью nmap
 $ diff narcissus.20070526 narcissus.20070924
26c26
< 2049/tcp open     nfs
---
> 3306/tcp open     mysql
27a28
> 5900/tcp open     vnc

Строки листинга начинаются с '<' или '>' в зависимости от того, в каком файле обнаружено отличие. Таким образом можно увидеть, что протокол Network File System (NFS) упоминается в первом файле, но не во втором, при этом порты mysql и vnc во время второго сеанса были открыты.

Сканирование содержимого пакетов

nmap - отличный инструмент для поиска IP-хостов и открытых портов, однако он не сможет показать вам содержимое пакетов, передаваемых по сети. Сканирование содержимого пакетов позволяет увидеть, какие хосты обмениваются данными с определенным хостом, какого рода информация передается и какие сервисы при этом используются.

Собранное содержимое пакетов расскажет об использовании того или иного протокола (например, какие пользователи заходили на определенный почтовый сервер и с каких хостов). Оно поможет определить тип трафика в случае, если его невозможно определить по номеру порта.

Для сканирования содержимого пакетов, перемещающихся по сети, вам понадобится не nmap, сканирующий хосты и порты, а другой инструмент. Существует много таких инструментов, включая те, что поставляются с различными операционными системами и разрабатываются сторонними производителями. Примеры подобных инструментов приведены в разделе Ресурсы.

В поставку AIX® входит инструмент сканирования сети iptrace. Аналогичную функцию на платформе Solaris выполняет инструмент snoop. Функция сканирования содержимого пакетов имеется и в инструментах сторонних производителей, таких как Ethereal (в июне 2006 г. этот инструмент был переименован в Wireshark, - Прим. пер.)

Все подобные инструменты имеют одинаковые входные условия. Например, в сети Ethernet пакеты поступают в каждый физический порт - для изучения передаваемой информации достаточно сканировать все поступающие пакеты. В сети Ethernet, построенной на коммутаторах, пакеты не попадают во все порты подряд, но большинство современных коммутаторов имеют служебный порт, куда по-прежнему попадают все пакеты. При этом даже в такой сети можно получить ценную информацию путем запуска инструмента, сканирующего содержимого пакетов, непосредственно на интересующем вас хосте.

Методы использования подобных инструментов и получаемой с их помощью информации немного различаются, но основные принципы всегда одинаковы. На AIX iptrace реализован в виде серверного процесса, который должен быть явным образом запущен и остановлен. Например, для его запуска необходимо выполнить следующую команду:

# startsrc -s iptrace -a "-i tr0 /home/user/iptrace/log1"

Для остановки:

# stopsrc -s iptrace

Инструмент snoop, входящий в поставку Solaris, может быть просто запущен в любой момент:

# snoop

Поскольку объем данных, передаваемых по сети, может быть значителен, инструменты позволяют ограничить сканирование, указав только интересующие хосты, порты и протоколы. Например, для изучения входящих и исходящих данных для определенного хоста выполните следующую команду:

# snoop narcissus

Поскольку большинство дисплеев не сможет вместить все полученные данные, имеет смысл сохранять их непосредственно в файл:

# snoop -o /tmp/netdata narcissus.mcslp.pri

Для считывания сохраненной информации из файла укажите путь к нему после ключа -i:

# snoop -v -i /tmp/netdata

В примере, приведенном выше, был включен режим вывода подробной информации, обеспечивающий отображение содержимого всех обработанных пакетов вместо краткой обобщающей информации, выводимой по умолчанию.

При выводе содержимого пакетов для просмотра snoop автоматически форматирует его и разбивает вплоть до данных отдельного протокола. Например, листинг 5 содержит запись обмена данными по протоколу NFS.

