第 11 章 网络管理技术
计算机三级网络技术学习笔记
up在2020年疫情在家的时候看b站网课记的笔记,后来因为日程原因没有参加考试,把笔记分享出来,供大家参考和自己温习知识。
按照考纲来的,看官方参考书和一些网课都适用。欢迎点赞、投币、收藏
加粗的词句属于需要重点看的地方。
第 11 章网络管理技术
考点1:SNMP基础与配置(cisco设备)
考点2:windows网络管理命令
考点3:网络监听工具(综合题有1题)
考点4:故障检测与分析
考点5:网络攻击与漏洞查找
11.1 基础知识
11.1.1 网络管理的基本知识
11.1.1 网络管理的基本知识(了解)
一、网络管理的基本概念
网络管理系统一般由管理进程、被管对象、代理进程、管理信息库和网络管理协议五部分组成。
管理进程:也称管理站,是网络管理的主动实体。
被管对象:网络上的软硬件设施。
代理进程:网络管理中的被动实体。
网络管理协议:较流行的有SNMP和CMIP
管理信息库:被管对象概念上的集合。
二、网络管理的功能
1.配置管理
2.性能管理
3.记账管理
4.故障管理
5.安全管理
11.1.2 网络管理模型
11.1.2 网络管理模型
一、OSI管理模型
OSI管理模型由ISO公布。
二、SNMP管理模型
SNMP由一系列协议组和规范组成,它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP的体系结构分为SNMP管理者、SNMP代理和MIB,其管理模型是一个管理/代理模型 。每一个支持SNMP的网络设备中都包含一个网管代理,网管代理随时记录网络设备的各种信息,网络管理程序再通过SNMP通信协议收集网管代理所记录的信息。
1.SNMP的管理站和代理
SNMP采用一种分布式结构。一个管理站可以管理控制着多个代理;反之,一个代理也可以被过个管理站所管理、控制。为此,SNMP采用了“团体”这个概念来实现一些简单的安全控制。
2.管理信息库 MIB-2
管理信息库MIB也称为MIB-2,它指明了网络元素所维持的变量。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。
Cisco的(私有)管理对象标识符(OID)都是由1.3.6.1.4.1.9开头的。
MIB的应用类型中的计量器类型与计数器很类似,不同之处在于它的值可以增加也可以减少。(计数器只能增加不能减少)
3.SNMP支持的操作(11下)
①get:用于管理站向代理查询被管理设备上的MIB库数据。
②set:用于管理站命令代理对被管设备上MIB库中的对象值进行设置。
③notifications:用于代理主动向管理站报告被管对象的某些变化。通知又进一步分为自陷(Trap)和通知(Inform)两类。
每个操作都有相应的PDU格式。
4.SNMP的实现
三、 CMIP与SNMP的比较
1.SNMP的特点
①简单,易于在各种网络中实现。
②广泛支持,几乎所有的网络产品都支持SNMP。
③操作原语简捷。
④性能高。
2.CMIP的特点:
①每个变量不仅传递信息,而且还完成一定的网络管理任务,这样可减少管理者的负担减少网络负载。
②安全性高,拥有验证、访问控制和安全日志。
3.SNMP和CMIP的不同点(12下)
①SNMP有广泛的适用性,且在用于小规模设备时成本低、效率高,而CMIP更适用于大型网络。
②SNMP主要基于轮训方式获得信息,CMIP主要采用报告方式。
③SNMP基于UDP,CMIP使用面向连接的传输(TCP)。
④CMIP采用面向对象的信息建模方式,SNMP用简单的变量表示管理对象。
11.1.3 互联网控制报文协议ICMP
11.1.3 互联网控制报文协议ICMP
ICMP工作在网络层,是一种管理协议,用于在IP主机、路由器之间传递控制消息和差错报告。
ICMP消息被封装在IP数据包内(不是'TCP数据包'),通过IP包传送的ICMP信息主要是设计错误操作的报告和会送给源节点的关于IP数据包处理的消息。(12上)
ICMP消息类型:
类型号
类型描述
类型号
类型描述
0
回送应答
12
参数错误
3
目标不可到达
13
时间戳请求
4
源抑制
14
时间戳应答
5
重定向
15
信息请求(已作废)
8
回送请求
16
信息应答(已作废)
9
路由器请求
17
地址掩码请求
10
路由器恳求
18
地址掩码应答
11
超时
简记:03811,应答不可达、请求超时
ICMP的主要功能:
①通告网络错误: (目标不可到达报文)
②通告网络拥塞: (源抑制报文)
③帮助查找网络故障: (回送请求与回送应答报文)(Echo请求、Echo应答)
④通告超时: (超时报文)(IP包的TTL值减为0时)09下
