信息安全系列课程之网络空间测绘与态势感知技术揭秘（一）

本文链接：https://blog.youkuaiyun.com/fearhacker/article/details/139831852

今天，我们来讲一下网络安全！

本文章仅提供学习，切勿将其用于不法手段！

目前，在信息安全攻防领域，主要分为了两个技术发展方向，分别为渗透测试（红队技术）和安全运维（蓝队技术）！

正所谓，红蓝不分家！矛与盾，在攻防演练活动中，是永恒的战斗伙伴！

作为渗透测试人员，如果不懂得安全运维技术，那么在进行渗透测试行为时，就往往如同没见过猫的老鼠，无比兴奋地闯进了猫窝！深处危险之处，却并不自知！

作为安全运维人员，如果不懂得渗透测试技术，那么在进行安全运维行为时，就往往如同没见过老鼠的猫，看到老鼠闯入，依然倒头就睡！正是应验了那句，敌袭已至，守将，却毫无所察！

知己，也要知彼！作为信息安全人员，既要懂得安全攻击技术，也要懂得安全防御技术！

安全攻击和安全防守技术，是信息安全人员，安身立命的资本！

今天，我们来主动探讨下，信息安全领域的新技术：网络空间测绘技术和威胁态势感知技术！

什么是网络空间呢？

局域网，是网络空间！

整个互联网，也是网络空间！

网络空间，指的是，由若干个网络节点所共同组成的通信网络环境！

网络空间中，可能存在交换机、路由器、防火墙、IDS 入侵检测系统、 IPS 入侵防御系统、NAS 网络存储设备、移动终端、家用电器、工业设备仪器、无人驾驶汽车、PC电脑、笔记本电脑、平板电脑、服务器主机等网络节点！

在网络空间测绘活动中，如何进行测绘呢？

想要进行网络空间测绘活动，一定要了解不同设备、不同系统、不同版本、不同软件服务等之间的特征差异！想要进行网络空间测绘活动，我们必须拥有自己的特征码仓库！这类特征码仓库，也被称之为指纹仓库！

这里所说的指纹仓库，并不是人类的指纹，而是电子设备的指纹！

任何电子设备，任何操作系统，任何应用软件，任何网络协议，都会具有其独特的指纹特征！想要进行网络空间测绘，就必须要收集整理网络空间中所有节点的指纹特征信息！

不仅仅是网络空间测绘活动，威胁态势感知活动，也离不开对于指纹的收集与整理！

如何识别网络攻击呢？

如何识别网络攻击的类型呢？

一切，都离不开指纹特征的收集与提取！

就拿 SQL注入攻击来说，正常的HTTP请求中，是不会包含 SQL语句中的多个关键字的！

例如，SELECT 在英文单词中，含义为选择！

例如，UNION 在英文单词中，含义为联合！

SELECT 这个英文单词，也是 SQL语言中的一个用于数据查询行为的关键词汇！

UNION 这个英文单词，也是 SQL语言中的一个用于数据查询行为的关键词汇，并且通常被用于数据联合查询！UNION 关键词在 SQL注入攻击行为中，出现的频率，非常之高！

单一的 SELECT 单词出现，可能，并不会被认定为是具备风险性的通信数据信息！

单一的 UNION 单词出现，也可能，并不会被认定为是具备风险性的通信数据信息！

但是，如果 SELECT 单词和 UNION 单词同时出现，并且出现了 UNION SELECT 这样的格式！

那么，当前 HTTP 请求，具备风险特性的可能性，就变得非常大了！在对网络流量进行监控的过程中，如果发现了包含 UNION SELECT 格式信息的网络流量，那么通常就可以被鉴定为可疑流量，或者异常流量！针对此类高度可疑的网络流量，要记录日志，已备后查！

在 SQL注入类攻击中，为了躲避 WAF 防火墙的拦截与查杀，有经验的黑客，往往会对通信数据进行加密，或者采取代码混淆的方式，来逃避 WAF 防火墙的安全检查！

例如，通信数据，可能会采取 BASE 64 编码，也可以会采取 UN UNION ION SE SELECT LECT 这样的方式，来进行 SQL注入攻击！那么应对变种方式的 SQL注入攻击，我们就要对监控的网络流量进行数据解密和关键词筛查工作！

对于威胁态势感知，涉及到感知的概念，其实还是针对特征库和指纹库进行的！

威胁态势感知的成功率，很大程度上取决于特征库和指纹库强大程度！

进行网络空间测绘和威胁态势感知活动，我们首先应该做的，就是收集特征码，强大指纹库！

如何收集特征码呢？

如何建立指纹库呢？

我们可以优先考虑一下，网络中开源的设备指纹仓库、系统指纹仓库、软件指纹仓库等等。

我们需要知道，从零开始，建立特征指纹仓库，成本是很高的！所耗费的人力、物力、财力、精力等成本，也是很大的！因此，如果我们想要从零开始建立属于自己的特征指纹仓库，那么先行收集一些已经被公开的免费指纹仓库，也是一种可选的方式！如果并没有找到合适的、开源的、免费的指纹仓库的话，那么使用一些比较流行的技术，或者工具去进行特征指纹仓库的建设，也是一种不错的选择！

