（计算机软件与理论专业论文）snmp协议的安全性分析及应用研究.pdf

i 釜墅! 垫鍪箜塞全壁坌燕蕊壅墨堑窭 摘要 网络管理的提出是为了在网络规模不断壮大、网络设备越来越多样化的条件 下僚诞计算极网络安全、稳定的运行。当今擞器土存三矜网络管毽框架，分裂为 奄售繁疆甄 溺( t e l e c o m m u n i c a t i o n sm a n a g e m e n tn e t w o r k ) 、公芙管瑾痿惑 协议c m i p ( c o m m o nm a n a g e m e n ti n f o r m a t i o np r o t o c 0 1 ) 和简单网络管理协议 s n ( s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 。丽s n m p 由于其简单、实用的特 点而被大多数的厂商所支持，已成为事实上的i n t e r n e t 网络管璞标准。 泌豫霆蔻被广泛应蹋予t c p i p 霹终及浚舔繁瑾。篷楚奁最襁设诗霹为了笺 这冀简擎往豹嚣标，面没静提供足够强大豹安企祝利，从丽限制了它的应用。论 文在第三章首先分别讨论ts n m p v l 协议、s n m p v 2 协议和s n m p v 3 协议的安全机 制的内容及其发展过程，然后指出一个新发现的s n 艘安全漏洞，弗设计对此漏 洞遂行攻击酶程序。在本鬻的最后提出了戳下鼹护运行s n m p 协议静鼹络不受攻 壹戆戆藏：稳援藩火墙送行边赛网络逶滤；程内部网络中拦截不燕鬻豹s n m p 访 问；修改缺省的共同体字符串：物理隔离s n m p 数据包。 s n m p 作为网络管理协议的一种，利用其避 行网络管理系统的开发是它的主 要作用。而作为网络管理系统的一个重要组成部分，拓扑发现是配赣管理的核心， 敖鬻餐毽戆基礁，因越| 荟羚发褒算法豹设诗农熬个瓣警系统孛骞蠢举足轻重魏逮 住。农论文豹第四部分蓄宠指出常见豹利用s n m p 实现网络拓扑发现算法的缺点 和不足，然后针对存在的阐题提出_ 种新的改避算法。在本章的蠼后介绍了另岁 一种利用r i p ( 选路信息协议) 进行拓扑发现的算法，并对两种拓扑发现算法在 不同阚络烧模下的效率酶遴厅魄较。秘用r i p 逡簿壤羚发现的算法农孛小型的互 联瓣中鹣挠行速疫函灸英并行执行豹霖因傀予s n m p ，毽在大鼙潮络中将会因耗 费大壁的资源而容易出现闯题，在此情况下使阁s n m p 进行拓扑发现的算法比较 适合。 关键词：s n m p , 瞬绔瞥瑷；安全机制；拓扑发现； s n m p 协议的安全性分析及应用研究 a b s t r a c t t h eg o a lo fn e t w o r km a n a g e m e n ti sp r o v i d i n gas e c u r ea n dr e l i a b l ec i r c u m s t a n c e f o rc o m p u t e rn e t w o r k t h e r ea r et h r e en e t w o r km a n a g e m e n tm o d e li nt h ew o r l d ， t m n ( t e l e c o m m u n i c a t i o n sm a n a g e m e n tn e t w o r k ) ，c m i p ( c o m m o nm a n a g e m e n t i n f o r m a t i o np r o t o c 0 1 ) a n ds n m p ( s i m p i en e t w o r km a n a g e m e n tp r o t o c 0 1 ) s n m ph a s b e c o m et h es t a n d a r df o rm a n a g i n gn e t w o r k sf o ri t ss i m p l i t ya n d u t i l i t y r e c e n t l ys n m p a r em o s t l yu s e di nm a n a g e m e n to ft c p i pn e t w o r k s b u ti n o r i g i n a ld e s i g nt h es e c u r i t ym e c h a n i s m si sn o ts oi m p o r t a n tw h i c hc o m p a r e dt oi t s s i m p l i t y c o n s i d e r i n 2t h em e n a c eo fs n m p ss e c u r i t y , t h i sp a p e rs u m m a r i z e st h e s n m p s s e c u r i t yr e q u i r