⑤路由重定向: (重定向报文)
⑥检查IP协议的错误: (参数错误报文)
⑦测量指定路径上的通信延迟: (时间戳)
⑧获取子网掩码: (掩码请求与掩码应答)
11.1.4 Windows2003 网络管理
11.1.4 Windows 2003网络管理
一、网络管理命令 (不区分大小写)
1.ipconfig命令:显示所有当前的TCP/IP网络配置
ipconfig [/? | /all | /renew [adapter] | /release [adapter]
/flushdns清除DNS缓存 | /displaydns | /registerdns |/showclassid adapter
|/setclassid adapter [classid] ](12上28题)
2.Hostname命令:显示当前主机的名称
3.ARP命令:显示和修改ARP表项
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
-s :在arp缓存中添加项,将IP地址(inet_addr)和 MAC(eth_addr)地址关联。
-d : 删除inet_addr指定的ARP表项
-a :显示当前arp表项。
4.NBTSTAT:显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及连接信息。
NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n]
[-r] [-R] [-RR] [-s] [-S] [interval] ]
-a 使用远程计算机的名称列出名称表
-A 使用远程计算机的IP地址列出名称表
-c 列出远程NetBIOS名称缓存及其对应IP地址
-n 列出本地NetBIOS名称
-r 列出通过广播和WINS解析的名称
-S 列出会话及其目的IP地址
5.NET命令:管理网络环境、服务、用户、登陆等本地信息
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
Net View:显示域列表、计算机列表或指定计算机的共享资源列表。(08下)
Net User:添加或更改用户帐号或显示用户帐号信息。
Net Use:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息
Net Start:启动服务,或显示已启动服务的列表。
Net Pause:暂停正在运行的服务。
Net Continue:重新激活挂起的服务。
Net Stop:停止 Windows NT/2000/2003 网络服务。
Net Statistics:显示本地工作站或服务器服务的统计记录。
Net Share:创建、删除或显示共享资源。
Net Session:列出或断开本地计算机和与之连接的客户端的会话。
Net Config:显示当前运行的可配置服务,或显示并更改某项服务的设置。
6.NETSTAT命令:显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。(08上)
NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
-a 显示所有连接和监听端口。(TCP)
-e 显示以太网统计信息。
-p 显示指定的协议的连接。
-r 显示路由表。
-s 显示按协议统计信息。
7.Ping命令:通过发送ICMP报文并监听回应报文,来检查与远程或本地计算机的连接。
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS][-r count]
[-s count] [[-j host-list] | [-k host-list]][-w timeout] destination-list
-t : 检查与指定的计算机的连接,直到中断本次操作。
-a :将IP地址解析为计算机名。
-n count: 发送 count 指定的 ECHO 数据报文数量。默认值为 4。
-l size:按照size指定的长度发送报文。
-f:在报文中发送“不分段”标志,以保证数据包不被路由器分段。
8.Tracert 命令:通过发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目的计算机的路径。
tracert [-d] [-h maximum_hops] [-j host-list]
[-w timeout] target_name
-d:不将IP地址解析为主机名与指定计算机的连接。
-h maximum_hops:指定最大跳数。
