基于IPv6 的網(wǎng)絡(luò)與信息資產(chǎn)發(fā)現(xiàn)關(guān)鍵技術(shù)研究

辛 毅，吳 剛，孫洪磊

（哈爾濱工業(yè)大學(xué) 網(wǎng)絡(luò)與信息中心，哈爾濱150001 ）

0 引言

近年來，隨著信息技術(shù)的發(fā)展，大量的設(shè)備，特別是ITO 設(shè)備都需要接入互聯(lián)網(wǎng)。由于網(wǎng)絡(luò)地址分配不均勻，一定程度造成IPv4 網(wǎng)絡(luò)地址資源浪費，可供使用的IPv4 地址已經(jīng)越來越少，致使網(wǎng)絡(luò)地址資源即將消耗殆盡。雖然目前可以采用地址轉(zhuǎn)換技術(shù)（Network Address Translate：NAT），但仍然不能解決日益增長的需求，IP 地址不足的問題已經(jīng)成為互聯(lián)網(wǎng)和通信產(chǎn)業(yè)發(fā)展的瓶頸。為了從根本上解決IP 地址空間的不足，需要大力發(fā)展下一代互聯(lián)網(wǎng)協(xié)議［1］（Internet Protocol Version 6：IPv6）。IPv6 的128位地址格式將以其在IP 地址數(shù)量、移動性、服務(wù)質(zhì)量等方面存在巨大的優(yōu)勢。但是，隨著地址數(shù)的增加，確定網(wǎng)絡(luò)與資產(chǎn)進行安全防護變得十分困難。

對于提供網(wǎng)路服務(wù)的運營商和企事業(yè)單位的網(wǎng)絡(luò)管理部門來說，詳細掌握本單位網(wǎng)絡(luò)中的全部資產(chǎn)，有效的梳理和管理，針對網(wǎng)絡(luò)中存在的安全隱患可以精細化排查，合理的配置管轄網(wǎng)絡(luò)內(nèi)資源的合理配置，才能夠保證網(wǎng)絡(luò)的安全有效運行。

本文分析了IPv6 網(wǎng)絡(luò)下網(wǎng)絡(luò)與信息資產(chǎn)的特點，針對IPv6 網(wǎng)絡(luò)中的網(wǎng)絡(luò)與信息資產(chǎn)的關(guān)鍵技術(shù)進行研究。

1 IPv6 下網(wǎng)絡(luò)與信息資產(chǎn)特點

隨著IPv6 網(wǎng)絡(luò)的應(yīng)用，基于IPv6 的校園網(wǎng)、私有云及數(shù)據(jù)中心建設(shè)的快速發(fā)展，系統(tǒng)規(guī)模日益增大、密度不斷提升，系統(tǒng)的復(fù)雜程度越來越高，運維管理的復(fù)雜程度急劇攀升。由于部分企業(yè)單位的網(wǎng)絡(luò)系統(tǒng)，特別是高校校園網(wǎng)，其網(wǎng)絡(luò)的開放性容易造成網(wǎng)絡(luò)管理松散，網(wǎng)絡(luò)資產(chǎn)與信息資產(chǎn)不清等問題。網(wǎng)絡(luò)中存在大量的服務(wù)器、客戶主機，其上面部署的網(wǎng)頁服務(wù)、數(shù)據(jù)庫和中間件等網(wǎng)絡(luò)基礎(chǔ)設(shè)施由于缺少必要的管理，導(dǎo)致管理人員無法全面掌握其物理資產(chǎn)和軟件資產(chǎn)的情況。更為嚴重的是網(wǎng)絡(luò)資產(chǎn)和信息正在向虛擬化遷移，因此在網(wǎng)絡(luò)上可以很快地新增或部署一臺虛擬機，同時由于管理的疏漏，導(dǎo)致服務(wù)器上服務(wù)開啟和端口管控機制也不健全。這些資產(chǎn)和數(shù)據(jù)業(yè)務(wù)缺少安全檢查與訪問控制。因此網(wǎng)絡(luò)中的服務(wù)器、客戶端主機上的漏洞與脆弱點極易成為攻擊者攻入關(guān)鍵業(yè)務(wù)區(qū)的跳板［2-4］。運用多種快速掃描、協(xié)議指紋、數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)獲取及數(shù)據(jù)分析技術(shù)，實現(xiàn)基于IPv6 下校園網(wǎng)的信息資產(chǎn)的快速準(zhǔn)確發(fā)現(xiàn)，具有重要意義［5-7］。在參考上述研究的基礎(chǔ)上，本文同時采取大數(shù)據(jù)引擎技術(shù)，對發(fā)現(xiàn)的信息資產(chǎn)進行科學(xué)管理，對數(shù)據(jù)進行重新編排索引，從而實現(xiàn)高效搜索，達到對信息資產(chǎn)的全面掌握與有效管理。