Листинг 5. Запись обмена данными по протоколу NFS
ETHER:  ----- Ether Header -----
ETHER:  
ETHER:  Packet 31 arrived at 10:00:2.70371
ETHER:  Packet size = 174 bytes
ETHER:  Destination = 0:2:11:90:15:31, 
ETHER:  Source      = 0:16:cb:85:2d:15, 
ETHER:  Ethertype = 0800 (IP)
ETHER:  
IP:   ----- IP Header -----
IP:   
IP:   Version = 4
IP:   Header length = 20 bytes
IP:   Type of service = 0x00
IP:         xxx. .... = 0 (precedence)
IP:         ...0 .... = normal delay
IP:         .... 0... = normal throughput
IP:         .... .0.. = normal reliability
IP:         .... ..0. = not ECN capable transport
IP:         .... ...0 = no ECN congestion experienced
IP:   Total length = 160 bytes
IP:   Identification = 14053
IP:   Flags = 0x4
IP:         .1.. .... = do not fragment
IP:         ..0. .... = last fragment
IP:   Fragment offset = 0 bytes
IP:   Time to live = 64 seconds/hops
IP:   Protocol = 6 (TCP)
IP:   Header checksum = 8195
IP:   Source address = 192.168.0.110, narcissus.mcslp.pri
IP:   Destination address = 192.168.0.31, ultra3
IP:   No options
IP:   
TCP:  ----- TCP Header -----
TCP:  
TCP:  Source port = 2049
TCP:  Destination port = 1022 (Sun RPC)
TCP:  Sequence number = 1812746020
TCP:  Acknowledgement number = 1237063652
TCP:  Data offset = 20 bytes
TCP:  Flags = 0x18
TCP:        0... .... = No ECN congestion window reduced
TCP:        .0.. .... = No ECN echo
TCP:        ..0. .... = No urgent pointer
TCP:        ...1 .... = Acknowledgement
TCP:        .... 1... = Push
TCP:        .... .0.. = No reset
TCP:        .... ..0. = No Syn
TCP:        .... ...0 = No Fin
TCP:  Window = 65535
TCP:  Checksum = 0x48da
TCP:  Urgent pointer = 0
TCP:  No options
TCP:  
RPC:  ----- SUN RPC Header -----
RPC:  
RPC:  Record Mark: last fragment, length = 116
RPC:  Transaction id = 2490902676
RPC:  Type = 1 (Reply)
RPC:  This is a reply to frame 29
RPC:  Status = 0 (Accepted)
RPC:  Verifier   : Flavor = 0 (None), len = 0 bytes
RPC:  Accept status = 0 (Success)
RPC:  
NFS:  ----- Sun NFS -----
NFS:  
NFS:  Proc = 3 (Look up file name)
NFS:  Status = 2 (No such file or directory)
NFS:  Post-operation attributes: (directory)
NFS:    File type = 2 (Directory)
NFS:    Mode = 0770
NFS:     Setuid = 0, Setgid = 0, Sticky = 0
NFS:     Owner's permissions = rwx
NFS:     Group's permissions = rwx
NFS:     Other's permissions = ---
NFS:    Link count = 13, User ID = 1025, Group ID = 1026
NFS:    File size = 442, Used = 4096
NFS:    Special: Major = 0, Minor = 0
NFS:    File system id = 234881046, File id = 22
NFS:    Last access time      = 14-Oct-07 16:45:50.000000000 GMT
NFS:    Modification time     = 11-Oct-07 12:48:53.000000000 GMT
NFS:    Attribute change time = 11-Oct-07 12:48:53.000000000 GMT
NFS:  
NFS:

В начале каждой строки указан уровень протокола в сканируемом пакете. В рассматриваемом случае приведено содержимое пакетов Ethernet, IP и TCP, включая сведения о хостах - отправителе и получателе, а также флаги IP для данного пакета.

На уровне протокола Remote Procedure Call (RPC) можно получить информацию о NFS-запросе, а на уровне NFS - просмотреть фактически переданные данные. В данном примере показана передача информации о файле (происходящая, вероятно, при чтении оглавления каталога), включающей тип файла, права доступа и время последнего изменения.

Листинг 6 содержит информацию, собранную в ходе поиска имени хоста с помощью Domain Name Server (DNS).

