十一网络管理技术

考点：1.SNMP基础与配置（Cisco设备）2.Windows网络管理命令3.网络监听工具（综合题有1题）4.故障检测与分析5.网络攻击与漏洞查找一、网络管理的基本概念1.管理进程：管理站，主动实体2.被管对象：网络软硬件3.代理进程：被动实体4.网络管理协议：SNMF（管理-代理模型）、CMIF5.管理信息库网络管理模型一、OSI：ISO发布二、SNMP：管理者、代理、MIB，管理/代理模型。每一个支持SNMP的网络设备中都包含一个网管代理，网管代理随时记录网络设备的各种信息，网络管理程序再通过SNMP通信协议收集网管代理所记录的信息。1.SNMP：采用一种分布式结构。采用了团体概念来实现一些简单的安全控制。2.管理信息库MIB-2：指明网络元素所维持的便利。Cisco的管理对象标示符（OID）都是由1.3.6.1.4.1.9开头的。定义的是私有管理对象。MIB的计量器，它的值可以增加也可以减少。3.SNMP支持的操作1）get：管理站向代理查询被管设备上的MIB数据。2）set：管理站命令代理对被管设备上的MIB库中的对象值进行设置。3）notifications：代理主动向管理站报告被管对象的某些变化，通知分为：自陷（Trap）和通知（Inform）。每个操作都有相应的PDU格式。4.SNMP的实现三、CIMP与SNMP的比较1.SNMP：有广泛的适用性，适用于小规模设备时成本低、效率高。主要基于轮询方式获得信息。基于PDU。用简单便利标示管理对象。2.CMIP：更适用于大型网络。报告方式获得信息。使用面向连接的传输（TCP）。采用面向对象的信息建模方式。每个变量不仅能传递信息，还能完成网络管理任务；安全性高，拥有验证访问控制。一、互联网控制报文协议ICMPICMP工作在网络层，是一种管理协议，用于在IP主机、路由器之间传递控制消息和差错报告。ICMP消息被封装在IP数据包内，通过IP包传送的ICMP信息主要是设计错误操作的报告和回送给源结点的关于IP数据包处理的消息。ICMP消息类型：类型号类型描述0回送应答3目标不可到达8回送请求11超时（TTL存活时间）最典型Ping命令ICMP的主要功能：1）通告网络错误（目的结点无效）：目标不可达报文2）通告网络拥塞：源抑制报文3）帮助查找网络故障：回送请求与回送应答报文4）通告超时：超时报文（每经过一个路由器减一，为0则超时）5）路由重定向：重定向报文6）检查IP协议的错误：参数错误报文7）测量制定路径上的通信延迟：时间戳8）获取子网掩码：掩码请求与掩码应答收到Echo（回送）请求报文的目的结点必须向源结点发出Echo应答报文。Windows2003网络管理一、网络管理命令1.Ipconfig命令：显示当前的TCP/IP网络配置Ipconfig[/?all/renew/release/flushdns/]flushdns清除DNS缓存。2.hostname命令：显示当前主机的名称3.ARP命令：显示和修改ARP表项ARP标示计算机IP地址与NAT地址的对应关系ARP-a[inet_addr][if_addr]显示当前所以ARP；-d删除指定表项；-s手工在ARP缓存中添加项，将IP地址（inet_addr）和MAC(eth_addr)地址关联。4.NBTSTAT：显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及连接信息。-a远程计算机名称；A远程计算机IP地址；-cNetBIOS名称缓存及其对应IP地址；-n本地NetBIOS名称；-rguangboheWINS解析的名称；-s会话及IP地址5.NET命令：管理网络环境、服务、用户登录等NetView：显示域列表、计算机列表或指定计算机的共享资源列表。6.NETSTAT命令：显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息-a显示所有连接和监听端口；–e以太网信息；–p指定协议的连接；–r路由表；–s按协议统计信息。7.Ping命令：通过发送ICMP报文并监听回应报文，来检查与远程或本地计算机的连接。-t检查与指定的计算机的连接，直到中断本次连接；-a将IP地址解析为计算机名；-ncount发送多少个Echo数据报文数量。默认4；-l指定报文长度；-f报文不允许分段。8.Tracert：通过发送包含不同TTL的ICMP报文并监听回应报文，来探测到达目的计算机的路径。9.Pathping命令：结合了ping和tracer功能，将报文发送到所经地所有路由器，并根据每跳返回的报文进行统计。检测本机配置的域名服务器是否工作正常。-p指定两次Ping之间的时间间隔；-q指定对每跳的查询次数；-R查看每跳是否支持RSVP（资源预留）协议。10.route命令：显示或修改本地IP路由表的条目-f清除所有网关；-p与add命令一起使用使路由具有永久性。二、网络管理工具1.用户管理：本地用户，存储在本机系统；域用户信息存储在域控制器的活动目录中。域管理通过“Activedirectory用户和计算机”工具。2.性能管理：包括系统监视器、性能日志、警报3.