e m e n t a n dt h e c o r r e s p o n d i n gs e c u r i t y m e c h a n i s m s f u r t h e r m o r e ，t h ea u t h o r sa n a l y s e sa n dc o m p a r es e c u r i t ym e c h a n i s m sp r o v i d e db v s n m p v l ，s n m p v 2a n ds n m p v 3 a tt h ee n do ft h i sp a r t ，t h ef l u t h o r sp r o v i d e ss o m e m e a s u r e st op r o t e c tt h en e t w o r kw h i c hj sm a n a g e db y u s i n gs n m p ：u s i n gf i r e w a l lt o f i l t r a t et h es n m p p a c k e t ；b l o c k i n gt h ee x c e p t i o n a lr e q u e s to ft h ei n n e rn e t w o r k ； m o d i f yt h ed e f a u l tp u b l i cs t r i n g ；u s i n gp h y s i c si n s u l a t ei nt h en e t w o r k a u t od i s c o v e r i n gt h en e t w o r k t o p o l o g yi st h em o s ti m p o r t a n tc o n t e n t si nn e t w o r k m a n a g e m e n t i nf o u r t hp a r to ft h i sp a p e rw eg i v eam e t h o d s t oa u t o m a pt h et o p o l o g y b yu s i n g s n m pw h i c hb e i m p l e m e n t e d i nt c p i pn e t w o r ke n v i r o n m e n t a 1 s ow e g i v e a n o t h e ra l g o r i t h m b yu s i n gr i p t od i s c o v e rt h en e t w o r k t o p o l o g y a n d w ed i s c u s st h e d i f f e r e n c eb e t w e e nt w oa l g o r i t h m s i nt h ed i f f e r e n tn e t w o r kc i r c u m s t a n c et h et w o a l g o r i t h m sh a v ed i f f e r e n tr e s u l t s i nt h es m a l ls c a l en e t w o r kt h ea l g o r i t h mu s i n gr i p i sf a s t e rt h a na n o t h e r ，b u ti nl a r g es c a l en e t w o r kt h ea l g o r i t h mu s i n gs n m pi sm o r e r e l i a b l et h a nt h ea l g o r i t h mu s i n gr i p k e y w o r d s ：s n m p ；n e t w o r km a n a g e m e n t ；s e c u r i t ym e c h a n i s m s ；d i s c o v e r t o p o l o g y - 2 s n m p 协议的安全性分析及应用研究 绪论 随着信息技术的发展，计算机在我们的生活中已经变得越来越普遍。而计算 机网络因为其能迅速提供大量有效信息的优势，以迅猛的发展态势，在短短几年 的时间内就已经应用于全球几乎所有重要的领域，诸如：金融、商贸、交通、通 信、军事等都越来越多的依赖于信息网络。但是，在因特网给人们带来极大便利 和效益的同时，随之而来的威胁也逐渐显现，一旦网络崩溃，将会引起灾难性的 后果。保持计算机网络的良好的运行状态，这就是网络管理的由来。 网络管理的提出是因为随着网络规模的发展，通过人工来查看各个设备的运 行状态和网络的使用情况已经变得越来越困难，网络管理员必须借助于一些工具 才能完成对各种网络设备的管理和整个网络系统的监控。从最初的网络管理框架 的提出到现在，网络管理系统包含以下五个功能：故障管理、配置管理、帐务管 理、性能管理和安全管理。 