一种网络设备漏洞的检测方法

一种网络设备漏洞的检测方法

　　技术领域

　　本发明涉及网络漏洞检测技术领域，具体领域为一种网络设备漏洞的检 测方法。

　　背景技术

　　随着当今国际互联网信息安全问题的日益突出，加强国内的网络安全管 理已成为当务之急。现阶段，网络攻击的手段多种多样，且大多数网络管理 者把安全防范的主要目标都集中在客户机与服务器的安全防范，却忽略了对 网络设备的安全防范。现阶段，对网络设备(包括路由器、交换机、防火墙、 打印机)存在的漏洞批漏的越来越多，而日常管理者通常忽略对网络设备的 安全配置与更新不及时，从而使得大量的网络设备在网络中对攻击者敞开了 大门。

　　就目前而言，国内骨干互联网与企业应用最广泛华为、H3C以及Cisco 等网络设备，由于更新不及时、管理人员不专业导致的配置不当等原因导致 被批露的安全问题越来越多，行业涉及电信、能源、政府及其他大多数企业。

　　网络设备不同于web服务器、邮件服务器等应用服务器，这些网络设备 不对最终用户提供任何应用服务，因此对普通用户是完全“透明”的，普通 用户在正常使用网络时往往根本就不会感觉到这些设备的存在(本文中，“网 络设备”专指此类对用户透明的网络基础设备)。因此，传统看法认为，相 对于应用服务器来说，其被攻击的可能性是比较低的。也正因为如此，一旦 路由器遭受了攻击，其行为更为隐蔽与难以发现，能够做到持续、长久的控 制被攻击网络，其危害性会更加严重。

　　针对网络设备进行的攻击，有两种类型：

　　·直接攻击网络设备，造成网络瘫痪。

　　如果是攻击骨干网上的核心设备，就可能造成网络相关业务的瘫痪，导 致严重的经济损失。

　　·获取控制权限，实施APT攻击；或修改访问控制策略，渗透内 网。

　　攻击者获取内网访问权限后，通常的做法是遍历内网电脑窃取机密文件、 留下后门以便当“回头客”。然而，由于越来越多的工控设备(电机、水泵、 阀门)联网使用，近年来针对关键基础设施的攻击行为猛增。根据美国工业 控制系统应急响应小组(ICS-CERT)的统计，2013上半年发生的工控安全事 件数目已经超过了2012年全年，攻击主要针对能源行业。由于工控行业抗攻 击能力差、设备软件更新周期长、防攻击意识差，一旦处于边界的网络设备 被突破，相对容易被攻击得手；如果被敌对势力侵入，会影响国家安全。

　　鉴于网络设备可轻易被黑客入侵，且危害程度较大，因此，针对网络设 备的安全检测与防护，已经到了刻不容缓的时刻，而当前市面上专门针对路 由器检测的系统却少之又少。

　　目前针对路由器、交换机等网络设备的漏洞自动化检测方法少，且没有 针对性，无法检测并识别存在漏洞的网络设备，人工检测耗时耗力。

　　发明内容

　　针对现有技术目前针对路由器、交换机等网络设备的漏洞自动化检测方 法少，且没有针对性，无法检测并识别存在漏洞的网络设备，人工检测耗时 耗力存在的不足，本发明的目的在于提供一种网络设备漏洞的检测方法。

　　为实现上述目的，本发明提供如下技术方案：一种网络设备漏洞的检测 方法，其步骤为：

　　(1)IP扫描，系统接入网络后，对网络设备配置的IP网段进行扫描， 获取网络中的活动IP列表并进行记录，提交系统以该表进行路由探测；

　　(2)路由探测，通过对活动IP列表中的IP地址进行探测，以确定被检 测网络中网络节点设备的数量与产品的设备信息；

　　(3)路由漏扫，通过与网络设备建立通信实体，产生完整的网络会话发 送到受检设备，观察受检设备对该网络会话的处理情况，判断受检设备是否 存在安全弱点；

　　(4)漏洞自动利用，对检测出具有漏洞的网络设备进行主动漏洞利用， 通过对漏洞利用产生的实际危害效果进行展示，使检查人员与用户对网络设 备产生的安全隐患具有直观感受；

