路由器专家：创建网络详细清单

　在开始网络服务审计之前，必须创建网络详细清单。该清单包括收集所有网络节点的主机身份信息，如IP地址、网络界面硬件（NIC）地址和DNS条目。在大多数环境中，某些信息是现有的，并且往往会有些错误。在大多数情况下，NIC信息和MAC地址将不被记录。

　　即使我们已经获得了信息，但是将创建详细清单和验证这些信息作为审计的第一步也是一个不错的做法。这样，我们就可以完全了解网络环境，同时，它还能有助于发现必须清除的不一致性。本文中所涉及的方法是假设我们对正在审计的网络有管理访问权限。所提供的开源脚本在Unix/Linux、Apple OS X和 Windows环境的Cygwin上运行，同时可以在基于IOS的交换机和支持SSH或者RCMD访问的路由器上运行。

　　收集详细清单属性

　　在我们开始这个收集过程之前，有必要先阐述一下我们对IP、MAC和DNS信息感兴趣的原因所在。当处理连接到网络用户和管理员的节点时，一般情况下，我们要么使用主机IP地址要么使用DNS来建立通信和交换数据。这些身份验证方法都是友好用户并且易于管理的。它们经常指派一个人名（和号码）来帮助我们实现与这些非人类机器的交互。这两种方案是在70年代后期设计的，当时串行终端设备是计算机交互的主要手段，而原ARPANET主机表还是一个电邮文件。

　　这两种方法的动态属性，即分配和实现，使它们可以灵活地同时支持全局和私有操作模式。然而，这种动态的属性也恰恰制造了安全性麻烦。因为指派过程是动态和可转移的，因此，不同的物理主机可以假装指派相同的“网络身份”。大多数基于网络的攻击都是利用了IP和DNS的不可验证性。分布式拒绝服务（DDOS）攻击可以使合法的主机失效，并且允许攻击者伪装被攻击者的IP标识。ID钓鱼邮件可以使用伪URL来将没有戒心的用户重定向到假的网站上，从而获取个人身份和金融帐户信息。

　　只有NIC MAC地址是唯一的，因为它们是与主机的NIC相关的，而非主机本身。目前大多数的工作站和服务器都有内置的网络接口，这样， MAC地址就是一种非常理想的用于跟踪和访问控制（通过二层过滤和/或静态DHCP）的网络参数。这并不是说使用MAC地址就是万无一失的；如果攻击者进入了本地网络，他就可能进行ARP/MAC欺骗。同时，如果服务器由于失效而被替代，那么它的MAC信息也将改变。因此，如果没有很好的跟踪方法，跟踪（和控制访问使用）MAC、IP和DNS属性是验证和确保网络连续性的最好的方法之一。

　　主机验证信息来源和方法


　　首先，打开电子表格、记事本或者任何用于文档化网络节点的工具。我们将把这些信息作为控制数据。从验证的角度来看，一个理想的审计环境是：我们正在验证我们已经确信是已存在的东西。如果这个数据并不是已经存在的，那么第一个审计将作为与以后的审计对比的基线。

　　正如我们前面所探讨的，主机详细清单收集三种数据：IP地址、MAC地址和DNS条目。在清单的最后，我们必须有一个清单数据集，它看起来是这样的：

172.30.100.1 0000.0c07.ac05 CISCO SYSTEMS, gw.outlan.net
172.30.100.100 0004.ac5e.4810 IBM CORP. yp.outlan.net
172.30.100.14 000b.cd83.53f6 Unknown OUI oscar.outlan.net
172.30.100.15 0008.02a1.4d80 Compaq Computer auth.outlan.net
172.30.100.16 0050.8b2c.f25e COMPAQ COMPUTER mail.outlan.net
172.30.100.17 0002.a528.b2b3 Compaq Computer home.outlan.net
172.30.100.172 0008.c7f4.4655 COMPAQ COMPUTER foo.outlan.net
172.30.100.18 000b.cd50.786a Unknown OUI kermit.outlan.net
172.30.100.19 0008.c72a.c8fb COMPAQ COMPUTER bigbird.outlan.net
172.30.100.2 0001.812b.fe08 Nortel Networks rs01.outlan.net
172.30.100.3 0005.5fe7.0800 Cisco Systems, rs02.outlan.net

　　必须为网络的每个分段创建诸如这样的表。目前，我们已经探讨了4种属性的其中3种。第三个字段中的数据是每个MAC地址的机构的唯一识别符（OUI）。每个以太网MAC地址的前24字节是硬件制造商的OUI，它是由IEEE所指派的。制造商使用OUI以及一个唯一的24字节值来为每个网络接口创建唯一的MAC地址。

　　我们知道网络节点的OUI