-j host-list:按照host-list给出的主机列表指出的稀疏源路由来探测。
-w timeout:按照timeout 指定的毫秒数设定每次应答等待的时间 。
9.Pathping命令:结合了ping和tracert的功能,将报文发送到所经过地所有路由器,并根据每跳返回的报文进行统计(09下、12上)
pathping [-n] [-h maximum_hops]
[-g host-list] [-p period]
[-q num_queries] [-w timeout] [-t] [-R][-r] target_name
–p Period :指定两次 ping 之间的时间间隔。
–q Num_queries :指定对每跳的查询次数。
-R:查看每跳是否支持RSVP协议。
注意:末尾显“Trace complete”(追踪完成)的命令不一定是tracert,也可能是Pathping。
pathping有" Computing statics for xx seconds(正在计算统计信息,已耗时xx秒)"
10.Route命令:显示或修改本地IP路由表的条目
ROUTE [-f] [-p] [command [destination] [MASK netmask]
[gateway] [METRIC metric] [IF interface]
-f :清除路由表中所有的网关条目。如果该参数与command指定的命令组合使用,路由表将在运行命令前被清除。
-p: 与 add 命令一起使用时使路由具有永久性。 将使增加的路由表象永久有效,即使重新启动系统。
Command 指定下列一个命令:
PRINT 打印路由
ADD 增加路由表项
DELETE删除路由表项
CHANGE 修改路由表项
gateway指定网关的IP地址
METRIC 指定路由器所需跳数
二、网络管理工具(了解)
1.用户管理
Windows 2003中有两种用户:本地用户和域用户。本地用户信息存储在本地计算机的账户管理数据库中,用户登录后只能根据权限访问本地计算机。域用户信息存储在域控制器的活动目录中,用户登录后可以根据权限访问整个域中的资源。(应用题考过1次)
域用户管理是通过工具“Active directory用户和计算机”实现的。此工具允许在单位的目录中添加、修改、删除和组织Windows 2003域用户账户、计算机账户、安全和通信组以及公布的资源。
2.性能管理
使用“性能监视器”可以监控系统运行情况。性能管理包括系统监视器和性能日志和警报。
3.远程访问管理
本地主机可以作为路由和远程访问服务器。通过【程序】->【管理工具】中选择【路由和远程访问】工具。
11.1.5 常见网络故障及其处理
11.1.5 常见的网络故障及其处理(了解)
一、常见网络故障
1.主机故障
2.网络设备故障
3.通信线路故障
4.软件系统故障
5.网络拥塞与拒绝服务
二、网络故障的检测与处理
1.对故障进行分离和排序
2.收集故障信息
3.分析原因
4.故障测试与分析
5.故障排除
6.记录和总结
11.1.6 漏洞扫描
11.1.6 漏洞扫描
一、漏洞扫描技术
漏洞即是指存在于计算机系统的硬件、软件、协议设计以及系统安全策略等方面的缺陷和不足。
漏洞扫描技术即是检测系统安全脆弱性的一种安全技术。通常分为基于主机和基于网络的两种扫描器:
基于主机的漏洞扫描器主要扫描主机系统相关的安全漏洞,如passwd文件、目录和文件权限、共享文件系统、敏感服务、软件、系统漏洞等。
基于网络的漏洞扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟供给,以测试系统的防御能力。
通常,漏洞扫描工具完成的功能包括:扫描、生成报告、分析并提出建议,以及数据管理等。
网络漏洞扫描器的主要性能应该考虑的因素:
速度
能够发现的漏洞数量
能否支持所定制的攻击方法
能够给出清楚的安全漏洞报告
更新的周期
二、漏洞库CVE(10上)
公共漏洞和暴露(CVE)是个行业标准,它为每个漏洞和暴露确定了唯一的名称和标准化的描述(并没有定义唯一的解决方法),可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。
如果在一个漏洞报告中指明的一个漏洞有CVE名称,就可以快速地在任何其他CVE兼容的数据库中找到相应的修补程序。
11.2 实训任务
11.2.1 实训任务一:常用网络管理软件的安装与配置
11.2.1 实训任务一:常用网络管理软件的安装与配置
一、网络管理软件的常见功能
①网络性能监控:提供带宽测量、路由CPU负荷性能 指标的实时监控,以及历时数据统计。
②网络发现和拓扑管理:提供子网列表、ping sweep 和IP网络浏览器
