论文部分内容阅读
当前,网络安全是因特网从业人员一个极其热门的研究方向。其实它并非一个单独的研究领域,它是和日常的网络运行融为一体的。对网络的链路状态、所提供的服务类型、接口流量、受攻击情况、易毁性等方面情况的监控和掌握,是保证整体网络安全运作的基础。网络监控可以细化为加密与解密、日志分析、网络攻击、网络防护、网络监听、网络扫描、网络审核、系统相关等等方面。在此,介绍几种实用的且为“Free version”的监控软件供大家参考。文中的一些地址做了省略处理。
日志分析工具
1.Freq:(http://www.bangmoney.org/projects/freq/)
是用来描述最后登录日志文件(Lastlogs)的报文和图表的脚本工具,能动态地显示信息的变化。它的基本功能有:
* 按登录次数多少以升序或降序显示登录用户名;
* 显示进行ftp的用户名及其次数;
* 显示每日/周/月的登录次数;
* 显示登录的terminal。
2.Log_analysis:(http://linux.umbc.edu/~mabzug1/log_analysis.html)
一种日志分析工具。它的基本功能有:
* 显示系统的硬盘实用情况;
* 详细显示各登录者的情况(用户名、tty、源地址、登录时间、次数、方式(是否为ftp等)、shell)等;
* 显示配置文件;
该软件的显示内容可以mail到一邮箱里,也可以保存到文件中。见例1。
3.logcheck:(http://www.psionic.com/abacus/logcheck/)
另一种系统日志监视软件。它一旦安装,需定义监测人的crontab,以便该软件按照定义好的周期监控系统日志,并做相应的处理(例如:mail到监控人的邮箱)。
网络监听工具
1.Iptraf:(http://cebu.mozcom.com/riker/iptraf/index.html)
是一个非常直观有效的通讯监控手段,其基本功能有:
* 监视IP地址间的通讯(源地址、目的地址、包大小、bytes以及实用的interface);
* 监视流经设备的各interface的流量大小(kbps);
* 详细监视TCP/UDP各种services(例如port21,23,53,80......)的流通量;
* 详细监视设备的各interface的各种协议的量(例如IP/TCP/UDP/ICMP......);
* 详细监视本机的流入/流出量以及其IP和使用的interface;
* 可以对TCP或其他协议的包定义过滤监视规则。
2.ntop:(http://www.ntop.org/ntop.html)
网络使用状况工具。
该软件是建立在libpcap的基础上的。其基本功能有:
* 对网络流量traffic的监控与统计;
* 实时检测网络上各主机、子网的通讯情况(源地址、目的地址、协议、packets、时间等)。
3.Ethereal:(http://www.ethereal.com/ 或http://ethereal.zing.org/)
是一个有名的网络分析仪,可以捕获和浏览网络帧的内容,可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP。还可以定义Filters规则。该软件适用于多个UNIX系统。
网络扫描及系统相关工具
1.DoorWatch:(http://www.cyberarmy.co.kr/DoorWatch/DoorWatch.zip)
主要功能有:
* 提供ping、nslookup功能检测;
* 提供本机的netstat信息,包括connection list、IP stats、ICMP stats、TCP stats、UDP stats;
* 提供对指定IP的系统信息report,包括OS类型、是否提供FTP、HTTP、SMTP、POP3、NNTP、DNS、Proxy、Socks、Telnet、Imap、Samba、Finger等服务以及提供的服务的名称、版本等。
2.Nettools:(http://www.mikersoft.com/prod07.htm)
与DoorWatch的功能类似,多“port scanner”功能,但该功能在Free version中不能用。该软件的主界面为:
3.AATools(Advanced Administrative Tools):(http://www.glocksoft.com/aatools.htm)
也是一种网络审核和扫描工具,它多一项E_mail Verify的功能,可以检测多个邮箱的状态。
与DoorWatch、Nettools及AATools类似的软件还有很多,例如:netxray、userinfo、Xploiterstat等等。
