（计算机应用技术专业论文）基于snmpv3与winpcap的网络监测系统的设计与实现.pdf

9 1 q f 大学硕十学位论史 基于s n m p v 3 和w i n p c a p 的网络监测系统的设计与 实现 专业计算机应用 研究生廖宏指导教师罗万伯 摘要 计算机网络的迅速发展给人们工作和生活带来了巨大便利， 同时也对网络管理提出了更高要求。随着网络规模的扩大，网络 的管理和维护越来越困难。如何保证网络运行的安全性，是各机 构特别是拥有较大局域网的企业关注的焦点。网络监测作为一种 有效的手段为保证网络运行的安全性提供了保汪。 为了对网络关键设备的工作状态及重要性能进行监测，并且 对网络中容易泛滥而又会造成网络拥塞的蠕虫病毒进行检测，以 保证网络运行的安全性，本文对简单网络管理协议和入侵检测技 术进行了深入的分析、比较和研究，提出了基于s n i p v 3 和w i n p c a p 的网络监测系统的整体方案，并分别从网络管理和蠕虫病毒检测 两个方面详细说明了研究、设计和实现的全过程。整个方案结合 了企业的实际需求和网络环境，具有较强的实用性。 本文对简单网络管理协议、k e r b e r o s 及w l n p c a p 的相关概念 进行了介绍，并对系统的总统设计进行了说明，给出了系统的需 求分析、系统结构和功能以及系统运行环境及网络拓扑结构。 在网络管理功能的设计和实现上，本文对s n m p 各个版本的安 全性进行了分析、比较，采用了安全性高的最新版本s n i p v 3 ，并 针对多管理站的情况下，提出了一种利用k d c 进行密钥分发的方 案，加强了口令的管理，在完成功能的同时兼顾了安全性。 在蠕虫病毒检测功能的设计和实现上，本文对两种常用的入 侵检测技术进行了分析，提出了一种与传统入侵检测系统不相同 的检测方法，即针对蠕虫病毒传播的特性，定时利用s n m p 对路由 四川大学硕十学位论艾 器关键信息进行查询，如果发现状态异常，再在一定时间段内进 行抓包操作，并进行协议分析，把基f 统计分析的异常检测技术 与基于模式匹配的误用检测技术相结合来进行判断并报警。而一 般的方法是一直进行网络监听，并且要对网络包内具体的数据进 行分析，速度较慢且占用不少系统资源。 最后，对系统进行了测试并作了总结。 关键词：简单网络管理协汉；密钥管理：k o c w i n p c a p , 入侵检 测 四川丈学顾士学付论文 t h e d e s i g na n di m p l e m e n t a t i o no fn e t w o r km o n i t o r s y s t e mb a s e do ns n m p v 3 a n dw i n p c a p m a j o r ：c o m p u t e ra p p l i c a t i o n g r a d u a t e ：l i a oh o n ga d via o r ：l u ow a n - b o a b s t r a c t t h er a p i d d e v e l o p m e n t o f c o m p u t e r n e t w o r k b r i n g sg r e a t c o n v e n i e n c et op e o p l e ，a l s op u t sf o r w a r dt h eh i g h c rr e q u e s tf ot h e n e t w o r km a n a g e m e n t a l o n gw i t ht h ee x t e n s i o no ft h en e t w o r ks c a l e ， t h em a n a g e m e n ta n dm a i n t e n a n c e so ft h en e t w o r ka r em o r ea n dm o r e d i f f i c u l t h o wg u a r a n t e et h es a f e t yt h a tn e t w o r kc i r c u l a t e ，i st h ef o c u s o ft h eb u s i n e s se n t e r p r i s ee o n e e mt h a te a c ho r g a n i z a t i o no w n st h e g e n e r a ls i t u a t i o na r e an e to fc o m p a r ee s p e c i a l l y t h en e t w o r km o n i t o r i sak i n do fv a l i dm e a n st op r o v i d et h ea s s l l r a n c 七f o rt h es a f e t yt h a t g u a r a n t e e st h a tt h en e t w o r kc i r c u l a t e i no r d e rt oc a r r yo f ft h