2 IPv6 網(wǎng)絡(luò)與信息資產(chǎn)關(guān)鍵技術(shù)研究

與IPv4 不同，IPv6 下的網(wǎng)絡(luò)地址空間巨大，構(gòu)建高效準(zhǔn)確的網(wǎng)絡(luò)資產(chǎn)的發(fā)現(xiàn)與管理，需要從高速掃描、協(xié)議與應(yīng)用指紋庫、數(shù)據(jù)同步與檢索等幾個部分進行研究。系統(tǒng)架構(gòu)如圖1 所示。

圖1 系統(tǒng)架構(gòu)圖Fig.1 System architecture diagram

2.1 高速掃描

為快速地發(fā)現(xiàn)網(wǎng)絡(luò)與信息資產(chǎn)，一方面，對系統(tǒng)的協(xié)議棧進行改造，采用無狀態(tài)掃描技術(shù)、收發(fā)線程的分離。即發(fā)包線程只進行探測包的發(fā)送，并對回復(fù)的報文進行處理，端口掃描的結(jié)果代表目標(biāo)主機系統(tǒng)對外使用此端口開放某服務(wù)。對于使用TCP連接的服務(wù)探測，需在建立連接的基礎(chǔ)上，通過發(fā)送探測包，觀察回復(fù)信息，來判斷服務(wù)的類型。由于使用半連接端口掃描技術(shù)，掃描器將不實際建立連接，在得到端口開放的信息后，系統(tǒng)將自動返回目標(biāo)主機RST 報文取消連接，從而達到快速掃描的目的。為了維持TCP 連接進行服務(wù)探測，借鑒Massscan［8］的思想，建立統(tǒng)一的結(jié)構(gòu)進行傳輸控制塊TCB 的記錄與管理，系統(tǒng)內(nèi)使用的方式為 TCB _ConnectionTable。它數(shù)據(jù)包時，首先通過解析出的四元組（源ip、目的ip、源端口及目的端口）進行與發(fā)包前相同邏輯的哈希計算，將得到的結(jié)果與TCB管理表的掩碼進行邏輯與運算，找到該連接在TCB管理表中維持了對所有TCB 的引用，同時負責(zé)對其進行統(tǒng)一的創(chuàng)建、管理與銷毀。在服務(wù)探測過程收到一個的位置。在端口掃描的基礎(chǔ)上，針對其開放的特定端口，對HashTrie 算法［9］進行了優(yōu)化。采用基于位圖搜索的高速匹配算法，調(diào)取協(xié)議與應(yīng)用指紋庫進行匹配。該算法主要有位向量B、F 及校驗散列表M 構(gòu)成。通過計算散列值，構(gòu)建位向量表，極大的壓縮了內(nèi)存占用，通過兩層過濾的方式，縮小匹配模式集合范圍，大大提高了算法的掃描速度。掃描算法見表1。

表1 基于位圖搜索的高速匹配算法Tab.1 High-speed matching algorithm based on bitmap search

將相關(guān)數(shù)據(jù)入庫，以實現(xiàn)對IPv6 大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)資產(chǎn)特征的快速準(zhǔn)確地獲取。從而判斷出資產(chǎn)的屬性。另外一方面，系統(tǒng)針對IPv6 應(yīng)用場景進行優(yōu)化，由于發(fā)現(xiàn)資產(chǎn)一般為系統(tǒng)管理員 或者系統(tǒng)安全管理員。因此可以設(shè)定特定地址段，并結(jié)合DNS信息及日志信息進行有針對性地快速掃描，以解決IPv6 地址空間巨大、掃描時間過長的問題。

2.2 協(xié)議與應(yīng)用指紋庫

協(xié)議與應(yīng)用指紋庫是判斷網(wǎng)絡(luò)信息資產(chǎn)的基礎(chǔ)，此模塊對有關(guān)協(xié)議、操作系統(tǒng)、應(yīng)用、中間件、第三方架構(gòu)等特有的信息進行搜集，并對網(wǎng)絡(luò)中數(shù)據(jù)進行捕獲，采取大數(shù)據(jù)抽取提取特征并將其入庫，作為判斷資產(chǎn)的重要指標(biāo)，主要包括以下內(nèi)容：

（1）網(wǎng)絡(luò)協(xié)議棧指紋：ACK 序號、TOS、ICMP 地址屏蔽請求、ICMP 錯誤信息、ISN、FIN 響應(yīng)、分段重組處理、TTL、最大分片等；