当前世界上流行的网络管理技术有由国际电信联盟的电信标准化部门i t u t 提出的t m n ( t e l e c o u n i c a t i o n sm a n a g e m e n tn e t w o r k ) 、由国际标准化组织( i s o ) 提 出的c m i p ( 公共管理信息协议) 和由i n t e r n e t 组织提出的s n m p ( 简单网络管理协 议) 。这些标准中，c m i p 的功能最强大，但其实现难度也最大，这就妨碍了它的 应用，因此目前支持c m i p 的产品很少；而s n m p 则由于它的简单和易操作，因此 得到广泛的应用，并已成为事实上i n t e r n e t 的管理标准。 s n m p 目前被广泛应用于t c p i p 网络及设备管理。其最大的优势是设计简单， 几乎所有的网络管理人员都喜欢使用。但是，由于它的早期版本为了达到其实现 简单的目标，而没有把安全性放在很重要的位置，从而限制了s n m p 在网络管理 中的进一步应用。本文在第三部分分别对s n m p v l ，s n m p v 2 ，s n d p v 3 的安全机制 进行探讨，并提出了加强运行s n m p 系统的安全性能的措施。 作为网络管理系统的个重要组成部分，拓扑发现是配置管理的核心，故障 管理的基础r 同时它也是衡量一个商业网管系统成败的重要尺度。因此拓扑发现 算法的设计在整个网管系统中占有举足轻重的地位。在本文的第四部分给出利用 s n m p 协议实现网络拓扑发现的算法，并对利用r i p 协议和s n m p 协议进行拓扑发 现的不同算法进行比较。 s n m p 协议的安全性分析及应用研究 1 1 什么是网络管理 第1 章网络管理简介 计算机网络的存在是为了实现信息的传播和共享，网络管理是指对网络的运 行状态进行监测和控制，使其能够有效、可靠、安全、经济地提供服务。从这个 定义可以看出，网络管理包含两个任务，一是对网络的运行状态进行监测，二是 对网络的运行状态进行控制。通过监测了解当前状态是否正常，是否存在瓶颈问 题和潜在的危机，通过控制对网络状态进行合理调节，提高性能，保证服务。监 测是控制的前提，控制是监测的结果。从这个定义可以看出，网络管理具体地说 就是网络的监测和控制。 随着网络技术的高速发展，网络管理的重要性越来越突出。 第一，网络设备的复杂化使网络管理变得复杂。网络设备复杂有两个含义， 一是功能复杂，二是生产厂商多，产品规格不统一。这种复杂性使得网络管理无 法用传统的手工方式完成，必须采用先进有效的手段。 第二，网络的经济效益越来越依赖网络的有效管理。现代网络已经成为一个 极其庞大而复杂的系统，它的运营、管理、维护和开通( o a m & p ) 越来越成为一个 专门的学问。没有一个有力的网络管理系统作为支撑，就难以在网络运营中有效 地疏通业务量，提高接通率，避免诸如拥塞、故障等问题。使网络经营者在经济 上受到损失，给用户带来麻烦。同时，现代网络在业务能力等方面具有很大的潜 力，这种潜力也要靠有效的网络管理来挖掘。 第三，先进可靠的网络管理也是用户所要求的。当今时代，人们对网络的依 赖越来越强，普通人通过网络打电话、发传真、发e - m a i l ，企业通过网络发布 产品信息，获取商业情报，甚至组建企业专用网。在这种情况下，用户不能容忍 网络的故障，同时也要求网络有很高的安全性，使得通话内容不被泄露、数据不 被破坏、专用网不被侵入、电子商务能够安全可靠地进行。 尽管网络管理应该作为当今网络最重要的组成部分的观点已很明显，但大部 分的网络还是处于“缺少管理”的状态。在这些缺少管理的网络中，所付出的运 行开支和维护管理活动，没有什么根据能够说明系统运行是有效的、所花的费用 s n m p 协议的安全性分析及应用研究 是合算的。在这种情况下，网络的可靠性和可用性也无法度量。发生故障时，常 常难以找到原因所在，特别是对于那些间断发生或偶然发生的故障更是如此。 网络管理领域是在飞速发展的，也是在不断扩充其内容的领域。受管理的对 象在许多新的方向上发展，管理的定义本身也在扩大。第一代的网络管理框架主 要负责监视重要的网络设备和一些核心的运行数据库。现在的网络管理在横向上 已经扩充到包括了以下几个新的管理内容：系统管理、服务管理、应用管理、众 多其他资源的管理( 包括数据库、存储设备、家庭电子设备、电子邮件等) 。在 纵向上，最初的管理框架是设计用来管理如网关、网桥和路由器等运行t c p i p 协议集的网络设备，现在已用于管理所有的网络设备，只要它能支持代理进程的 处理能力。 1 2 网络管理功能需求 一般说来，网络管理在功能上可以被划分为五大类，通常用其首字母的缩写 词f c a p s 来表示，它们分别是故障管理、配置管理、帐务管理、性能管理和安全 管理。 故障管理( f a u l tm a n a g e m e n t ) 的作用是检测、定位和排除网络硬件和软件中 的故障。当出现故障时，该功能可以迅速发现和确认网络故障，进行记录并尽可 能的排除这些故障。