em o n i t o rt ot h ew o r ks t a t u sa n di m p o r t a n t f u n c t i o n so ft h en e t w o r kk e ye q u i p m e n t s ，a n dt on e t w o r kw o r mv i r u s w h i c hm a yc a t l s en e t w o r ko b s t r u c t , w i t ht h es a f e t yt h a tt h ea s s u r a n c e n e t w o r k c i r c u l a t e ，t h i sp a p e rd i s c u s s e st h es i m p l en e t w o r k m a n a g e m e n tp r o t o c o la n di n t r u s i o nd e t e c t i o nt h o r o u g ho fa n a l y s i s ， c o m p a r i s o na n dr e s e a r c h ，p u t sf o r w a r da w h o l ep r o j e e lo ft h es y s t e m w h i c hb a s e do ns n m p v 3a n dw i n p c a p ，a n de l a b o r a t e so nt h ew h o l e p r o c e s so fr e s e a r c h ，d e s i g na n dr e a l i z a t i o ni nn e t w o r km a n a g e m e n t a n dw o r mv i r u sd e t e c t i o n t h ew h o l ep r o j e c tb a s e de l lt h ea c t u a ln e e d a n dt h en e t w o r ke n v i r o n m e n t so ft h eb u s i n e s se n t e r p r i s e ，h a v i n gt h e s t r o n g e rf u n c t i o n t h i sp a p e ri n t r o d u c e ss o m e c o n c e p t s o f s i m p l e n e t w o r k 3 即川大学硕士学位论文 m a n a g e m e n tp r o t o c o l ，k e r b e r o sa n dw i n p c a f , a n dt h e ng i v e st h e g e n e r a ld e s i g no ft h i ss y s t e m ，t h es y s t e md e m a n da n a l y s i s ，t h e s y s t e ms t r u c t u r ea n df u n c t i o n sa n ds y s t e mc i r c u l a t et h ee n v i r o n m e n t a n dt h en e t w o r ks t r u c t u r e o nt h ed e s i g na n dr e a l i z a t i o n so ft h en e t w o r km a n a g e m e n t f u n c t i o n ，t h i sp a p e rc a r r i e so nt h ea n a l y s i s ，c o m p a r i s o nt ot h es a f e t yo f e a c he d i t i o no fs n m p , a d o p t st h eh i g i il a t e s te d i t i o ns n m p v 3o fs a f e t y , a n di nt h ec a s eo fh a v i n gm a n ym a n a g e s t a t i o n s ，g i v e sa m e t h o dw h i c h u s e sk d ct od i s t r i b u t ek e y s ，s t r e n $ h e n st h em a n a g e m e n to ft h e p a s s w o r d ，l o o k sa f t e rb o t hs i d e so ft h es a f e t ya n df u n c t i o n s s i m i l a rt or e a l i z a t i o nt o p ，t h i sp a p e ra n a l y s e st w oc o m m o n i n t r u s i o nd e t e c t i o nt e c h n