（2）Banner 信息：操作系統(tǒng)banner 信息、數(shù)據(jù)庫banner 信息、webserver banner 信息、ftp banner 信息、ssh banner 信息、Cli banner 信息及網(wǎng)絡(luò)設(shè)備、服務(wù)器banner 信息等；

（3）出錯信息：系統(tǒng)出錯信息、腳本出錯信息、數(shù)據(jù)庫出錯信息、中間件出錯信息，web server 出錯信息等；

（4）構(gòu)架及三方應(yīng)用信息：路徑信息、頁面標(biāo)志、特定文件名等；

（5）web 服務(wù)器信息：錯誤返回信息、頁面規(guī)律信息、頁面特征信息、腳本語言信息及出錯信息；

（6）后臺信息：特定文件信息、特定目錄信息、圖片hash 信息等。

2.3 數(shù)據(jù)同步與檢索

為解決IPv6 下網(wǎng)絡(luò)與信息資產(chǎn)的發(fā)現(xiàn)，采用分布式架構(gòu)，能高速、高效、準(zhǔn)確地進行資產(chǎn)發(fā)現(xiàn)。在網(wǎng)絡(luò)底層采用了P2P 構(gòu)架：由于系統(tǒng)沒有中央服務(wù)器，各個節(jié)點之間不存在主從關(guān)系，相互平等，共同工作。掃描和信息的融合都在各個節(jié)點之間直接進行，不存在單點失效和系統(tǒng)瓶頸。而非中心化的特點，帶來了其在可擴展性、健壯性等方面的優(yōu)勢。新的節(jié)點可以方便的加入功能覆蓋網(wǎng)絡(luò)，并且隨著節(jié)點數(shù)的不斷增加，整體的資源和發(fā)現(xiàn)能力也會不斷上升。P2P 網(wǎng)絡(luò)環(huán)境下，由于每個節(jié)點既是服務(wù)器又是客戶機，減少了對傳統(tǒng)C／S 結(jié)構(gòu)服務(wù)器計算能力、存儲能力的要求。由于資源分布在多個節(jié)點，更好的實現(xiàn)了整個網(wǎng)絡(luò)的負載均衡。通過P2P 協(xié)議的調(diào)度，系統(tǒng)調(diào)度模塊將任務(wù)進行分解，通過任務(wù)調(diào)度將分解的任務(wù)分配到合適的節(jié)點中，對多個節(jié)點實現(xiàn)智能的任務(wù)分發(fā)、負載均衡、進度監(jiān)測、存儲入庫、數(shù)據(jù)分析及統(tǒng)計展現(xiàn)等，以保證系統(tǒng)的效率。數(shù)據(jù)存儲與檢索采用Elastic search［10］，對系統(tǒng)掃描、指紋識別等等非結(jié)構(gòu)化信息進行整合，建立索引，并對數(shù)據(jù)進行聚合，從而根據(jù)不同場景實現(xiàn)實時、動態(tài)地生成相關(guān)數(shù)據(jù)。如，在Struts［11］新漏洞出現(xiàn)時，快速檢索出資產(chǎn)中采取Strtuts2 構(gòu)架服務(wù)器的詳細信息，從而做到快速應(yīng)急響應(yīng)。同時通過elastic search 詞法分析器，使系統(tǒng)查詢結(jié)果更加快速、準(zhǔn)確，以提高系統(tǒng)的檢索速度。

3 結(jié)束語

本文對IPv6 下資產(chǎn)的發(fā)現(xiàn)與管理的關(guān)鍵技術(shù)進行了詳細論述：

（1）高速掃描采用無狀態(tài)掃描技術(shù)，收發(fā)線程的分離為快速地發(fā)現(xiàn)網(wǎng)絡(luò)與信息資產(chǎn)。

（2）協(xié)議與應(yīng)用指紋庫，對有關(guān)協(xié)議、操作系統(tǒng)、應(yīng)用、第三方架構(gòu)等特有的信息進行作為判斷資產(chǎn)的重要指標(biāo)。

（3）數(shù)據(jù)同步與檢索，采用P2P 分布式架構(gòu)，在端口掃描的基礎(chǔ)上，將相關(guān)數(shù)據(jù)入庫同對于系統(tǒng)掃描、協(xié)議與應(yīng)用指紋信息等非結(jié)構(gòu)化信息進行整合，建立索引，并對數(shù)據(jù)進行聚合，從而根據(jù)不同場景實現(xiàn)實時、動態(tài)地生成相關(guān)數(shù)據(jù)。為IPv6 網(wǎng)絡(luò)下進行高速高效、準(zhǔn)確地進行資產(chǎn)發(fā)現(xiàn)奠定了基礎(chǔ)。