故障管理的主要功能有告警监测、故障定位、测试、业务恢 复、修复以及维护故障日志。故障管理定义中的核心问题是“故障”这个基本概 念。故障与差错不同，故障指不正常的运行条件，需要网络管理动作进行修复， 通常是由失效即不能正确运行或过量的差错来指示的，一定程度上的差错( 如 c r c 检验错误) 是可能偶然出现的，但不能把它们当成故障。 配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 的作用是掌握和控制互联网络的状态， 包括互联网络内各设备的状态及其连接关系。配置管理又可划分为三个子域：互 联网络状态的初始化和维护、每个网络对象的状况维护和监视网络对象之间的关 系。配置管理是最基本的网络管理功能，它负责建立网络资源管理信息库，来支 持其它管理所需要的管理信息。配置管理和故障管理之间有紧密的联系。 帐务管理( a c c o u n t i n gm a n a g e m e n t ) 的作用是度量各个端用户和应用程序对 网络资源的使用情况。根据连接时间、连接跨越网络的长度、用户名和其它参数， ! 型坚! 塑些塑茎全丝坌堑墨堕旦塑墅 采用与具体实现有关的各种算法来计算对网络资源的使用，使用情况一般都以 j l 志方式记录到帐务数据库中。帐务管理功能提供了计算一个特定网络或网段运行 成本的手段。 性能管理( p e r f o r m a n c em a n a g e m e n t ) 的作用是维护网络服务质量( q o s ) 和网 络运营效率。为此性能管理要提供性能监测功能、性能分析功能，以及性能管理 控制功能。同时，还要提供性能数据库的维护以及在发现性能严重下降时启动故 障管理系统的功能。 安全管理( s e c u r i t ym a n a g e m e n t ) 的作用是提供信息的保密、认证和完整性保 护机制，使网络中的服务、数据和系统免受侵扰和破坏。 1 3 网络管理体系结构 网络管理体系结构是建立网络管理系统的基础。不同的管理体系结构会带来 不同的管理能力、管理效率和经济效益，决定网络管理系统的不同的复杂度、灵 活度和兼容性。 传统的网络管理系统是对应具体业务和设备的，不同的业务、不同厂商的设 备需要不同的网络管理系统各种网络管理系统之间没有统一的操作平台，相互 之间也不能互通。许多管理操作是现场的物理操作。为了使企业中来自许多个厂 家的众多计算系统能够一起工作，他们必须基于一个精心制定并广泛认同的规则 或标准。现在有两个开放的、基于标准的重要网络管理框架在使用：基于t c p i p 模型的s n m p ( 简单网络管理协议，s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 体 系结构和基于o s i 的c m i p ( 公共管理信息协议，c o m m o nm a n a g e m e n ti n f o r m a t i o n p r o t o c 0 1 ) 体系结构。 c m i p 体系结构是一个通用的模型，它能够对应各种开放系统之间的管理通信 和操作，开放系统之间既可以是平等关系，也可以是主从关系。因此它既能够进 行分布式的管理，也能够进行集中式的管理。 s n m p 体系结构最初是一个集中式模型。从s n m p v 2 开始，分布式模型开始采 用，在这种模型中，顶层管理站可以有多个，被称为管理服务器。在管理服务器 和代理者之间，加入中间服务器。 下图是从管理进程代理进程的角度描述的网络管理系统的顶层视图。该模 s n m p 协议的安全性分析及应用研究 型描述了两个网络设备，及网络管理系统( n m s ) 和网络管理代理。n m s 和代理 进程在对等层商用网络管理协议进行通信。 图1 1 网络管理体系结构模型 在实际应用中，c m i p 在电信网管理标准t m n 中得到了应用，而s n m p 在计算 机网络管理尤其是i n t e r n e t 的管理中得到了应用。随着i n t e r n e t 的迅猛发展， s n m p 的影响也日益强大，其自身也得到了较快的改善。 s n m p 协议的安全性分析及应用研究 第2 章s n m p 网络管理架构 2 1s n m p 简史及地位 尽管从网络出现开始，就一直存在着对网络管理的需求，但直到本世纪8 0 年代之前，构建像8 n m p 这样的开放框架的标准化过程却一直没有什么动力。随 着网络的发展，在短短的十年间，s n m p 就从一个非常单纯的路由器监视程序发 展成为一个非常大的网络管理框架。 在1 9 8 8 年，第一届特设网管研讨组开始讨论i n t e r n e t 网络管理协议的规划 化途径时，他们一共考虑了三个当时已经存在的协议：h e m s ( 高级实体管理系统) 、 s g m p ( 简单网关检测协议) 和基于t c p i p 的o s ic m i p 。