o l o g i e s ，p u t sf o r w a r dan e wk i n do fd e t c t i o n m e t h o dw h i c hi sd i f f e r e n tt os u c ht r a d i t i o n a li n t r u s i o nd e t e c t i o n s y s t e m s w ea i m a tt h ec h a r a c t e r i s t i co ft h ew o r mv i r u sd i s s e m i n a t i o n , m a k eu s eo ft h es n m pt oc a r r yo nt h es e a r c ht ot h er o u t e rk e y i n f o r m a t i o nw h i l es e t t l e i fd i s c o v e r st h es t a t u su n u s u a l l y , t h e n c a p t o r sn e t w o r kd m a 酎a mi nc e r t a i n l yt i m es e g m e n t ，a n dc a r r i e so n t h ep r o t o c o la n a l y s i s f i n a l lu s e sa n o m a l yd e t e c t i o nt e c h n o l o g yb a s e d o ns t a t i s t i ca n a l y s i sa n dm i s u s ed e t e c t i o n t e c h n o l o g yb a s e d o n c h 盯a d e rm a t c ht oj u d g ea n dg i v eaw a r nr e p o r t b u tt h eg e n e r a l m e t h o dp e r s i s t st on e t w o r ks n i f f e r i n g ，a n do o n c e r n st h ed e t a i ld a t ai n d m a 铲a m e s ，t h u si t sd e t e c t i o ns p e e di sn o th i g h ，a n dt a k e su pn o taf e w s y s t e m r e s o u “：e s e s e n d ，c a r r i e so nt h et e s ta n dm a k e st h es u m m a r yt ot h es y s t e m k e yw o r d ：s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ；k e ym a n a g e m c n t k d c ；w i n p c a p ；i n t r u s i o nd e t e c t i o n 4 四j i i 大学硕士学位论文 1 序论 1 1 前言 随着社会信息化进程的不断发展。计算机及网络技术在政府 机构、公司企业及其他社会部门的运作中起着不可缺少的霞要作 用。伴随着网络业务和应用的丰富，对计算机网络的管理与维护 也就变得至关重要。 根据i d c 报告“亚太网络管理软件市场2 0 0 5 - 2 0 0 9 年预测”， 网络管理软件市场2 0 0 4 年的收入是1 7 5 亿美元。i d c 预测该市场 2 0 0 9 年将达到3 1 亿荚元，年复合增长率达到l z 1 。而i n s i g h t r e s e a r c h 的预测是，全球宽带网络管理系统市场规模将在2 0 0 5 年 年底达到近7 1 亿美元，而到2 0 0 8 年还将达到11 2 亿美元。 网络管理是计算机网络的关键技术之一，尤其在大型计算机 网络中更是如此。网络管理就是指监督、组织和控制网络通信服 务以及信息处理所必需的各种活动的总称。其目标是确保计算机 网络的持续证常运行，并在计算机网络运行出现异常时能及时响 应和排除故障。 随着设备的增多，网络规模的扩大，网络管理的负担也在进 一步加重。网络管理的质量会直接影响网络的运行效率。因此， 计算机系统有一定规模并连网的企业，就有网管的需求，尤其足 工作地点分布于各处的机构，有了网管系统为网络把脉，就可查 看全网的网络连接关系，实时监控各种网络设各可能出现的问题， 检测网络性能瓶颈出在何处，并进行自动处理或远程修复，实现 高效的网络管理，促进网络的岛效运转。 不同的机构应该选择适当的网络管理方式，通过正确而又适 合自身的网络管理，不但可以提高网络可靠性，还可为网络提高 效益。网络管理的最终目的在于最大限度地增加网络的可用性， 提高网络单元的利用率、网络性能、服务质量、安全性和经济效 7 刚川大学硕十学位论文 益，简化多制式、多厂商混合网络环境下的管理和控制网络运行 成本，提供网络规划的依据 安全性是网络管理中一个非常重要的方面网络存在的安全 问题主要有三类：一是网络资源安全。