3.nmap:(http://www.insecure.org/nmap/index.html#download)
该软件主要用于端口扫描和识别OS类型。它可给出对TCP、UDP协议的保留端口的详细扫描report,可以对指定的IP扫描指定的端口。
网络审核工具:
1.Vetescan:(http://www.self-evident.com/exploits/vetes/)
是系统漏洞检查工具,其基本功能有:
* 检查log access,修改一些目录的权限;
* 检查HOME/ROOT目录的访问权限,修改一些目录的权限;
* 检查系统的SUID/SGID设置;
* 检查Unkowned Files;
* 检查.rhosts;
* 检查inetd中的services;
* 检查passwd/shadow,是否有用户名和口令一样的情况;检查/etc/securitty;
* 检查World-Writeable files。
* 检查的结果会形成local.log、messages、rlist、suidlist、uolist、wwlist等文件。
2.saint(The Security Administrators Intergrated Network Tools):(http://www.fish.com/~zen/satan/satan.html)
网络安全管理的集成化工具。其主要功能有:
* 搜集网络拓扑结构、域、子网;
* 搜集网络硬软件类型;
* 搜集远程主机和网络提供的服务类型:finger、NFS、NIS、ftp、tftp、rexd、statd和其他服务;
* 确定潜在的网络安全问题及等级,如网络非正确安装和配置、对非授权程序开放的NFS文件、对任意主机开放的NFS文件和NIS password、旧版本的sendmail、X server访问控制失效、通过TFTP可随意访问的文件、从任意主机远程访问的shell定义、可写的anonymous FTP主目录等等;
* 确定网络的易毁性类型;
* 对找到的问题,saint会给出对该问题的解释以及它对安全可能带来的影响,并提出解决问题的一些方法(如更改配置文件中的错误、安装bugfix、控制访问、使提供的服务失效等等)。
可以看出,该软件的用户界面是HTML格式。
注:saint是在satan(Security Administrator Tool for Analyzing Networks)的基础上,做了许多改进而形成的新版本。
以上介绍了一些实用的监控软件。上述的分类也只是大体上的分类,因为许多软件同时具有多种功能。类似的工具还很多。这些工具对于网管人员来说是能起到一定作用的。
日志分析工具
1.Freq:(http://www.bangmoney.org/projects/freq/)
是用来描述最后登录日志文件(Lastlogs)的报文和图表的脚本工具,能动态地显示信息的变化。它的基本功能有:
* 按登录次数多少以升序或降序显示登录用户名;
* 显示进行ftp的用户名及其次数;
* 显示每日/周/月的登录次数;
* 显示登录的terminal。
2.Log_analysis:(http://linux.umbc.edu/~mabzug1/log_analysis.html)
一种日志分析工具。它的基本功能有:
* 显示系统的硬盘实用情况;
* 详细显示各登录者的情况(用户名、tty、源地址、登录时间、次数、方式(是否为ftp等)、shell)等;
* 显示配置文件;
该软件的显示内容可以mail到一邮箱里,也可以保存到文件中。见例1。
3.logcheck:(http://www.psionic.com/abacus/logcheck/)
另一种系统日志监视软件。它一旦安装,需定义监测人的crontab,以便该软件按照定义好的周期监控系统日志,并做相应的处理(例如:mail到监控人的邮箱)。
网络监听工具
1.Iptraf:(http://cebu.mozcom.com/riker/iptraf/index.html)
是一个非常直观有效的通讯监控手段,其基本功能有:
* 监视IP地址间的通讯(源地址、目的地址、包大小、bytes以及实用的interface);
* 监视流经设备的各interface的流量大小(kbps);
* 详细监视TCP/UDP各种services(例如port21,23,53,80......)的流通量;
* 详细监视设备的各interface的各种协议的量(例如IP/TCP/UDP/ICMP......);
* 详细监视本机的流入/流出量以及其IP和使用的interface;
* 可以对TCP或其他协议的包定义过滤监视规则。
2.ntop:(http://www.ntop.org/ntop.html)
网络使用状况工具。