由于s g m p 已经实现了 对i n t e r n e t 路由器的管理，而且只需要对其作小小的改进就可以使其更加通用， 因此选择了s g m p 作为i n t e r n e t 网管的端起解决方案。s g m p 进行了扩充并重新 命名为s n m p ，这样s n m p 就变成了临时的草案以便简化向c m o t 的最终转变。s n m p 的最初规约与1 9 8 8 年的8 月份完成，称为“i n t e r n e t 标准网络管理框架”，其 中对s m i 、m i b 和s n m p 协议的三个核心规约分别以r f c1 0 6 5 ，1 0 6 6 和1 0 6 7 发布， 并在1 9 8 8 年底出现了几种实现。 1 9 8 9 年的4 月，i a b ( i n t e r n e ta r c h i t e c t u r eb o a r d ，i n t e r n e t 架构委 员会) 将s n m p 协议的标准级别提升为“推荐”级，这就意味着提倡在设备上实 现8 n m p ，这就有效地使s n m p 成为采用t c p i p 协议簇的互联网络上网络管理的 事实上的标准。到1 9 9 0 年5 月，s n m p 的三个主要部分已经被i a b 提升为正式标 准，此时s n m p 框架变成了网络管理的事实标准。i n t e r n e t 工程任务组( i e t f ) 发 布了s n m p 系列协议( 现在称之为s n m p v l ) 。9 0 年代的早期是s n m p 迅速发展的时 期，由于c m i s c m i p 自身的一些缺点，s n m p 逐渐放弃了将其作为最终目标的想 法，从而摆脱了过渡者的角色及与0 s i 模型相兼容的束缚并成为了事实上的网络 管理协议标准。 随着第一版s n m p 的完成及其地位的稳固，有人建议对s n m p 框架进行改善、 开始下一版的制作。1 9 9 2 年初，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e i n t e r n e t 工程任务组) 发出了征求下一版s n m p 建议的通知，j a m e sg a l v i n ，k e i t h s n m p 协议的安全性分析及应用研究 m cc l o g h r i e 和j a m e sd a v i n 于1 9 9 2 年7 月发布了3 个r f c ( r f c1 3 5 1 1 3 5 3 ) ， 描述了一个新的具备安全性的新框架，称为安全s n m p 。s n m p s e c 主要提供了数据 完整性检验、数据起源认证、数据保密性等安全机制。但是s n m p s e c 与s n m p v l 不兼容，因而应用不多，最终s n m p s e c 被接受为下一代s n m p 即s n m p v 2 的基础。 1 9 9 3 年，i e t f 发布了s n m p v 2 系列协议，具有以下特点： 支持分布式网络管理 扩展了数据类型 可以实现大量数据的同时传输，提高了效率和性能 丰富了故障处理能力 增加了集合处理功能 加强了数据定义语言 但是，s n m p v 2 并没有完全实现预期的目标，尤其是安全性能没有得到提高， 如：身份验证( 如用户初始接入时的身份验证、信息完整性的分析、重复操作的 预防) 、加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。 1 9 9 6 年发布的s n m p v 2 c 是s n m p v 2 的修改版本，有些功能增强了，但是安全性仍 没有得到改善，仍然是s n m p v l 的基于明文密钥的身份验证方式。 i e t fs n m p v 3 工作组于1 9 9 8 年元月提出了r f c 2 2 7 1 - 2 2 7 5 ，正式形成s n m p v 3 。 这一系列文件定义了包含s n n p v l 、s n m p v 2 所有功能在内的体系框架和包含验证 服务和加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访 问控制规则。 r f c2 2 7 1 定义的s n m p v 3 体系结构，体现了模块化的设计思想，主要有三个 模块：信息处理和控制模块、本地处理模块和用户安全模块。可以简单地实现功 能的增加和修改。其特点是： 适应性强：适用于多种操作环境，既可以管理最简单的网络，实现基本的管 理功能，又能够提供强大的网络管理功能，满足复杂网络的管理需求。 扩充性好：可以根据需要增加模块。 安全性好：具有多种安全处理模块。 s n m p 协议的安全性分析及应用研究 2 2s n m p 管理体系框架 在t c p i p 协议的体系结构下，s n m p 是作为应用层的协议来实现的。它只要 求使用无连接服务的数据传送服务( 采用u d p ) ，自身具有纠错能力，因此减少了 网络的负担。 