网络资源包括圭机、集线 器、交换机、路由器及通信线路等，有可能发生安全问题，如火 灾、雷击、盗窃、停电等。二是病毒的侵入和黑客的攻击。伴随 着互联网的发展，几乎所有的大中型公司都曾在他们的网络或台 式机上遭遇到计算机病毒的危害。病毒尤其足蠕虫病毒，会消耗 系统资源，造成网络拥寒，对整个系统的正常运行造成严霞损害。 黑客对汁算机网络构成的威胁大体可分为两种：一是对网络中信 息的威胁：二是对网络中设备的威胁。以各种方式有选择地破坏 信息的有效性和完整性；进行截获，窃取，破译，以获得重要机 密信息。三是管理不健全而造成的安全漏洞。从广泛的网络安全 意义范围来看，网络安全不仅仅是技术问题，更是一个管理问题。 鉴于网络管理的重要性，在安全的网络管理这一新兴领域做 一些研究是非常现实和必要的“1 。近年来网络蠕虫病毒的频频爆 发，给人类社会造成了巨大损失，更是把安全网络管理的重要性 提到了一个新的高度。如何保证网络运行的安全性，如何选购或 开发一个适合自己实际情况的具有网络管理功能的软件是摆在 各企业、系统提供商以及软件开发公司面前的一个课题。 1 2 课题研究目的及意义 笔者在就读研究生期间，参与了实习所在公司对原有监测系 统的大规模升级改进。该系统是为铁路部门设计，用以监测并记 录信号设备的主要运行状态，为电务部门掌握设备的运用质量和 故障分析提供科学依据。该系统经过试运行后，现在更多的车站 推广应用。在获得岢定的同时，也发现了一些不足之处，比较突 出的就是原系统对通信网络运行状态缺乏有效的监测和管理手段， 删川大学硕卜学位论文 系统安全性有待增强。 本文从系统实际出发，采用s n l c d v 3 进行网络管理，提出了 一种管理站足分布式情况下解决密钥分发的方法，并结合网络监 听技术，采用协议分析的方法对各子网内存在的蠕虫病毒进行检 测，以期用较为经济的方法来保障整个系统运行的安全性，对其 他类似系统也有一定的借鉴意义。 1 3 本文的组织结构 本文的上要内容如下： 第一章：绪论。主要介绍了本文的研究目的及意义，并给出 了文章的组织结构。 第二章：相关技术基础，介绍了s n m p 简单网络管理协议、 k e r b e r o s 原理以及网络监听技术。 第三章：系统的总统设计，进行了需求分析并介绍了系统总 统结构以及系统运行环境及网络拓扑。 第四章：网络管理功能的分析设计，分析了s n m p 各版本协议 安全性，介绍了怎样选择协议类别及相关开发包，给出了密钥生 成和分发的方法，最后详细讲解了关键功能的实现。 第五章：蠕虫病毒检测功能的分析设计，对蠕虫病毒检测原 理进行了分析，给出了关键功能的详细实现。 第六章：系统测试，介绍了系统运行的情况。 第七章：总结。 9 皿川大学硕t 学位论丈 2 关键技术介绍 2 1 简单网络管理协议 2 1s n m p 的发展 简单网络管理协议”“”( s n m p ，8 i m p l en e t w o r km a n a g e m e n t p r o t o c 0 1 ) 是目前t c p i p 网络中应用最为广泛的网络管理协议。 1 9 9 0 年5 月，r f c1 1 5 7 定义了s n m p 的第一个版本s n m p v i 。r f c1 1 5 7 和另一个关于管理信息的文件r f c1 1 5 5 一起，提供了一种监控和 管理计算机网络的系统方法。因此，s n m p 得到了广泛应用。并成 为网络管理的事实上的标准。 s n m p 在9 0 年代初得到了迅猛发展，同时也暴露出了明显的不 足，如，难以实现大量的数据传输，缺少身份验证 ( a u t h e n t i c a t i o n ) 和加密( p r i v a c y ) 机制。因此，t 9 9 3 年发布 了s n m p v 2 ，在功能上做了不少改进。但是，s n m p v 2 并没有完全实 现预期的目标，尤其是安全性能没有得到提高，如：身份验证、 加密、授权和访问控制、适当的远程安全配置和管理能力等部没 有实现。1 9 9 6 年发布的s n m p v 2 c 是s n m p v 2 的修改版本，功能有 所增强，但是安全性能仍没有得到改善，继续使用s n m p v l 的基于 明文密钥的身份验证方式。i e t fs n m p v 3 工作组于1 9 9 8 年元月提 出了互联网建议r f c2 2 7 1 2 2 7 5 ，形成s n m p v 3 草案。2 0 0 2 年3 月， s n m p v 3 月被i e s g ( i n t e r n e te n g i n e e r i n gs t e e r i n gg r o u p ) 批 准为完全的互联网标准s n m p v 3 的一个关键特征时对文档和体系 机构的模块化，另一个关键特征时改进了安全性。可以说s n m p v 3 是在s n m p v 2 基础之上增加了安全和管理机制”1 s n m p 最重要的指导思想就是要尽可能简单，以便缩短研制周 期。s n m p 的基本功能包括监视网络性能、检测分析网络差错和配 置网络设备等。在网络正常工作时，s n m p 可实现统计，配置和测 试等功能。