③IP地址管理
④探测功能:提供ping和trace route等
⑤其他:如TFTP服务器等
二、常见网络管理软件安装与配置(12下)
①大型管理平台:
HP Open View、Sun Net Manager、IBM Net View等。可以对多种网络、协议进行管理,有很好的开放性,支持第三方管理软件的潜入。
②网络设备厂家自身产品的网管软件:
如CISCO、Juniper、华为。
③中小型网络通用网管软件:
Solarwinds、MRTG、SNMPc等。
这些网络系统都是采用SNMP协议来对网络进行管理的。如果一个网络管理控制多个代理,那么它和这些代理中的每一个都各构成一个团体。
三、网络设备SNMP设置(以cisco路由器为例)
1.创建或修改对SNMP团体的访问控制(08上、10上)
(config)# snmp-server community <团体名> [view <视阈名> ] [ro | rw] [<访问控制列表号> ]
其中:
①团体名:用于同一团体内的管理站和代理之间进行通信认证。
②视阈名:规定了本团体内访问管理信息库的范围。
③ro或rw:代表访问权限为只读或可读写。
④访问控制表号:1~99,标准的ACL,IP范围内的主机为属于这个“团体”的管理站。
(config)# snmp-server community public 4
(config)# snmp-server community admin view part rw
2.创建或修改一个SNMP视阈
(config)# snmp-server view <视阈名>
<对象标识符或子树>|included|excluded ]
3.设置路由器上的SNMP代理具有发出通知的功能:
(config)# snmp-server enable Traps [<通知类型 >][<通知选项>]
Traps自陷通知,管理站对这种报文不必有所应答。(另一种inform通知消息,必须作出应答)
4.在某个接口的配置模式下,指定当该接口断开或连接时要向管理站发出通知; (08下)
(config-if)# snmp Trap link-status
5.配置接收通知的管理站(10下)
(config)# snmp-server host <主机名或IP地址> [Traps|informs] [version 1|2c] <团体名>[ udp-port<端口号(默认162) [<通知类型>]
管理站使用UDP的162端口接收通知
11.2.2 实训任务二:管理与维护用户账户
11.2.2 实训任务二:管理与维护用户账户(了解)
一、域用户管理
1.添加用户账户
在【Active Directory用户和计算机】中,右击Users文件夹 【新建】 【用户】
输入用户的基本信息和登录名称
设定用户密码
单击【下一步】,然后单击【完成】。
2.修改域用户属性
在【Active Directory用户和计算机】中,右击Users栏中的用户 单击“属性”,在属性对话框中对用户属性进行设置和修改。
二、组管理
1.添加组
在【Active Directory用户和计算机】中,右击Users文件夹 【新建】 【组】
在新建组的对话框中输入组的名称,并设置组作用域和组类型。
【组作用域】栏中的三个选项:
①本地作用域
具有本地作用域的组可以将其作为来自Windows server 2003或Windows NT域的组和账户,且可用于仅在域中授予权限。具有本地作用域的组成为本地组。
②全局作用域:
有全局作用域的组可将其成员作为仅来自组所定义的域的组和账户,并且在树林中的任何域中都可获得权限。有全局作用域的组成为全局组。
③通用作用域:
有通用作用域的组可以将其成员作为来自域树或树林中任何Windows server 2003域的组合账户,并且在域树或树林的任何域中都可获得权限。 有通用作用域的组成为通用组。
【组类型】中的两个选项:
①安全组:安全组列于定义资源和对象权限的选择性访问控制表(DACL)中。
②通信组:通信组不采用安全机制。它们不能列于DACL中。只有电子邮件应用程序(如exchange)中们才能用通信组将电子邮件发送给一组用户。
2.在组中添加用户
11.2.3 实训任务三:利用工具监控和管理网络
11.2.3 实训任务三:利用工具监控和管理网络
一、需求
二、网络监听原理
网卡有4 种接收模式:广播,组播,单播,混杂模式。嗅探器通过将本地网卡设置为混杂模式,来监听并捕捉其所连接网段的所有网络数据。
三、网络数据监听部署
1.对于共享型网络
在共享型网络中,只要将嗅探器部署到网络中的任意一个接口上或者插入到任何一个节点的链路中,即可以捕捉到所有数据包。