该软件是建立在libpcap的基础上的。其基本功能有:
* 对网络流量traffic的监控与统计;
* 实时检测网络上各主机、子网的通讯情况(源地址、目的地址、协议、packets、时间等)。
3.Ethereal:(http://www.ethereal.com/ 或http://ethereal.zing.org/)
是一个有名的网络分析仪,可以捕获和浏览网络帧的内容,可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP。还可以定义Filters规则。该软件适用于多个UNIX系统。
网络扫描及系统相关工具
1.DoorWatch:(http://www.cyberarmy.co.kr/DoorWatch/DoorWatch.zip)
主要功能有:
* 提供ping、nslookup功能检测;
* 提供本机的netstat信息,包括connection list、IP stats、ICMP stats、TCP stats、UDP stats;
* 提供对指定IP的系统信息report,包括OS类型、是否提供FTP、HTTP、SMTP、POP3、NNTP、DNS、Proxy、Socks、Telnet、Imap、Samba、Finger等服务以及提供的服务的名称、版本等。
2.Nettools:(http://www.mikersoft.com/prod07.htm)
与DoorWatch的功能类似,多“port scanner”功能,但该功能在Free version中不能用。该软件的主界面为:
3.AATools(Advanced Administrative Tools):(http://www.glocksoft.com/aatools.htm)
也是一种网络审核和扫描工具,它多一项E_mail Verify的功能,可以检测多个邮箱的状态。
与DoorWatch、Nettools及AATools类似的软件还有很多,例如:netxray、userinfo、Xploiterstat等等。
3.nmap:(http://www.insecure.org/nmap/index.html#download)
该软件主要用于端口扫描和识别OS类型。它可给出对TCP、UDP协议的保留端口的详细扫描report,可以对指定的IP扫描指定的端口。
网络审核工具:
1.Vetescan:(http://www.self-evident.com/exploits/vetes/)
是系统漏洞检查工具,其基本功能有:
* 检查log access,修改一些目录的权限;
* 检查HOME/ROOT目录的访问权限,修改一些目录的权限;
* 检查系统的SUID/SGID设置;
* 检查Unkowned Files;
* 检查.rhosts;
* 检查inetd中的services;
* 检查passwd/shadow,是否有用户名和口令一样的情况;检查/etc/securitty;
* 检查World-Writeable files。
* 检查的结果会形成local.log、messages、rlist、suidlist、uolist、wwlist等文件。
2.saint(The Security Administrators Intergrated Network Tools):(http://www.fish.com/~zen/satan/satan.html)
网络安全管理的集成化工具。其主要功能有:
* 搜集网络拓扑结构、域、子网;
* 搜集网络硬软件类型;
* 搜集远程主机和网络提供的服务类型:finger、NFS、NIS、ftp、tftp、rexd、statd和其他服务;
* 确定潜在的网络安全问题及等级,如网络非正确安装和配置、对非授权程序开放的NFS文件、对任意主机开放的NFS文件和NIS password、旧版本的sendmail、X server访问控制失效、通过TFTP可随意访问的文件、从任意主机远程访问的shell定义、可写的anonymous FTP主目录等等;
* 确定网络的易毁性类型;
* 对找到的问题,saint会给出对该问题的解释以及它对安全可能带来的影响,并提出解决问题的一些方法(如更改配置文件中的错误、安装bugfix、控制访问、使提供的服务失效等等)。
可以看出,该软件的用户界面是HTML格式。
注:saint是在satan(Security Administrator Tool for Analyzing Networks)的基础上,做了许多改进而形成的新版本。
以上介绍了一些实用的监控软件。上述的分类也只是大体上的分类,因为许多软件同时具有多种功能。类似的工具还很多。这些工具对于网管人员来说是能起到一定作用的。