当网络出故障时，可实现各种著错检测和恢复功能。 l o 旧川大学硕 学位论文 虽然s n m p 是在t c p i p 基础上的网络管理协议，但也可扩展到其 他类型的网络设备上。 2 1 2s n m p 网络管理结构 基于s n m p 的网络管珲模型包含四个基本元素：管理工作站 ( m a n a g e r ) 、管理代理( a g e n t ) 、管理信息库( m t b ) 和s n m p 协 议。m i b 可以看成是一个存放设备所维护的全部被管理对象的数 据库，m i b 中的每一个变量对应着互联网中某个被管资源的某个属 性，通过读取和设置这唑m i b 的值，管理站可以监视和控制网络运 行的情况。m a n a g e r 是网络管理员到网络管理系统的接口，管理 员通过m a n a g e r 浏览和设置远程代理中m i b 对象的值。a g e n t 一般是 安装在各个被管理设备巾的软件模块，它响应m a n a g e r 发过来的信 息或操作请求并以异步方式向m a n a g e r 提供相应的信息。管理工作 站和代理通过s n m p 协议联系起来。 最初的s n m p v l 定义了五种消息类型： g e t r e q u e s t ：用于读取指定变量的值。 g e t x t r e q u e s t ：常与g e t r e q u e s t 配合使用，遍历m i b 树读 取一系列顺序值。 s e t r e q u e s t ：为某m i b 变量指定一个值。 g e t r e s p o n s e ：是代理对g e t 操作的应答。 t r a p ：代理发送该i e 请求性通知给对某特定事 件预配置的管理站。 朋川夫学硕士学位论文 s n m p 被设计成应用程序级的协议，并作为t c p i p 协议组的一 部分，它依赖于u d p 传送消息，因此s n u p 是一个无连接协议。默认 情况下，管理进程在端口1 6 2 上侦听t r a p 消息并通过端口1 6 1 上发 送g e t r e q u e s t 、g e t n e x t r e q u e s t 和s e t r e q u e s t 相关信息，而代理 进程在端口1 6 1 上侦听它们的到来，并分别通过端口1 6 2 发送t r a p 消息和通过端口1 6 l 发送g e t r e s p o n s e 消息。图2 i 2 1 描述了s n 肝 的网络管理结构。 t 彦应用摆序| 11 删- 挂管理对置 i i ： j ； j j |；l l ； ， 署； i j l i 之 暑 暑 i 奢 善 善 鼍 重 暑 鲎 口 暑 ； 忘1 州p 璃$ 1r1 1 r 譬穗鲇 翻p代曩 咿 哪p i p 鞭赫于只瞎的协谭 1 蔽赫干同若的* 畦 ，霸懵或、l 图2 1 2 - 1s u p 网络管理结构 2 1 3 管理信息库 在s n m p 网络管理中，管理信息库”m i b ( m a n a g e m e n t i n f o r m a t i o nb a s e ) 是对于通过网络管理协议可以访问的信息。 这些信息更具体的理解为网管中被管资源，而网络管理中的资源 是以对象来表示，每一个对象表示被管资源某一方面的属性，这 些对象的集合形成管理信息库。 m i b 文件是用a s n 1 语法来描述的，所以为了精确定义m i b 中 各管理对象，用户不得不参考一些a s n 1 语法的有关文档如 r f c l l 5 5 、r f c l 2 1 2 等等来定义设备自己的m i b 。a s n i 是抽象句法 四川大学砸十学位论史 表示法一( a b s t r a c ts y n t a xn o t a t i o no n e ) 的简称，对于每个 管理对象它都用文本来描述，用户可以用记事本，写字板等一些 编辑器来打开或编写m i b 文件。一般文件的后缀名都用“m i b ”。 s n m p 的管理信息库采用和域名系统d n s 相似的树型结构，它 的根在最上面，根没有名字。图2 i 3 1 画的是管理信息库的一 部分它又称为对象命名树( o b j e c tn a m i n gt r e e ) 。 根 f 彳弋_ 、。刃 可。z ，蔫篱蔫蔫茅杀；葡h i i l i i i l i 图2 1 3 一i 对象命名树 对象命名树的顶级对象有三个，即i s o 、i t u t 和这两个组织 的联合体。在i s o 的下面有4 个结点，其中的一个( 标号3 ) 是被 标识的组织。在其下面有一个美国国防部( d e p a r t m e n to f d e f e n s e ) 的子树( 标号是6 ) ，再下面就是i n t e r n e t ( 标号是1 ) 。 在i n t e r n e t 结点下面的第二个结点是m g m t ( 管理) ，标号足2 。 再下面是管理信息库，原先的结点名是m i b 。1 9 9 1 年定义了新的 版本m i b i i ，故结点名现改为m i b 一2 ，其标识为 1 3 6 1 2 1 ， 叩川大学碗i 学位论史 或 i n t e r n e t ( i ) 2 1 。