s n m p 的体系结构主要由网络管理站( m a n a g e r ) 、受管对象( m a n a g e do b j e c t ) 、 描述受管对象状态的管理信息库( m i b ) 和管理协议( s n m p ) 组成。 网络管理进程 图2 1 s n x i p 参考模型 s n m p 管理模型具备典型的客户机服务器体系结构。网络管理站属于客户 端，同时也是主动的参与者。通常情况下，在n 3 1 s 平台上的用户运行网管应用程 序( m a n a g e r ) ，对想要管理的节点发起读或者写操作请求。而被管网络实体运行 服务器端( 通常称为a g e n t ，代理进程) ，代理将从n i i ；来的一般化信息请求转 换成对本地数据结构的等效操作，并证实该操作是否是有效且可行的，然后执行 该操作，在发送合适的响应，最后回到等待状态。而s4 m p 协议是n m s 和代理进 行网络管理信息互换的规则。为了保证这些过程能够翊行，s n m p 框架共有三个 主要标准：管理信息结构( s m i ) ，网络管理协议( s n m f ) 和管理信息库( m i b ) 。 s n m p 协议的安伞性分析敷府用研究 2 3 管理信息结构( s m i ) 管理信息结构是管理信息库中的对象定义和编码的基础。它定义了s n m p 框 架所用信息的组织、组成和表示，还描述了管理对象以及在n m s 和代理之间传送 的管理信息是如何定义的。 s m i 指明了一组规则用来定义s n m p 使用的管理对象。按照s m i 定义的管理 对象工具有三个属性：名字、语法和属性。 名字即为对象标识符，对象名字来源于i s o 和i t u 管理的对象标识符名字空 间。该名字空间表示的所有的对象标识符形成一个层次化结构模型。这一层次化 架构可以用一棵全局树来表示，该树用一个没有名字的根节点开始，用挂在根上 的节点代表已命名的各种对象。 图2 2 对象标识符的分层结构及m i b 中的对象分类 l i l i i 在这个分层结构中，一个对象的标识符是由根出发到对象所在节点的途中 所经历的各个节点标号系列集合。例如，i n t e r n e t 的对象标识符是1 3 6 1 。 在i n t e r n e t 节点下的m g m t ( 管理) 节点专门为管理信息库分配了一个子树 m i b ( 1 ) ，所有的m i b 变量都在这个m i b 节点下，因此m i b 变量的名称( 对象标识 符) 均以i s o o r g d o d i n t e r n e t m g m t m i b 开头，数字表示是1 3 6 1 2 1 。 s m i 规定必须使用抽象语法记法1 ( a s n 1 ) 来定义管理对象的抽象数据结 ! 坚坚! 垫鲨竺室全壁坌堑星生旦堕塑 构。a s n 1 提供了一种表示在互联网上传输的数据的标准方法，它是一种高级 的数据类型定义语言。a s n 1 不但是形式化的文法，同时还是一个抽象的记法， 即a s n 1 在定义对象时不必考虑机器之间的不兼容性。s n m p 使用a s n 1 中的 描述块( m o d u l e ) 来组织a s n 1 对象。图2 3 给出了一个描述块的大致组成。 definitio n s end 2 4 管理信息库( m m ) 图2 3a n s 1 描述块语法 被管理的设备中必须保存管理系统可以读取的控制和状态信息。管理信息库 m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 定义了被管理设备必须保存的数据项和允 许对每个数据项进行的操作。s m i 给定了管理对象定义的一般框架，m i b 则为每 个对象说明了具体的对象实例，并为每一个事例绑定了一个值，因此m i b 经常被 当作是管理对象的虚拟数据库。 第一版m i b 库m i b i 将管理对象分为8 类，如襄2 1 所示。 m i b 类别包含的相关信息 s y s t e m被管网络设备的操作系统描述信息 i n t e r f a c e各设备与网络连接的最低层协议 a d d r e s s - t r a n si p 地址转换 i p用于i p 层管理的网络协议组 i c m pi n t e r n e t 控制报文协议组 t c p传输控制组 u d p 用户数据报协议组 e g p 外部网关协议组 表2 1 m i b 中对象的分类 s n m p 协议的安全性分析及应用研究 第二版m i b 库m i b i i 新增了两个组5 7 个对象。它们分别是传输组 ( t r a n s m i s s i o ng r o u p ) ； 1 s n m p 组( s n m pg r o u p ) 图2 4 说明了m i b i i 在t c p i p 协议栈模型中的分布。 图2 4m i b i i 的对象组 m i b 中存在着两种管理对象：标量对象和表格对象。标量对象只定义了一个 对象实例。