2.对于交换型网络
在交换式网络中,需要采用通过对交换机进行端口镜像的方式,来获得网络中流量。
①配置被镜像端口:
SW(config)#monitor session 1 source interface Gi2/16
②配置镜像端口:
SW(config)#monitor session 1 destination interface Gi2/12
③检查配置:SW#show monitor session 1
Session 1
---------
Type : Local Session 本地会话
Source Ports :
Both:Gi2/16 被镜像端口 (源端口,被监听,接要检测的流量一端)
Destination Ports : Gi2/12 镜像端口(目的端口,接入侵检测)
四、网络数据监听工具(09下)
常见的网络数据监听工具有Sniffer Pro、Ethereal、TCPdump、Wireshark等,
其中Sniffer Pro是一个功能强大的可视化 网络流量监控软件,主要功能包括:
①捕捉网络流量,进行数据包解码分析。
②实时监测网络活动。
③内置分析器诊断网络故障。
④存储各种历时信息,并可进行基线分析。
⑤当探测到网络故障时可以发出警报。
⑥可以模拟生成数据包对网络进行探测。
了解:数据监听、数据包捕捉、数据包分析、数据包生成
11.2.4 实训任务四:查找和排除故障的基本方法
11.2.4 实训任务四:查找和排除故障的基本方法【重点,一个选择】
(08上、08下、10下、11下、12上、12下、13上)
1.收集故障有关信息
①该计算机使用真实IP地址。 本机是否正常
②该计算机能够使用域名访问自己校园网的WWW服务器。 内网是否正常
③该计算机与校园网WWW服务器不在同一个网段(VLAN)。 网关是否正常
④在同一网段的其他计算机能正常访问www.mircosoft.com。 外网是否正常、单机还是网段有问题
2.可能造成一台计算机无法浏览某个WWW服务器的原因主要有:(由近及远排除)
①该计算机的TCP/IP协议工作不正常。 网卡
②该计算机的IP地址与掩码设置有误。
③该计算机的网关设置有误。
④该计算机的DNS设置有误。
⑤该计算机系统的浏览器有问题。 工具软件是否正常
⑥提供www.micrisoft.com名字解析的服务器有故障。 DNS服务器是否有问题
⑦服务器www.micrisoft.com工作不正常。 网站站点
⑧校园网路由设置中存在问题。 路由问题
⑨该计算机请求无法到达服务器www.micrisoft.com。 数据包访问受到限制,比如受ACL访问控制列表限制
三、故障测试与分析:
(1)运行命令ping www.microsoft.com测试:
C:\>ping www.microsoft.com
Pinging lb1.www.ms.akadns.net [207.46.19.60] with 32 bytes of data: 为访问站点www.microsoft.com的地址,表明DNS正常
Reply from 202.113.79.1: destination net unreachable目标网络不可达。ping包在202.113.79.1处被阻拦,一般原因:访问控制
Reply from 202.113.79.1: destination net unreachable
Reply from 202.113.79.1: destination net unreachable
Reply from 202.113.79.1: destination net unreachable
Ping statistics for 207.46.19.60 :
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
运行命令 tracert www.microsoft.com测试:
C:\>tracert www.microsoft.com
Tracing route to lb1.www.ms.akadns.net [65.55.57.27] 此处65.55.57.27为访问站点www.microsoft.com的地址,表明DNS正常
over a maximum of 30 hops:
1<1 ms <1 ms<1 ms 202.113.79.53
2<1 ms <1 ms<1 ms 202.113.79.9
3 202.113.79.1 reports: destination net unreachable.表明发出的ping包在第3跳202.113.79.1处被阻拦了,一般原因:访问控制
Trace complete.