这种标识为对象标识符。 最初的结点m i b 将其所管理的信息分为8 个类别，见表 2 1 3 - 1 。现在的m i b 一2 所包含的信息类别已超过4 0 个。 表2 1 3 - i 最初的结点m i b 管理的信息类别 类别标号所包含的信息 s y s t e m ( 1 ) 主机或路由嚣的操作系统 i n t e r f a c e s( 2 ) 各种网络接口及它们的测定通信量 a d d r e s st r a n s l a t i o n ( 3 )地址转换等信息( 如h r p 映射) i p “) i p 分组信息统计 i c m p( 5 ) i c m p 分组信息统计 t c p( 6 )t c p 分组信息统汁 u d p ( 7 )u d p 分组信息统计 e g p ( 8 )e g p 分组信息统计 应当指出，m i b 的定义与具体的网络管理协议无关，这对于厂 商和用户都有利。厂商町以在产品( 如路由器) 中包含s n m p 代理 软件，并保证在定义新的m i b 项目后该软件仍遵守标准。用户可 以使用同一网络管理客户软件来管理具有不同版本的m i b 的多个 路由器。当然，一个没有新的m i b 项目的路由器不能提供这些项 目的信息。 2 1 4a s n 1 语法 i s oa s n 1 的一个子集为m i b 定义了语法。每个m i b 都使用定 义在a s n 1 中的树型结构组织所有可用信息。其中的每片信息是 1 4 四川大学碗十学位论文 一个有标号的节点。每个节点包含两个内容：一个对象标识符和 一个简短的文本描述。其中对象标识符o i d ( o b j e c ti d e n t i f i e r ) 足由旬点隔开的一组整数，它命名节点并指示它在a s n 1 树中的 准确位置。而简短的文本描述是对带标号的节点进行描述。一个 带标号节点可以拥有包含其它带标号节点的子埘。如果带标号节 点没有子树，就是叶子节点，它包含一个值并被称为对象。 在一个树支下，读首可以定义多个子树，也可以定义被管理 资源的管理对象，其定义的句法如下： ( o b j e c t n a m e ) o b j e c t t y p e s y n t a x ( s y n t a x ) a c c e s s ( a c c e s s ) s t a t u s ( s t a t u s ) d e s c r i p t i o n ( d e s c r i p t i o n ) ：= ( p a r e n t ) ( n u m b e r ) 以上的备部分解释如下： ( 1 ) o b j e c t n a m e 是被对象的名字，a s n 1 句法要求所有对 象的名字必须以小写字母开头，而且该名字在m i b 中必须是唯 一的。 ( 2 ) o b j e c t t y p 是一个每一个叶子对象的所必须的关键字。 ( 3 ) s y n t a x 被管对象类型的关键字，说明随后跟着的是一个 类型。 ( 4 ) s y n t a x 被管对象的类型，a s n 1 句法要求所有的对象类 型必须以大写字母开头，其中已预定义了的类型有c o u n t e r 、 g a u g e 、d i s p i a y s t r i n g 、i n t e g e r 等等，请参阅“3 对象语法 定义”及“5 a s n i 的派生类型”。 ( 5 ) a c c e s s 被管对象的访问方式的关键字。在s n m p 第二版 中为i d a x - a c c e s s 关键字 ( 6 ) a c c e s s 被管对象的访问方式，可为如下列举值中之一： r e a d o n l v 、r e a d w r i t e 、n o a c c e s s i b l e ，s n m p 第2 版中又 卿j 大学硕十学位论文 新增了r e a d c r e a t e 。 ( 7 ) s t a t u s 被管对象的状态的关键宇。 ( 8 ) s t a t u s 可取的值为：m a n d a t o r y 、o p t i o n a l 、o b s o l e t e 、 d e p r e c a t e ( s n m p v l ) ，c u r r e n t 、o b s o l e t e 、d e p r e c a t e ( s n m p v 2 ) 。 其中：m a n d a t o r y 为该对象的状态是必备的 o p t i o n a l 为该对象的状态是可选的 o b s o l e t e 为该对象的状态足不再使用 d e p r e c a t e 使用该值使得m i b 的某些部分标记为过时， 被标记为“废弃”的对象将从现行版本中删除，并在新的m i b 版本中标记为“过时”。 c u r r e n t 为该对象的状态是当前可用的。 ( 9 ) d e s c r i p t i o n 对被管对象的功能、特征等等进行描述的 关键字。 ( 1 0 ) d e s c r i p t i o n 被管对象的文本描述。须用双引号把其文 本说明括起来，有时由于用m i b 编译器编译结果太大时，可以 把文本说明删除，即只保留一个空的双引号。 ( “) p a r e n t 包含此叶子对象的树支，即叶子对象的父亲必 须是用“o b j e c ri d e n t i f i e r ”声明 ( 1 2 ) n u m b e r 在此父树支下的第几个叶子对象，这个数字在 此父树支下必须是唯一的。一般n u m b e r 部足从取i 开始的。 例如：“：= fm y o b j e c t2 2 ) ”，则在m y o b j e c t 树支下2 2 必 须是唯一的，否则在用m i b 编译器进行编译时会提示有错。 除此之外，还有一些关键字；u n i t s 、i n d e x 、r e f e r e n c e 、d e f v a l 等等，分别代表被管对象的单位、索引、参考、缺省值。这些关 键字都并不是很重要，有兴趣的读者可参阅r f c l l 5 5 的说明。值 得注意的是i n d e x 关键字在表对象定义中必须存在的，否则表内 的对象不能使用。 网川大学硕十学位论丈 2 1 5s n m p 的5 种协议数据单元 s n m p 规定了5 种协议数据单元p d u ( 也就是s n m p 报文) ，用来 在管理进程和代理之问的交换。 g e t - r e q u e s t 操作：从代理进程处提取一个或多个参数值 g e t - n e x t r e q u e s t 操作：从代理进程处提取紧跟当前参数 值的下一个参数值 s e t - r e q u e s t 操作i 设置代理进程的一个或多个参数值 g e t r e s p o n s e 操作：返斟的一个或多个参数值。这个操作 是由代理进程发出的，它是前面三种操作的响应操作。 t r a p 操作：代理进程差动发出的报文，通知管理进程有某 些事情发生。 前面的3 种操作足由管理进程向代理进程发出的，后面的2 个 操作是代理进程发给管理进程的，为了简化起见，前面3 个操作 今后叫做g e t 、g e t - n e x t 和s e t 操作。图2 1 5 - i 描述了s n m p 的 这5 种报文操作。请注意，在代理进程端是用熟知端口1 6 1 俩接 收g e t 或s e t 报文，而在管理进程端足用熟知端口1 6 2 来接收t r a p 报史。 $ n m p 管理程序s n m p 代理程序 g e t r e q u e s t g e t r e 5 p o n g c n e x t 。r e q u e s t g e t 。m s p o n u i ) p 端口1 6 2 u d p 端i j1 6 1 g e t r e s p o n s e 响咿 图2 1 5 - 1s n m p 的5 种报文操作 e qj i i 大学颂学位论文 图2 1 5 - 2 是封装成u d p 数据报的5 种操作的s n m p 报文格式。 可见一个s k i m p 报文共有三个部分组成，即公共s n “p 首部、g e t s e t 首部l r a p 首部、变量绑定。 图2 1 5 - 2s n u p 报立格式 2 i 6s n & i p 中的数据类型 s n m p 中的数据类型并不多，有四种基本类型和多种扩展类 型，介绍如下： 朋川大学碗p 学位论文 i n t e g e r 一个3 2 位值，使用2 的补数表示法，通常用来表示枚举数值。 例如，代表一个接口运行状态的管理对象被定义为一个i n t e g e r ， 用值1 表示正常的运行状态，值2 代表停机状，畚，值3 则代表测 试状态。 0 c t e rs t r i n g 0 或多个8b i t 字节，每个字节值在0 2 5 5 之间。对于这种数据 类型和下一种数据类型的b e r 编码，字符串的字节个数要超过字符 串本身的长度。这些字符串不是以n u l l 结尾的字符串。 o b j e c ti d e n t i f i e r 这是一个整数序列，遍历一个层次式m i b 树形结构。每个管理 对象由一个o b j e c ti d e n t i f i e r 定义。 n u l l 代表相关的变量没有值。例如，在g e t 或g e t - n e x t 操作中，变 量的值就足n u l l ，因为这些值还有待到代理进程处去取。 d i s p l a y s t r i n g 0 或多个8 b i t 字节，但是每个字节必须是a s c i i 码。在m i b i i 中，所有该类型的变量不能超过2 5 5 个字符( 0 个字符是可以的) 。 l p a d d r e s s 4 7 节长度的o t t e rs t r i n g ，以网络序表示的i p 地址。每个字 节代表i p 地址的一个字段。 p h y s a d d r e s s o c t e rs t r i n g 类型，代表物理地址( 例如以太网物理地址为6 1 9 四川大学硕 学位论史 个字节长度) 。 