　　(5)自动解密，对漏洞探测出的密码进行解密；

　　(6)检测报告，对受检网段检测结果生成完整的检测报告，报告内容用 于检测人员提供真实有效的网络设备安全检测依据。

　　优选的，根据步骤(1)，通过nmap工具对IP网段进行扫描，并判断网 络通断情况，对于网络不通的进行抛弃，对于网络通的存入数据库形成活动 IP列表。

　　优选的，步骤(2)和(3)其具体实现过程为，通过snmpget工具判断 识别路由设备的设备信息，并执行漏洞扫描。

　　优选的，漏洞扫描过程为,通过snmpget工具对受检设备执行命令:

　　snmpget-v

　　2c private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 1

　　private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 3

　　private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 2c

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 1

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 3

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，将收缴设备信息录入活动IP库。

　　优选的，步骤(4)和(5)其具体实现过程为，

　　a、探测网备IP库中的漏洞设备，检索"string"字符串后为“HUAWEI”、 “H3C”的“private”权限；

　　b、通过snmpwalk工具查找含有漏洞的路由器，并执行命令：

　　snmpwalk-v 2c-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　c、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 2c-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　d、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 2c-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1；

　　e、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　f、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　g、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1；

　　h、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 3-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　i、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 3-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　j、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1。

　　k、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；当无返回值时，进行网备IP库中下一设备的(a)-(k) 步骤执行。

　　与现有技术相比，本发明的有益效果是：

　　1)IP扫描可以快速精准定位活动设备，节约后续探测所需使用的时 间。

　　2)路由探测可自动、精确探测并定位网络设备的数量及设备的相关信 息，可快速识别多类别多品牌网络设备，并有利于设备的自动化分类管理， 节约人工查找筛选的时间。

　　3)路由扫描含有独有的多种网络设备组合漏洞库，也是检测方法的核 心装置，目前尚无类似产品或功能实现此种方法，可精准检测定位含有漏洞 的路由器、网络设备。

　　4)自动化漏洞利用并对漏洞利用后得到的密码进行自动化解密，目前 尚无类似产品或功能实现些种方法。

　　附图说明

　　图1为本发明的流程框图；

　　图2为本发明的探测扫描流程步骤图；

　　图3为本发明的漏洞利用流程步骤图。

　　具体实施方式

　　下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

　　请参阅图1，本发明提供一种技术方案：一种网络设备漏洞的检测方法， 其特征在于：其步骤为：

　　(1)IP扫描，系统接入网络后，对网络设备配置的IP网段进行扫描， 获取网络中的活动IP列表并进行记录，提交系统以该表进行路由探测；

　　(2)路由探测，通过对活动IP列表中的IP地址进行探测，以确定被检 测网络中网络节点设备的数量与产品的设备信息(设备信息包括产品品牌、 型号、软件版本等)；

　　(3)路由漏扫，通过与网络设备建立通信实体，产生完整的网络会话发 送到受检设备，观察受检设备对该网络会话的处理(允许通过、拒绝、告警 或审计等)情况，判断受检设备是否存在安全弱点；

　　(4)漏洞自动利用，对检测出具有漏洞的网络设备进行主动漏洞利用， 通过对漏洞利用产生的实际危害效果进行展示，使检查人员与用户对网络设 备产生的安全隐患具有直观感受；

　　(5)自动解密，对漏洞探测出的密码进行解密；

　　(6)检测报告，对受检网段检测结果生成完整的检测报告，报告内容用 于检测人员提供真实有效的网络设备安全检测依据。

　　根据步骤(1)，通过nmap工具对IP网段进行扫描，并判断网络通断情 况，对于网络不通的进行抛弃，对于网络通的存入数据库形成活动IP列表。

　　如图2所示，步骤(2)和(3)其具体实现过程为，通过snmpget工具 判断识别路由设备的设备信息，并执行漏洞扫描。

　　漏洞扫描过程为,通过snmpget工具对受检设备执行命令:

　　snmpget-v

　　2c private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 1

　　private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 3

　　private ip

　　1.3.6.1.2.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“private”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 2c

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 1

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，执行命令：

　　snmpget-v 3

　　public ip

　　1.3.6.1.2.1.1.1.5.0；

　　然后判断设备是否有返回值，当有返回值时，取命令中的“public”与 返回信息中的“string”后的字符串，录入网备IP库；

　　当无返回值时，将收缴设备信息录入活动IP库。

　　如图3所示，步骤(4)和(5)其具体实现过程为，

　　a、探测网备IP库中的漏洞设备，检索"string"字符串后为“HUAWEI”、 “H3C”的“private”权限；

　　b、通过snmpwalk工具查找含有漏洞的路由器，并执行命令：

　　snmpwalk-v 2c-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　c、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 2c-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　d、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 2c-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1；

　　e、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　f、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　g、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1；

　　h、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 3-c

　　pritave ip

　　1.3.4.1.6.1.20 11.5.2.1.1 0.1；

　　i、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 3-c

　　pritave ip

　　1.3.4.1.6.1.20 11.10.2.12.1.1.1；

　　j、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；

　　当无返回值时，执行命令：

　　snmpwalk-v 1-c

　　private ip

　　1.3.4.1.6.1.25 506.2.1 2.1.1.1。

　　k、然后判断设备是否有返回值，当有返回值时，获取用户名和密码，并 对密码进行解密；当无返回值时，进行网备IP库中下一设备的(a)-(k) 步骤执行。

　　尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而 言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限 定。