另外:如果出现 request timed out 可能是目标方(某网站、主机等)工作不正常。
11.2.5 实训任务五:网络攻击与漏洞查找的基本方法
11.2.5 实训任务五: 网络攻击与漏洞查找的基本方法
一、常见的网络入侵与攻击的基本方法
1.木马入侵:C/S结构,不自身复制
2.漏洞入侵:Unicode漏洞入侵、跨站脚本注入、sql注入入侵。(网络防火墙不能阻挡漏洞入侵)
3.协议欺骗攻击
4.口令入侵
5.缓冲区溢出漏洞攻击
6.拒绝服务攻击
知识点1:协议欺骗攻击:
针对网络协议的缺陷假冒用户身份截取信息获得特权的攻击方式。主要的协议欺骗攻击方式有以下几种:
IP欺骗攻击
ARP 欺骗攻击
DNS 欺骗攻击 访问网站获得一个其它网站的ip,从而引导用户到其它网站
源路由欺骗攻击
知识点2:拒绝服务攻击Dos:
基本方式是通过发送大量合法的请求来消耗和占用过多的服务资源,使得网络服务不能相应正常的请求。
常用的DoS 攻击包括:
①Smurf 攻击:攻击者冒充受害者主机的IP地址,向一个大的网络发送echo request的定向广播包,此网络的许多主机都作出回应,受害主机会收到大量的echo reply消息。
②SYN Flooding(SYN洪泛滥):利用TCP三次握手过程进行攻击,使用无效的IP地址。
③分布式拒绝服务攻击DDos:攻击者攻破了多个系统,并利用这些系统去集中攻击其他目标,成百上千的主机发送大量的请求,受害设备因为无法处理而拒绝服务。
④Ping of Death(死亡之Ping):通过构造出重组缓冲区大小的异常的ICMP包进行攻击。
⑤Teardrop:利用OS处理分片重叠报文的漏洞进行攻击。
⑥Land 攻击:向某个设备发送数据包,并将数据包的源地址和目的地址都设置成攻击目标地址。
二、漏洞查找办法(10下、11上)
漏洞扫描分为被动和主动两种。被动扫描对网络上的流量进行分析,不产生额外流量,类似于IDS。主动扫描可能会影响网络系统的正常运行。
常用的漏洞扫描攻击有:ISS,Microsoft Baseline Security Analyzer,X-Scanner。
1. ISS扫描器是主动扫描的一种。
Internet Scanner对网络设备进行自动的安全漏洞分析。
System Scanner是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。
2. X-Scanner采用多线程方式对指定IP地址段进行安全漏洞是扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
3. MBSA是微软的安全评估工具。
三、漏洞修补方法(09上)
Microsoft Windows Server Update Services (WSUS) 是用来实时发布微软公共操作系统软件更新程序的服务器,WSUS通过Internet和微软公司Microsoft Windows Server Update Services实时连接,及时获得微软公司最新更新(WSUS(微软更新服务器)是漏洞修补方法,不是用来"扫描"、"查找漏洞"、"安全评估")
程序,大大缩短了网内计算机执行重大更新时的时间过程。
可更新部署Windows Server 2003、Windows 2000 Server 和 Windows XP 、Office XP、Exchange server2003以及SQL server2000和更高版本的更新。
本章学习建议与命题方向
1.cisco设备配置(掌握基本命令的结构与含义)
2.掌握windows网络管理命令与ICMP协议基础
3.重点掌握故障检测与分析方法
4.重点掌握网络攻击与漏洞查找的基本方法