如i p l n r e c e i v e s 就是一个标量对象。当这个实例出现在一个发给网 络管理代理的报文中时，i p l n r e c e i v e s 的数字表示为：1 3 6 1 2 1 4 3 0 。对 于表格对象，它定义了多个相关的对象实例集。我们考虑一个m i b 变量 i p r o u t e t a b l e ，它含有这个设备的路由表。变量的表示为： i s o o r g d o d i n t e r n e t m g m t m i b i p 。i p r o u t e t a b l e ，数字表示为： 1 3 6 1 2 1 4 2 1 。对于表格对象，我们可以把它看为一维数组，数组的每个元 素都由一个结构( 记录) 组成。在本例中，i p r o u t e t a b l e 就是结构i p r o u t e e n t r y 的一维数组，并以i p r o u t e e n t r y 语法中所指定的i n d e x 作为数组访问的索引。 在i p r o u t e e n t r y 中，i n d e x 所指的是i p r o u t e d e s t 。因此，为了指明地址 s n m p 协议的安全性分析及应用研究 2 0 2 1 2 0 8 6 7 l 的下一站路由( n e x th o p ) ，我们可以引用这样的实例： i s o o r g d o d i n t e r n e t m g m t m i b i p i p r o u t e t a b e i p r o u t e e n t r y i p r o u t e n e x t h o p 2 0 2 1 2 0 8 6 7 t 。相应的数字表示为：1 3 6 1 2 1 4 2 1 1 7 2 0 2 1 2 0 8 6 7 1 。 2 5 简单网络管理协议( s n m p ) 网络管理协议是管理者和代理之间通信的标准，属于t c p i p 模型中的应用 层，它提供了一种访问有任何厂商生产的任何网络设备的一致性方式。$ n m p 网 络管理协议使网络管理站能够对每个代理进程的m i b 中的管理对象进行读、写操 作，并提供陷阱机制( t r a p ) 使代理进程能够根据某些预设的条件主动发送报警 报文。 2 5 1s n m p 报文传输方式 s n m p 报文主要通过u d p ( 用户数据报协议) 进行传输。u d p 是个简单的面 向数据报的运输层协议，所提供的服务是无连接的，由高层应用协议负责保证报 文的可靠传输，即该传输协议是不可靠的。这与t c p 不同。它不提供运输层确认， 或者说它没有能力检测并重传丢失的数据报。 u d p 首部如图2 ：5 所示，由四个部分组成。 7 r 峤 i 图2 5 u d p 首部格式 既然t c p 和u d p 都提供传输服务，为什么使用u d p 而不是用t c p 呢? t c p 是 比较复杂的协议，需要消耗较大的内存和c p u 资源。而u d p 易于运行和构造。厂 商可以在象中继器、调制解调器这样的设备中构造i p 和u d p 协议的简单版本。 s n m p 搏议的安垒挂分析及应用研究 这样所需的传输层软件比较小，很容易打包迸只读内存r o m 中。而鼠网络管理的 通信主要是请求响应信息交换方式，u d p 对这种方式也很适合。 实际土，辫子s n m p 可扩楚程戆嚣瓠瞧霹激整矮茭镳运输瑟务交换s n m p 鬣 息，比如t c p 和i p x 上，但u d p 仍然是推荐使用的运输服务。 在u d p 的成用中，用端口号来标识躁的端和源端。端口号有两种，公认端口 号( w e l l - k n o w n p o r t s ) 鼗蠡定义豹蘧鞠号。管理遴穗嚣要逶绩霹，它放霉惩靛 端口号池得到一个端口号，作为它发出的请求的源端阴号，并把信息传送到s n m p 代理的公认的u d p 端口号1 6 1 ，代理从u d p 端口号1 6 1 传回响应。而t r a p p d u 粼在u d p 璞霜弩1 6 2 接较。 2 5 2s n m p 报文格式 一个s n m p 撮文由三个主簧部分组成：个协议版本( v e r s i o n ) 字段，一个s n m p 拭同体( c o m m u n i t y ) 标识符，和一个数搬区。数据区分成若干个协议数据单元 p d u ( p r o t o c o ld a t au n i t ) ，每个p d u 氛摇一个请求( 由管理系统发送) 或一个 嗡应( 由管瑷代理发送) 。 图2 6 燕封装成u d p 数据报的s n m p 报文格式。 在图中，我们仅仅对i p 稠u d p 豹罄部长度进行了檬注。这是囊乎：s n m p 投 文的编码采用了a s n 1 和b e r ，这就使得报文的长发取决予变薰的类型和值而 不是定长。 i 一l p 数撂擞一 卜一s n m e 鞭一 2 0 字节8 字繁 图2 6 封装成u d p 数据报的s n m p 报文格式 版本字段怒为了s n m p 的兼容性而设麓的。