目前，如果我们想要主动探测，局域网络中存在多少台存活主机，并且，这些存活主机，又分别的对外开放了哪些网络通信端口！

那么，使用 nmap 工具，会是一个不错的选择！

如果我们想要被动的监测网络流量，并通过监测到的流量去分析局域网络中的主机系统类型！

那么，使用 p0f 工具，将是一个非常不错的选择！

目前，如果我们想要知道，局域网络中的存活主机，都存在哪些具体的安全风险与已知漏洞！

那么，使用 nessus工具，绝对是一个不错的选择！

目前，在网络数据包的内容分析领域，深度包检测（deep packet inspection，DPI）技术，是一种可以考虑的选择方案。深度包检测（deep packet inspection，DPI）技术可以发现、识别、分类、重新路由，或者阻止具有特殊数据或代码的有效载荷的网络数据包！

在威胁态势感知的指纹库建设阶段，在威胁态势感知的指纹库工作阶段，深度包检测（deep packet inspection，DPI）技术将提供强而有力的技术支撑！

目前，如果我们缺少足够的设备指纹信息，那么在设备搜索引擎 Fingerprinting databases 中搜索相关设备的信息，并进行自动或手段的指纹特征库信息录入工作，也是一种有效的变相办法！

比较常用的设备搜索引擎 Fingerprinting databases ，有 Shodan、Censys 等！

如果我们要调用第三方工具，或者借助于第三方工具，来进行我们的特征指纹库建设！

那么，使用 Python 语言，是一种非常不错的选择！

Pyhon 语言，为道德黑客而生！

Pyhon 语言，为人工智能而生！

Pyhon 语言，自带了非常多的、非常强大的白帽黑客工具库（其中比较出名的，莫过于 Pwntools ）！

Pyhon 语言，实现网络爬虫技术，非常的容易！Pyhon 语言被广泛用于网站数据爬取！

Pyhon 语言，自带了非常友好的人工智能支持！目前，比较友好且开源的人工智能库，包括 TensorFlow 深度学习框架、 ChatGLM模型（清华大学）等！

Python 语言，在人工智能方面，诸如静态照片人脸识别、图像识别技术、视频人脸识别、智能聊天机器人、微信语言聊天机器人、图文识别技术、语音识别技术、拍图识花技术等方面，都提供了非常优秀且友好的语言级技术支持！

什么是 DPDK 呢？

DPDK（Data Plane Development Kit）是一个开源的数据包处理库和框架，主要用于快速处理网络数据包。

以下是使用DPDK的基本教程：

安装DPDK：
- 在Linux系统中，可以使用包管理器（如apt-get或yum）来安装DPDK。例如，在Ubuntu中，可以使用以下命令安装DPDK：sudo apt-get install dpdk。
- 某些情况下，可能需要从源代码编译安装DPDK，特别是当需要特定版本或需要特定功能时。
构建DPDK应用程序：
- 使用DPDK之前，需要先编写应用程序，并将其编译成可执行文件。
- 可以使用DPDK的构建工具链（如genbuild或autotools）来编译应用程序。例如，在Ubuntu中，可以使用sudo make build命令来构建DPDK应用程序。
运行DPDK应用程序：
- 完成编译后，使用DPDK的运行时库来运行应用程序。例如，在Ubuntu中，可以使用sudo make run命令来运行DPDK应用程序。
配置DPDK：
- DPDK提供了丰富的配置选项，可以根据需要进行配置。
- 可以通过DPDK的配置脚本（如setup.sh）来进行配置，选择适当的编译选项和参数。
使用DPDK网卡驱动：
- DPDK提供了一组网卡驱动，用于将DPDK应用程序与Linux网络设备连接起来。
- 可以使用包管理器或特定命令来安装DPDK网卡驱动，例如sudo apt-get install dpdk-device-manager。
优化与测试：
- DPDK的主要优势之一是其高效的数据包处理性能。
- 根据需要，可以配置DPDK以利用大页内存（HugePages）来提高性能。
- 使用DPDK自带的测试工具（如testpmd）来测试应用程序的性能和正确性。
注意事项：
- 使用DPDK时，需要确保系统满足其最低要求，特别是关于内存和CPU的要求。
- 在生产环境中部署DPDK应用程序之前，建议进行充分的测试和验证。

请注意，DPDK是一个复杂且功能丰富的框架，上述步骤仅提供了一个基本的入门指南。为了充分利用DPDK的功能和性能，建议查阅DPDK的官方文档、参考相关教程和示例代码，以及参与DPDK社区以获取更多的支持和帮助。此外，由于DPDK是开源项目，其版本和功能可能会不断更新和变化，因此建议始终关注最新的文档和社区动态。

下一章节内容，信息安全系列课程之网络空间测绘与态势感知技术揭秘（二）