大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
网络自适应与自发现的动机
成都创新互联专注于珠晖企业网站建设,成都响应式网站建设,商城系统网站开发。珠晖网站建设公司,为珠晖等地区提供建站服务。全流程定制网站,专业设计,全程项目跟踪,成都创新互联专业和态度为您提供的服务
输出的目标
安全风险与故障的及时有效的准确定位和排除
“要知道我们有什么,在哪里以及如何使用”
设备发现
using SNMP - CLI
snmpwalk command
snmpwalk -v 2c -c 1qaz@WSX 100.100.32.10
Standard MIBs
System (.1.3.6.1.2.1.1)
Name, description, uptime
Response bindings:
1: sysObjectID.0 (object identifier) enterprises.9.1.516
2: sysUpTimeInstance (timeticks) 42 days 23h:23m:48s.31th(371302831)
3: sysContact.0 (octet string) (zero-length)
4: sysName.0 (octet string) WS-C3750v2-48TS[57.53.2D.43.33.37.35.30.76.32.2D.34.38.54.53 (hex)]
5: sysLocation.0 (octet string) (zero-length)
6: sysServices.0 (integer) 6
7: sysORLastChange.0 (timeticks) 0 days 00h:00m:00s.00th (0)
8: sysORID.1 (object identifier) enterprises.9.7.129
9: sysORID.2 (object identifier) enterprises.9.7.115
10: sysORID.3 (object identifier) enterprises.9.7.265
Interfaces (IF-MIB)
IfTable (.1.3.6.1.2.1.2.2), IfXTable (.1.3.6.1.2.1.31.1)
IP (IP-MIB)
ipAddrTable (.1.3.6.1.2.1.4.20) – used IP addresses
ipRouteTable (.1.3.6.1.2.1.4.21) – Routing table
部分带有路由功能的交换机会在(.1.3.6.1.2.1.4.24体现路由信息例如cisco 3750
ICMP (IP-MIB)
icmpStatsTable (.1.3.6.1.2.1.5.29) – statistics of ICMP packets
目前这部分被广泛应用在大数据分析、设备状态监测、甚至在APM也有所使用
UDP (UDP-MIB)
udpTable (.1.3.6.1.2.1.7.5)
TCP 1.3.6.1.2.1.6
如何识别设备类型?
发现测试 - 检索特定设备类型的唯一值
路由器
如何识别路由器?
路由表?主机也有一张路由表……
sysServices(.1.3.6.1.2.1.1.7)
返回值的位数确定设备所在的OSI/TCP的层数
例如:6(dec)= 0110(bin) - 第3层和第2层(L3交换机)
ipForwarding (.1.3.6.1.2.1.4.1) in IP-MIB
forwarding(1) – for routing capable devices
not-forwarding(2) – for all other devices
上述我举例的方式已经很详细,就不一一给大家截图分析了,下面就直接给大家贴oid了:
BGP protocol (BPG4-MIB)
bgpPeerTable (.1.3.6.1.2.1.15.3)
OSPF protocol (OSPF-MIB)
ospfAreaTable (.1.3.6.1.2.1.14.2), ospfLsdbTabl (.1.3.6.1.2.1.14.4)
MPLS (MPLS-LSR-MIB, MPLS-×××-MIB)
mplsInSegmentTable (.1.3.6.1.3.96.1.3)
mplsOutSegmentTable (.1.3.6.1.3.96.1.6)
BRIDGE-MIB
Discovery test
dot1dBaseBridgeAddress (.1.3.6.1.2.1.17.1.1)
dot1dBasePortTable (.1.3.6.1.2.1.17.1.4)
pairing switching ports with interfaces (ifTable)
HOST-RESOURCES-MIB
Discovery test
hrSystem (.1.3.6.1.2.1.25.1)
these (.1.3.6.1.2.1.25.1.1), hrSystemDate (.1.3.6.1.2.1.25.1.2)
hrStorageTable (.1.3.6.1.2.1.25.2.3)
hrDeviceTable (.1.3.6.1.2.1.25.3.2)
hrProcessorTable (.1.3.6.1.2.1.25.3.3)
private.enterprises (.1.3.6.1.4.1) subtree
cisco (.1.3.6.1.4.1.9)
apc (.1.3.6.1.4.1.318)
microsoft (.1.3.6.1.4.1.311)
juniperMIB (.1.3.6.1.4.1.2636)
vmware (.1.3.6.1.4.1.6876)
…………
详情见我之前分享的完整厂家分享,对与未知设备但凡支持SNMP需要在库中不断更新
OID sysObjectID (.1.3.6.1.2.1.1.2)
returns vendor specific OID which defines device model
Example:
sysObjectID = .1.3.6.1.4.1.9.1.283
CISCO-PRODUCTS-MIB (.1.3.6.1.4.1.9.1)
OID .1.3.6.1.4.1.9.1.283
Identifier
type: name: Cat6509
returns no date
上述是发现思科机框设备都会有不同的模块和板块
可以预期通过拓扑发现技术,可以不断识别网络地址空间,并不断探索网络的边界;可以持续地对终端设备进行普查,这种审查发生在网络核心,不需要安装终端;同时,能够不断积累设备元数据和行为数据。
这些能力能够发现未曾记录在档案的网络,发现网络中的无赖设备,甚至发现有威胁特征的设备,等等。而消除这些网络安全风险所付出的代价又较小,这也是我青睐于拓扑技术在网络安全中应用的重要原因
目前很多态势感知类设备甚至是soc都需要借助SNMP去获取一些设备状态信息、日志信息、包括进程,甚至是应用状态的监控,来掌握网络实时状态,随着SDN的发展,某些厂家通过网络虚拟化技术没通过opefew技术,对虚拟化网络设备及安全设备中的fewtable进行检测,传统的流量检测还是用了netfew技术,但是根据调研目前大部分虚拟化设备还是支持SNMP的,无论哪种技术,无非都是完成对企业内部资源的可视化:“拓扑可视化”“流量可视化”“设备配置信息可视化”“资产可视化等等。。。。”
具体还在不断的学习和实践中,还希望有这方面研究的朋友一起探讨。