网络设备痕迹获取技术研究

摘要：随着网络技术的不断发展和Internet的广泛使用，路由器、交换机、防火墙，等常用的网络设备早已被人们所熟悉。对于一些黑客的攻击行为分析，不能只停留在计算机的行为操作，还要留意众多类型的网络设备中也可能包含的痕迹。本文从网络设备痕迹获取方面出发，介绍了获取的方法及优缺点对比，为网络上的行为操作分析填补了不足。

关键词：网络设备痕迹 获取方法

中图分类号：G7 文献标识码：C DOI：10.3969/j.issn.1672-8181.2013.20.092

1 引言

随着信息化的飞速发展，计算机网络正在我们的工作和生活中扮演着越来越重要的角色，但随之而来的是日益猖獗的网络攻击、黑客等犯罪活动。对于一些黑客的攻击行为分析，不能只停留在计算机的行为操作，还要留意众多类型的网络设备中也可能包含的痕迹。当前，针对计算机的痕迹获取技术已经相当成熟，而存在于“幕后”的大量网络设备的痕迹获取技术却才刚刚起步。本文简要介绍了网络设备痕迹获取技术的方法。

在系统组成上，网络设备与普通计算机有很大不同，因此，传统的计算机痕迹获取方法并不适用于网络设备。本文从网络设备的连接与登录方式开始，引导出网络设备痕迹不同的获取方式，通过对几种方式的对比，总结、归纳出适应不同网络环境网络设备痕迹获取方法。

2 网络设备痕迹获取技术概述

2.1 网络设备痕迹概念

目前，网络设备痕迹并没有统一的概念，但一般包含两个方面，即能够反映网络设备软硬件情况的数据信息以及记录网络设备在操作、使用和运行过程中产生的数据信息，例如网络设备硬件配置信息、软件版本信息、网络配置信息、接口配置信息、日志信息等等。

较普通计算机痕迹而言，网络设备痕迹具有以下三个特点：①网络设备痕迹易被忽略。②网络设备痕迹不易被破坏。③网络设备痕迹获取方式的特殊性。

2.2 网络设备痕迹获取的必要性

网络设备痕迹获取的必要性主要体现在两个方面：第一，目前，针对网络行为攻击获取数据主要是以计算机本身为主，而随着计算机网络的大面积普及，包括路由器、交换机、防火墙等一大批网络设备得到了公司、企业甚至家庭的广泛应用。第二，由于操作习惯，计算机的操作比网络设备更为人们所熟悉，计算机中的一些使用或者攻击行为的痕迹，很容易被人为清除和破坏。而网络设备里的访问信息往往被忽略。

3 网络设备痕迹获取方法

3.1 本地登录的痕迹获取方式

本地登录的痕迹获取方式除了低端设备以WEB方式外，基本都是命令行（CLI）操作方式。如同DOS、Unix、Linux等命令行模式的计算机操作系统一样，网络设备也同样具有自身的命令行模式操作系统，如CISCO、华为的IOS，锐捷公司的RGOS等。

通常，网络设备的操作系统有三种权限模式，即用户模式、特权模式、全局配置模式。在不同模式下，使用的命令不同：用户模式只能查看网络设备的一些基本信息和基本状态，不能进行任何设置，一般在刚刚登陆网络设备时，系统默认处于用户模式；在用户模式下通过输入特殊指令（如CISCO设备输入enable命令）进入特权模式，在这一级别上，用户可以使用各类查看命令对网络设备信息进行查看，但仍然不能进行网络设备配置的修改；要想对网络设备配置进行修改，就必须在特权模式下输入指令（如CISCO设备输入config terminal命令）进入全局配置模式，此时，才能真正修改网络设备的配置。

由于没有统一的行业规范以及知识产权等原因，各个网络厂商的操作系统命令也稍有差异，但基本上都是参照CISCO公司的网际操作系统（IOS，Internet work 0perating System）的命令模式，只是在局部稍有不同，表1显示的是CISCO、华为、锐捷等公司部分用于查看路由器信息的命令行语言的对比，从中可以看出，它们之间的语言形式接近，但略有区别。

[[查看命令说明＼&Cisco公司命令行语言＼&华为公司命令行语言＼&锐捷公司命令行语言＼&版本信息＼&show version＼&display version＼&show version＼&运行设置信息＼&show running-config＼&display current-configuration＼&show running-config＼&开机设置信息＼&show startup-config＼&display saved-configuration＼&show startup-config＼&端口信息＼&show interface＼&display interfaces ＼&show interface＼&路由信息＼&show ip router＼&display ip route＼&show ip router＼&缓冲区信息＼&show buffers＼&display trapbuffer＼&show buffers＼&日志信息＼&show logging＼&display log＼&show logging＼&]]

表1 命令行语言的对比

3.2 远程登录的痕迹获取方式

远程登录方式主要应用于无法接近网络设备或网络设备无法暂停运转而不能应用本地登录的情况。远程登录主要有三种方式，即Telnet、WEB及网络管理软件。

3.2.1 Telnet

Telnet方式是命令行模式，登陆后的操作基本与本地登录后的操作方式相同。

3.2.2 WEB方式

WEB和网络管理软件方式都是可视化图形模式，通过鼠标点击相应的图形（或文字）命令执行操作，与本地登录的命令行模式相比，操作要相对简单。包括宽带路由器痕迹获取、路由器远程痕迹获取。

