网络自适应与自发现的动机
输出的目标
安全风险与故障的及时有效的准确定位和排除
“要知道我们有什么,在哪里以及如何使用”
设备发现
using SNMP - CLI
snmpwalk command
snmpwalk -v 2c -c 1qaz@WSX 100.100.32.10
Standard MIBs
System (.1.3.6.1.2.1.1)
Name, description, uptime
Response bindings:
1: sysObjectID.0 (object identifier) enterprises.9.1.516
2: sysUpTimeInstance (timeticks) 42 days 23h:23m:48s.31th (371302831)
3: sysContact.0 (octet string) (zero-length)
4: sysName.0 (octet string) WS-C3750v2-48TS [57.53.2D.43.33.37.35.30.76.32.2D.34.38.54.53 (hex)]
5: sysLocation.0 (octet string) (zero-length)
6: sysServices.0 (integer) 6
7: sysORLastChange.0 (timeticks) 0 days 00h:00m:00s.00th (0)
8: sysORID.1 (object identifier) enterprises.9.7.129
9: sysORID.2 (object identifier) enterprises.9.7.115
10: sysORID.3 (object identifier) enterprises.9.7.265
Interfaces (IF-MIB)
IfTable (.1.3.6.1.2.1.2.2), IfXTable (.1.3.6.1.2.1.31.1)
IP (IP-MIB)
ipAddrTable (.1.3.6.1.2.1.4.20) – used IP addresses
ipRouteTable (.1.3.6.1.2.1.4.21) – Routing table
部分带有路由功能的交换机会在(.1.3.6.1.2.1.4.24体现路由信息例如cisco 3750
ICMP (IP-MIB)
icmpStatsTable (.1.3.6.1.2.1.5.29) – statistics of ICMP packets
目前这部分被广泛应用在大数据分析、设备状态监测、甚至在APM也有所使用
UDP (UDP-MIB)
udpTable (.1.3.6.1.2.1.7.5)
TCP 1.3.6.1.2.1.6
如何识别设备类型?
发现测试 - 检索特定设备类型的唯一值
路由器
如何识别路由器?
路由表?主机也有一张路由表……
sysServices(.1.3.6.1.2.1.1.7)
返回值的位数确定设备所在的OSI/TCP的层数
例如:6(dec)= 0110(bin) - 第3层和第2层(L3交换机)
ipForwarding (.1.3.6.1.2.1.4.1) in IP-MIB
forwarding(1) – for routing capable devices
not-forwarding(2) – for all other devices
上述我举例的方式已经很详细,就不一一给大家截图分析了,下面就直接给大家贴oid了:
BGP protocol (BPG4-MIB)
bgpPeerTable (.1.3.6.1.2.1.15.3)
OSPF protocol (OSPF-MIB)
ospfAreaTable (.1.3.6.1.2.1.14.2), ospfLsdbTabl (.1.3.6.1.2.1.14.4)
MPLS (MPLS-LSR-MIB, MPLS-×××-MIB)
mplsInSegmentTable (.1.3.6.1.3.96.1.3)
mplsOutSegmentTable (.1.3.6.1.3.96.1.6)
BRIDGE-MIB
Discovery test
dot1dBaseBridgeAddress (.1.3.6.1.2.1.17.1.1)
dot1dBasePortTable (.1.3.6.1.2.1.17.1.4)
pairing switching ports with interfaces (ifTable)
HOST-RESOURCES-MIB
Discovery test
hrSystem (.1.3.6.1.2.1.25.1)
these (.1.3.6.1.2.1.25.1.1), hrSystemDate (.1.3.6.1.2.1.25.1.2)
hrStorageTable (.1.3.6.1.2.1.25.2.3)
hrDeviceTable (.1.3.6.1.2.1.25.3.2)
hrProcessorTable (.1.3.6.1.2.1.25.3.3)
private.enterprises (.1.3.6.1.4.1) subtree
cisco (.1.3.6.1.4.1.9)
apc (.1.3.6.1.4.1.318)
microsoft (.1.3.6.1.4.1.311)
juniperMIB (.1.3.6.1.4.1.2636)
vmware (.1.3.6.1.4.1.6876)
…………
详情见我之前分享的完整厂家分享,对与未知设备但凡支持SNMP需要在库中不断更新
OID sysObjectID (.1.3.6.1.2.1.1.2)
returns vendor specific OID which defines device model
Example:
sysObjectID = .1.3.6.1.4.1.9.1.283
CISCO-PRODUCTS-MIB (.1.3.6.1.4.1.9.1)
OID .1.3.6.1.4.1.9.1.283
Identifier
type: name: Cat6509
returns no date
上述是发现思科机框设备都会有不同的模块和板块
可以预期通过拓扑发现技术,可以不断识别网络地址空间,并不断探索网络的边界;可以持续地对终端设备进行普查,这种审查发生在网络核心,不需要安装终端;同时,能够不断积累设备元数据和行为数据。
这些能力能够发现未曾记录在档案的网络,发现网络中的无赖设备,甚至发现有威胁特征的设备,等等。而消除这些网络安全风险所付出的代价又较小,这也是我青睐于拓扑技术在网络安全中应用的重要原因
目前很多态势感知类设备甚至是soc都需要借助SNMP去获取一些设备状态信息、日志信息、包括进程,甚至是应用状态的监控,来掌握网络实时状态,随着SDN的发展,某些厂家通过网络虚拟化技术没通过opefew技术,对虚拟化网络设备及安全设备中的fewtable进行检测,传统的流量检测还是用了netfew技术,但是根据调研目前大部分虚拟化设备还是支持SNMP的,无论哪种技术,无非都是完成对企业内部资源的可视化:“拓扑可视化”“流量可视化”“设备配置信息可视化”“资产可视化等等。。。。”
具体还在不断的学习和实践中,还希望有这方面研究的朋友一起探讨。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。