近年來，以計算機系統為代表的信息系統建設蓬勃發展，各種新型的信息技術層出不窮；同時，后疫情時代受不確定的疫情波動影響，企業的線下發展明顯失速，數字化、線上化、云化成為很多企業保持增速的解決方案。依托于“云大移智”等新型信息技術實現數字化賦能，企業正在加快數字平臺建設和應用，數據成為驅動企業發展的重要生產要素。

　　當數據成為企業最重要的核心資產之一，意味著企業必須重視并具備數據安全保護能力，因為唯有數據完整、清晰、安全和可靠，才能為企業產生有效價值。數據安全治理或防護首先依托于數據資產梳理，而數據資產梳理則依托于數據資產發現。數據在企業網絡中必然擁有存儲的載體，如數據庫、文件系統等，而伴隨數字化進程，企業的數據資產散落于各種網絡中，成為數據泄露的風險點；而伴隨著時間流逝，被遺棄或遺忘在網絡中的數據載體將成為最大的隱患。故數據資產發現，首先步驟就是探測發現存儲數據的網絡資產。本文在此介紹當前網絡資產探測的常用方法和技術，并對其優缺點做簡要歸納。

　　01 網絡資產探測

　　網絡資產探測通常是指追蹤發現和分析掌握網絡資產情況的過程。通過網絡資產探測，能夠幫助企業組織梳理網絡中當前存活的數據存儲應用和服務，為數據治理資產納管提供信息基礎；此外，還可以據此發現網絡中存在的隱匿非法資產，為及時處理提供便利。網絡資產探測是實現數據治理的重要前提之一， 在數據安全相關工作中具有應用價值。

　　從探測基礎數據的來源角度進行分類，網絡資產探測主要分為主動探測和被動探測。本文將重點介紹目前網絡資產主動探測。

　　02 基于高速網絡掃描的主動探測

　　主動探測方法，主要應用多樣的高速網絡掃描技術，如主機存活檢測、端口掃描和服務鑒別等技術，通過主動向目標網絡資產發送構造的探測數據包，并從返回的響應數據包的相關信息中提取目標特征，與內置特征庫中的特征指紋進行匹配，來實現對操作系統、開放端口、服務應用類型和版本的探測。

　　03 主機存活檢測

　　企業的網絡拓撲結構，一般分為二層網絡和三層網絡。二層網絡僅僅通過MAC尋址即可實現通訊，而三層網絡通信需要經過路由器轉發，則必須通過IP路由才能實現跨網段的通信。

　　基于ARP協議

　　如果掃描探針與檢測目標處于同一網段的二層網絡當中，那么使用地址解析協議（ARP）掃描技術是很好的選擇。該方法速度快，掃描結果精準，且通常不會有安全措施用于阻止正常的ARP數據包，掃描被干擾的可能性小。但當掃描探針與檢測目標處于不同網段，屬于三層網絡的不同子域時，則應考慮使用其他協議。

　　基于ICMP協議

　　為了發現和處理網絡中的各種錯誤，誕生了互聯網控制報文協議（ICMP）。這種協議同樣是屬于TCP/IP協議簇的一個子協議，其是網絡層中的重要成員，可以用于在IP主機、路由器之間傳遞控制消息。ICMP協議數據報文有很多種類，但總體可分為查詢報文和差錯報告報文。其中，查詢報文是用一對請求和應答定義的，也就是說，主機A可以向主機B發送ICMP數據包查詢信息，主機B在接收到該數據包后會給出應答。故通過ICMP查詢報文，即可進行主機存活檢測。

　　ICMP的響應請求和應答可以用來測試發送和接收兩端鏈路及目標主機TCP/IP協議是否正常，其在當前最常見的實踐應用即是ping命令。然而，由于許多網絡設備的防火墻可能配置禁止該類ICMP報文，故主機掃描可能被阻斷。另尋他法，ICMP查詢報文，除了響應請求和應答外，還包括時間戳請求和應答、地址掩碼請求和應答等，因此，還可以選擇構造這些類型的ICMP數據包進行探測掃描。

　　ICMP報文種類

　　基于TCP協議

　　傳輸控制協議（TCP）是一種面向連接的、可靠的、基于字節流的傳輸層通信協議。建立完整的TCP會話，需要完成三次握手過程，這個過程既耗資源又耗時，所以在高速網絡掃描技術中不會完成整個三次握手，而是僅僅發送SYN或ACK數據包的半連接掃描。對于TCP SYN掃描，在得到響應后發送RST包終止握手；對于TCP ACK掃描，則由被檢測主機返回RST包。基于TCP存活主機發現技術，結果可靠性較高，但是其建立于傳輸層通信，故必須指定端口，限制了使用范圍。

　　TCP三次握手過程

　　基于UDP協議

　　用戶數據報協議（UDP）和TCP類似，也是一種傳輸層協議。然而和TCP協議相比，UDP是一種無連接的協議，它不能和TCP探測那樣依賴于建立連接的過程，而是只能通過是否存在端口關閉網絡不可達時返回的ICMP報文來判斷。此外，由于UDP是無連接不可靠的，對于沒有ICMP報文返回的端口也無法準確判斷是通信成功還是數據包丟失，故其掃描結果的可靠性也相對較低。

　　04 端口掃描和服務鑒別

　　端口掃描是服務鑒別的基礎和前提，在探測流程中，先進行端口存活掃描，可以排除關閉的和不可通信端口，縮小后續執行服務版本檢測的規模，提高探測效率。

　　端口掃描其是建立在傳輸層協議之上的，根據具體協議，可以劃分為TCP端口掃描和UDP端口掃描。在端口掃描中，最流行的TCP端口掃描技術依然是TCP半連接方法，如TCP SYN，通過向目標端口發送SYN包請求連接，目標接收到SYN包后響應SYN/ACK包，探測主機接收到響應后用RST包終止握手。

　　TCP SYN半連接

　　在完成端口掃描后，可以嘗試與端口建立完整TCP連接進行服務類型和版本探測。通常情況下，與服務端口建立連接后，數秒時間內，服務會返回Banner歡迎信息，通過將Banner信息與服務特征指紋庫中的特征指紋進行匹配，就可以鑒別并提取該端口對應服務的類型和版本信息，這個過程一般被稱為null probe。如果null probe未能成功匹配服務，則可繼續按照指定順序發送多種預先構造好的探測包，并利用響應數據和特征指紋進行匹配，直到全部匹配結束。

　　05 結語

　　網絡資產主動探測的優點是對探測目標更具有針對性，可以通過定制構造探測包對其進行探測，準確率高，探針部署也更加靈活。但其也有一定的局限性，探測目標可能會針對部分常見的探測包請求進行過濾，使得無法準確識別；此外，主動探測會產生額外的探測流量，會在一定程度上增加網絡負載，或多或少會擾動網絡的當前狀態，導致探測結果出現偏差。

更多信息可以來這里獲取==>>電子技術應用-AET<<