远程访问管理：本地主机可作为路由和远程访问服务器（需要双网卡），也可做VPN服务器漏洞扫描器分类：1）基于主机的漏洞扫描器：扫描主机系统相关的安全漏洞2）基于网络的漏洞扫描器：扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器]防火墙，并可设定模拟供给扫描工具完成的功能：扫描、生成报告、分析并提出建议、数据管理二、漏洞库CVE公共漏洞和暴露（CVE），确定唯一的名称和标准化的描述，并没有解决方法。。如果报告中漏洞有CVE名称，就可以在任何其他CVE兼容的数据库中找到相应的修补程序。用户可以根据CVE字典建立自己的风险评估体系。实训任务一：二、常见网络管理软件安装与配置1）大型管理平台：支持第三方HPOpenView、SunNetMsnger、IBMNetView（支持SMNP）2）自身产品：Cisco、Juniper、华为3）中小型网络通用：均采用SNMP协议。Solarwinds、MRTG、SNMP三、网络设备SNMP设置1.创建(config)#snmp-servercommunity团体名[view视阈名][ro/rw][访问控制列表1-99](config)#snmp-servercommunitypublic42.修改(config)#snmp-serverview视阈名对象标示符或子树3.设置路由器上的SNMP代理具有发出通知的(config)#snmp-serverenabletraps管理站对这种报文不必有所应答。4.在某个接口的配置模式下，指定当该接口断开或连接时要向管理站发出通知(config-if)#snmptraplink-status5.配置接收通知的管理站(config)#snmp-serverhost主机名或IP地址[traps丨informs][version1丨2c]团体名[udp-port端口号默认162][通知类型]{组作用域}栏中的三个选项：1.本地作用域：其中的组可作为来自Windows2003或WindowsNT域的组和账户，仅在域中授予权限2.全局作用域：在树林中的任何域中都可获得权限3.通用作用域：来自域树或树林中任何WindowsServer2003域的组和账户实训任务三：利用工具监控和管理网络二、网络监听原理：网卡有4种接受模式：广播、组播、单播、混杂模式。嗅探器通过将本地网卡设置为混杂模式，来监听并捕捉其所连接网段的所有网络数据。三、网络数据监听部属1.对于共享型网络集线器连接，嗅探器可部属到网络的任意一个接口2.对于交换型网络交换机进行端口镜像的方式，1）配置被镜像端口：SW(config)#monitorsession1sourceonterfaceGi2/162）配置镜像端口：SW(config)#monitorsession1destinationinterfaceGi2/123）检查配置：sw#showmonitorsession1Session1Type:LocalSessionSourcePorts:Both:Gi2/16源端口DestinationPort:Gi2/12目的端口，连接嗅探器四、网络数据监听工具常见工具SnifferPro、Ethereal、TCPdump实训任务四：查找和排除故障的基本方法1.收集故障有关信息1）使用真实IP地址2）使用域名DNS访问自己校园网的）与校园网）在同一网段的其他计算机能正常访问服务器的原因：1）TCP/IP协议工作不正常2）IP地址与子网掩码设置有误3）网关设置有误（不能跨网段访问其他子网）4）DNS设置有误（不能解析）5）浏览器有问题6）提供）服务器）校园网路由设置有问题9）该计算机请求无法到达服务器（如ACL的拒绝）三、故障测试与分析Pinglb1.[207.46.19.60]with32bytesofdata看到这些说明DNS解析完全没有问题，解析有问题地址出不来Replyfrom202.113.79.1:destinationnetunearchable目标网络不可达，被阻断运行命令tracert测试：Tracingroutetolb1.[]……11ms1ms1ms202.113.79.5321ms1ms1ms202.113.79.9另外，如果出现requesttimedout请求超时，可能是目标方工作不正常。实训任务五：网络攻击与漏洞查找的基本方法1.木马入侵：C/S结构，不自身复制2.漏洞入侵：Unicode漏洞入侵、跨站脚本注入、SQL注入入侵3.协议欺骗攻击：主要类型有IP欺骗、ARP欺骗、DNS欺骗、源路由欺骗4.口令入侵5.缓冲区溢出漏洞攻击6.拒绝服务攻击DOS（发送大量合法请求）：包括Smurf攻击、SYNFlooding（利用TCP的三次握手过程进行攻击，使用无效IP地址）、分布式拒绝服务DDOS（危害性更大，大量集中攻击）网络防火墙可以阻挡欺骗攻击，但不能阻挡基于漏洞的攻击。二、漏洞查找方法被动扫描，不产生额外浏览，类似IDS入侵检测系统。主动扫描影像网络正常，方式：1）ISS：主动扫描，InternetScanner对网络设备分析；SystemScanner依附于主机2）MicrosoftBaselineSecurityAnalyzer3）X-Scanner：采用多线程方式对指定IP地址段扫描，提供了图形界面和命令行两种操作方式。WSUS是漏洞修补方法。