c o u n t e r 非负的整数，可从0 递增到2 3 l l ( 4 2 9 4 9 7 6 2 9 5 ) 。达到最大值 后归0 。 g a u g e 非负的整数，取值范围为从o 到4 2 9 4 9 7 6 2 9 5 ( 或增或减) 。达到 最大值后锁定直到复位。例如，m i b 中的t c p c u r r e s t a b 就是这种类 型的变量的一个例子，它代表目前在e s t a b l i s h e d 或c l o s e _ w a i t 状 态的t c p 连接数。 t i m e t i c k s 时日j 计数器，以0 0 1 秒为单位递增，但是不同的变量可以有不 同的递增幅度。所以在定义这种类型的变量的时候，必须指定递 增幅度。例如，m i b 中的s y s u p t i m e 变量就是这种类型的变量，代 表代理进程从启动开始的时日jk 度，以多少个百分之一秒的数目 来表示。 s e q u e n c e 这一数据类型q - c 程序设计语言中的“s t r u c t u r e ”类似。一个 s e q u e n c e 包括0 个或多个元素，每一个元素又是另一个a s n 1 数据 类型。例如，w i b q ，的u d p e n t r y 就是这种类型的变量。它代表在代 理进程侧目前“激活”的u d p 数量( “激活”表示目前被应用程序 所用) 。在这个变量中包含两个元素： 1 i p a d d r e s s 类型中的u d p l o c a l a d d r e s s ，表示i p 地址 2 i n t e g e r 类型中的u d p l o c a l p o r t ，从0 到6 5 5 3 5 ，表示端 口号。 s e q u e n d e o f 这是一个向最的定义，其所有元素具有相同的类型。如果每一 2 0 四川大学颂十学位论文 个元素都具有简单的数据类型，例如是整数类型，那么我们就得 到一个简单的向量( 一个一维向量) 。但是我们将看到，s n m p 在 使用这个数据类型时，其向量中的每一个元素是一个s e q u e n c e ( 结 构) 。因而町以将它看成为一个二维数组或表。 2 1 7s n m p 与c m l p 的比较 c m i p 协议是在o s i 制订的网络管理框架中提出的网络管理协 议。与其说它足一个网络管理协议，不如说它是一个网络管理体 系。这个体系包含以下组成部分：一套用于描述协议的模型，一组 用f 描述被管对象的注册、标识和定义的管理信息结构，被管对象 的详细说明以及用于远程管理的原语和服务。c m i p 与s n m p 一样， 也是由被管代理和管理者、管理协议与管理信息库组成。在c m i p 中，被管代理和管理者没有明确的指定，任何一个网络1 埕各既可以 足被管代理，也可以足管理者。 s n m p 与c m i p 是网络界最主要的两种网络管理协议。在未来的 网络管理中，究竟哪一种将占据优势。一直是业界争论的话题。 总的来说，s n m p 和c m i p 两种协议是同丈于异。两者的管理目 标、基本组成部分都基本相同。在m t b 库的结构方面，很多厂商 将s n h i p 的m i b 扩展成与c m i p 的b l i b 结构相类似，而且两种协议 的定义都采用相同的抽象语法符号( a s n 1 ) 。 不同之处，首先，s n m p 面向单项信息检索，而c m i p 则面向组合 项信息检索。其次，在信息获得方面，s n m p 主要基于轮询方式。而 c m i p 主要采用报告方式。再次，在传送层支持方面，s nm p 基于无 连接的o d p ，而c m i p 倾向于有连接的数据传送。此外，两者在功能、 协议规模、性能、标准化，产品化方面还有相当多的不同点。 四川大学颂十学位论文 2 2k e r b e r o s 原理 2 2 1k e r b e r o s 协议运作步骤 k e r b e r o s r s l 9 协议出源于m i t 的a t h e n a 项目。它主要建、上 在n e e d h a r a 和s c h r o e d e r 的可信任第三方认证协议以及d e n n i n g 和s a c c o 修改建议之上。是一个位于开放式互联网络之上对需要 网络服务的实体进行身份认证的誊要实用身份认证协议。其最大 好处足通过对实体和服务的统一管理实现单一注册，也就是说用 户通过在网络中的一个地方的一次登录就可以使用网络上可以获 得的所有资源。由于在每个c l l e n t 和s e r v i c e 之间建立了共享密 钥，使得该协议具有相当的安全性。目前有k e r b e r o s 协议有v 4 和v 5 两个版本，在w i n d o w s2 0 0 0 中采用的是v 5 。 客户机的最终目的足能够访问到服务器上提供给合法用户的 某项服务，那么在此之前必须经过如图2 2 卜1 所示几个步骤 ( 1 5 必选；6 在需要对服务器进行认证时使用) ： 图2 2 1 一f ：k e r b e r o s 协议运作步骤 ( 1 ) 首先客户机向