Листинг 6. Информация, собранная в ходе поиска имени хоста с помощью DNS
ETHER:  ----- Ether Header -----
ETHER:  
ETHER:  Packet 2 arrived at 10:05:19.05284
ETHER:  Packet size = 155 bytes
ETHER:  Destination = 0:2:11:90:15:31, 
ETHER:  Source      = 0:16:cb:85:2d:15, 
ETHER:  Ethertype = 0800 (IP)
ETHER:  
IP:   ----- IP Header -----
IP:   
IP:   Version = 4
IP:   Header length = 20 bytes
IP:   Type of service = 0x00
IP:         xxx. .... = 0 (precedence)
IP:         ...0 .... = normal delay
IP:         .... 0... = normal throughput
IP:         .... .0.. = normal reliability
IP:         .... ..0. = not ECN capable transport
IP:         .... ...0 = no ECN congestion experienced
IP:   Total length = 141 bytes
IP:   Identification = 53767
IP:   Flags = 0x0
IP:         .0.. .... = may fragment
IP:         ..0. .... = last fragment
IP:   Fragment offset = 0 bytes
IP:   Time to live = 64 seconds/hops
IP:   Protocol = 17 (UDP)
IP:   Header checksum = 267b
IP:   Source address = 192.168.0.110, narcissus.mcslp.pri
IP:   Destination address = 192.168.0.31, ultra3
IP:   No options
IP:   
UDP:  ----- UDP Header -----
UDP:  
UDP:  Source port = 53
UDP:  Destination port = 46232 
UDP:  Length = 121 
UDP:  Checksum = 0C31 
UDP:  
DNS:  ----- DNS Header -----
DNS:  
DNS:  Response ID = 55625
DNS:  AA (Authoritative Answer) RA (Recursion Available) 
DNS:  Response Code: 0 (OK)
DNS:  Reply to 1 question(s)
DNS:      Domain Name: www.mcslp.pri.
DNS:      Class: 1 (Internet)
DNS:      Type:  28 (IPv6 Address)
DNS:  
DNS:  2 answer(s)
DNS:      Domain Name: www.mcslp.pri.
DNS:      Class: 1 (Internet)
DNS:      Type:  5 (Canonical Name)
DNS:      TTL (Time To Live): 86400
DNS:      Canonical Name: narcissus.mcslp.pri.
DNS:  
DNS:      Domain Name: narcissus.mcslp.pri.
DNS:      Class: 1 (Internet)
DNS:      Type:  28 (IPv6 Address)
DNS:      TTL (Time To Live): 86400
DNS:      IPv6 Address: fe80::216:cbff:fe85:2d15
DNS:  
DNS:  1 name server resource(s)
DNS:      Domain Name: mcslp.pri.
DNS:      Class: 1 (Internet)
DNS:      Type:  2 (Authoritative Name Server)
DNS:      TTL (Time To Live): 86400
DNS:      Authoritative Name Server: narcissus.mcslp.pri.
DNS:  
DNS:  1 additional record(s)
DNS:      Domain Name: narcissus.mcslp.pri.
DNS:      Class: 1 (Internet)
DNS:      Type:  1 (Address)
DNS:      TTL (Time To Live): 86400
DNS:      Address: 192.168.0.110
DNS:

Данный пример показывает, как snoop расшифровывает протокол DNS, чтобы отобразить данные, содержащие фактические результаты поиска.

В листинге 7 показан обмен пакетами при обращении к Web-сайту; в данном примере показан заголовок, возвращенный Web-сайтом, но, просмотрев остальные пакеты, можно увидеть исходный запрос и даже переданные сайтом данные.