3.2.3 网络管理软件方式

以SiteView为例，SiteView是一款基于SNMP协议的功能强大的综合网络设备管理工具，不仅方便系统管理人员随时了解整个网络系统的运行状况，而且能从应用层面对企业网络系统的关键应用进行实时监测。

3.2.3.1 查看设备详细信息

如图1所示。

图1设备详细信息

3.2.3.2 查看设备接口信息

如图3.50所示。

图2 设备接口信息

4 网络设备痕迹获取方法比较

利用Console端口的本地登录模式以及利用Telnet、WEB及网络管理软件的远程登录模式是获取网络设备痕迹的最基本方式。下面详细阐述了这四种方式在连接、操作方式、操作难度、便利性等方面的优缺点比较。

4.1 本地登录

本地登录方式主要应用于可直接接触到网络设备的情况，连接采用Console端口与计算机串口直连的方式，操作方式采用命令行模式。

这种方式的优点是：对设备的操控比较全面，由于其命令较多，所以操作灵活，可以完成某些其他方式无法完成的操作。其缺点是：在连接方面，Console端口类型较多，需要各种类型转换器及连线，而超级终端的设置相对比较复杂。

在网络影响上，由于要关闭电源，可能对设备所处的网络通信产生影响。

综上所述，这种方式主要适用的环境要求是：①设备电源已经关闭或可关闭；②不影响设备所在网络的通信；③易失数据已经获取；④实验室环境；⑤取证人员对网络设备命令行语言较为熟悉。

4.2 Telnet方式

Telnet登录方式主要应用于远程登录网络设备，连接采用普通网络端口与计算机网络端口连接的方式，操作方式采用命令行模式。

这种方式的优点是：连接、登录较为方便。在该网络中的任意主机，只要拥有相应权限和登录所需的用户名、密码就可以登录本网络内的网络设备，并且，登录时无需关闭网络设备电源，不会影响网络的正常运转。

其缺点是：在使用其Telnet方式登录前，需要确认该网络设备是否支持Telnet方式或Telnet功能是否开启，有些网络设备并不支持Telnet功能或管理人员处于安全的考虑关闭了Telnet功能。

Telnet方式主要适用于：①设备较远或无法接近；②设备电源无法关闭或关闭后影响网络数据传输；③需要获取易失数据；④取证人员对网络设备命令行语言较为熟悉。

4.3 WEB方式

与Telnet方式一样，WEB方式也主要用于远程登录网络设备，但也可以在某些本地登录时使用，如宽带路由器登录。连接采用普通网络端口与计算机网络端口连接的方式，操作方式则采用网页图形化操作方式。

这种方式的优点是：连接、登录更为方便。与Telnet方式一样，网络中的任意主机，只要拥有相应权限和登录所需的IP地址、用户名、密码就可以利用浏览器登录本网络内的网络设备，并且，登录时无需关闭网络设备电源，不会影响网络的正常运转。其缺点是：网络设备需要支持WEB管理方式、需要设置登录IP地址并开启WEB管理功能。由于WEB方式采用图形化方式，其可使用的功能都是在产品出厂时预先设定的，因此，其操作的灵活性与命令行模式相比受到一定限制，某可能无法获取。

WEB方式主要适用于：①设备较远或无法接近；②设备电源无法关闭或关闭后影响网络数据传输；③需要获取易失数据；④取证人员对网络设备WEB操作环境较为熟悉。

4.4 网络管理软件方式

网络管理软件方式也应用于远程登录网络设备。与以上三种方法比较，网络管理软件方式是操作最简单、最方便的一种方式，但也是适用条件最苛刻的一种方式。

这种方式的优点是：由于网络管理软件主要用于管理全局网络设备的一种软件。缺点主要表现在：第一，网络管理软件主要应用于大型网络环境，由于成本原因，在中、小网络很少采用；第二，要求网络设备必须支持SNMP协议，否则网络管理软件无法管理该设备，只能采用其他方式；第三，只能在安装有网络管理软件的主机上才能获取网络设备痕迹，在其他主机上则无法实现。

综上所述，网络管理软件方式主要适用于大型网络环境，虽然操作方便，但网络环境要求苛刻，因此，是否使用这种取证方式应根据具体情况而定。

参考文献：

[1]卫艳丽.浅谈计算机网络安全[J].科技情报开发与经济，2007，17（23）：284-285.

[2]公安部教材编审委员会.信息网络安全监察[M].群众出版社，2000.

[3]张斌，王铭皓，王玮.我国网络犯罪现状与内部网络安全管理模式探讨[J].国土资源信息化，2004，（4）：6-10.

[4]谢希仁.计算机网络（第4版）[M].电子工业出版社，2003.

[5]W.Richard Stevens.TCP/IP详解 卷1：协议[M].机械工业出版社，2004.

作者简介：国静萍，公安边防部队广州指挥学校基础部计算机教研室，广东广州 510663

推荐访问:技术研究 网络设备 痕迹 获取