Листинг 7. Обмен пакетами при обращении к Web-сайту
ETHER:  ----- Ether Header -----
ETHER:  
ETHER:  Packet 10 arrived at 10:05:19.05636
ETHER:  Packet size = 563 bytes
ETHER:  Destination = 0:2:11:90:15:31, 
ETHER:  Source      = 0:16:cb:85:2d:15, 
ETHER:  Ethertype = 0800 (IP)
ETHER:  
IP:   ----- IP Header -----
IP:   
IP:   Version = 4
IP:   Header length = 20 bytes
IP:   Type of service = 0x00
IP:         xxx. .... = 0 (precedence)
IP:         ...0 .... = normal delay
IP:         .... 0... = normal throughput
IP:         .... .0.. = normal reliability
IP:         .... ..0. = not ECN capable transport
IP:         .... ...0 = no ECN congestion experienced
IP:   Total length = 549 bytes
IP:   Identification = 53771
IP:   Flags = 0x4
IP:         .1.. .... = do not fragment
IP:         ..0. .... = last fragment
IP:   Fragment offset = 0 bytes
IP:   Time to live = 64 seconds/hops
IP:   Protocol = 6 (TCP)
IP:   Header checksum = e4e9
IP:   Source address = 192.168.0.110, narcissus.mcslp.pri
IP:   Destination address = 192.168.0.31, ultra3
IP:   No options
IP:   
TCP:  ----- TCP Header -----
TCP:  
TCP:  Source port = 80
TCP:  Destination port = 48591 
TCP:  Sequence number = 150680669
TCP:  Acknowledgement number = 1315156336
TCP:  Data offset = 20 bytes
TCP:  Flags = 0x18
TCP:        0... .... = No ECN congestion window reduced
TCP:        .0.. .... = No ECN echo
TCP:        ..0. .... = No urgent pointer
TCP:        ...1 .... = Acknowledgement
TCP:        .... 1... = Push
TCP:        .... .0.. = No reset
TCP:        .... ..0. = No Syn
TCP:        .... ...0 = No Fin
TCP:  Window = 65535
TCP:  Checksum = 0x7ca4
TCP:  Urgent pointer = 0
TCP:  No options
TCP:  
HTTP: ----- HyperText Transfer Protocol -----
HTTP: 
HTTP: HTTP/1.1 200 OK
HTTP: Date: Mon, 15 Oct 2007 09:05:02 GMT
HTTP: Server: Apache/2.2.4 (Unix) DAV/2 PHP/5.2.1 SVN/1.4.3 mod_ssl/2.2.4 
                     OpenSSL/0.9.7l mod_auth_tkt/2.0.0rc2 mod_fastcgi/2.4.2
HTTP: Accept-Ranges: bytes
HTTP: Connection: close
HTTP: [...]
HTTP:

Обратите внимание на то, что передаваемая информация шифруется (например, совместно с HTTP и другими протоколами используется протокол Secure Sockets Layer (SSL)), чтобы избежать ее несанкционированного просмотра.

Заключение

Наличие информации о том, что находится в вашей сети и какие данные по ней передаются может существенно облегчить решение многих проблем, включая те, что связаны с информационной безопасностью и производительностью.

Данная статья познакомила вас с методами сканирования сети для поиска хостов и открытых портов, а также с тем, как сохранять результаты сканирования и сравнивать их с уже имеющимися. Однако, как вы убедились, возможности сканирования сети этим и ограничиваются. Для получения реальных данных потребуется изучение содержимого передаваемых пакетов. Статья также рассказала о нескольких инструментах для различных платформ, предназначенных для получения точных сведений о передаваемых данных.

Совместное использование сканирования сети и сканирования содержимого пакетов является полезной практикой, обеспечивающей вас сведениями о том, что находится в вашей сети и что в ней происходит. Это позволяет быстро определять источники проблем, выявлять потенциально вредоносные или несанкционированные хосты и процессы.

Ресурсы

Научиться

Получить продукты и технологии

  • Wireshark: Этот инструмент позволяет сканировать сеть и отображать содержимое передаваемых пакетов.
  • nmap (EN): Этот инструмент, позволяющий сканировать хосты и порты, предоставит вам информацию о несанкционированно размещенных в вашей сети хостах и сервисах.
  • Используйте в вашем следующем проекте ознакомительные версии ПО IBM, загрузить которые можно непосредственно с сайта developerWorks.

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=467539
ArticleTitle=Набор инструментов системного администрирования: Сканирование сети
publish-date=02092010