按照r f c l l 5 7 的规定，该字段的 壤蹩通过s k 黪舨本号减去1 得翻豹，嚣然s n m p v l 豹激零字袭取壤梵0 。 s n m p 协议的安全性分析及应用研究 共同体名字字段是一个字符串，其中包含了鉴别过程中用到的共同体名字， 采用明文传播。代理进程持有合法共同体名字的清单，将收到报文中的共同体名 字字符串与清单中名字进行比较，若找到匹配的名字，则报文进行处理。若没有 匹配的名字，则报文被丢弃。 s n m p v l 规定，协议数据报单元必须是以下五种类型之一： g e t r e q u e s t p d u g e t n e x t r e a u e s t p d u g e t r e s p o n s e p d u s e t r e q u e s t p d u t r a p p d u s n m p v l 的a s n 1 语法格式定义： - - t o p - l e v e lm e s s a g e m e s s a g e ：= s e q u e n c e v e r s i o n - 一v e r s i o n - 1f o rr f c l l 5 7 i n t e g e r v e r s i o n - 1 ( 0 ) ) ， c o m m u n i t y o c t e ts t r i n g d a t a a n y ) - p m t o c o ld a t au n i t s p d u s： = c h o i c e g e t - r e q u e s t g e t n e x t r e q u e s t g e t - r e p o n s e s e t - r e q u e s t t r a p - - c o m m u n i t y n a m e - e g p d u si ft r i v i a l - a u t h e n t i c a t i o ni sb e i n gu s e d g e t - r e q u e s t p d u ， g e t - n e x t - r e q u e s t - p d u g e t - r e p o n s e p d u ， s e t - r e q u e s t - p d u ， t r a p p d u 在s n m p 中，g e t r e q u e s t 、s e t r e q u e s t 、g e t r e s p o n s e 齐l j g e t n e x t r e q u e s t 操作具有相同的p d u 格式，图2 7 给出了4 个p d u 的公共结构。 p d u 标签：指明p d u 类型( g e t r e q u e s t 、g e t n e x t r e q u e s t 、s e t r e q u e s t 、t r a p ) ： p d u 长度：p d u 字段长； s n m p 协议的安全性分析及应用研究 p d u 字段：包含4 个字段： 请求标识( r e q u e s ti d ) 字段：以整数表示网络管理站发给代理进程的 请求编号，是必备字段。 差错状态( e r r o rs t a t u s ) 字段：只在代理进程发送g e t r e s p o n s e p d u 时使用，指出上个命令的执行情况，若该字段不为0 ，则表示发生差错。 状态名称状态码状态名称状态码 n o e r r o r0b a d v a l u e3 t o o b i g 1 r e a d o n l y 4 n 0 s u c h n a m e2 g e n e r r o r 5 表2 2 差错状态字段 差错索引( e r r o ri n d e x ) 字段：错误索引号，与特定对象实例的错误相 关，只有响应操作才设置该字段，其他操作将该字段设为0 ； 变量绑定列表( v a r i b a b l eb i n d i n gl i s t ) ：由报文携带的命令中的要求 进行操作的管理对象实例列表。 图2 7 公共p d u 的格式 t r a p p d u 结构与前面4 种类型的p d u 不同，它有6 个必不可少的字段： e n t e r p r i s e ：企业字段，含有产生陷阱的网络设备的对象标识 a g e n ta d d r e s s ：代理进程地址字段，存放代理进程的i p 地址 g e n e r i ct r a p ：一般陷阱字段，表示s n m p 已经定义的标准陷阱 s p e c i f i ct r a p ：特定字段，表示为特定企业设定的陷阱编码 t i m es t a m p ：时间戳字段，包含陷阱产生的时间 v a r i b l eb i n d i n gl i s t ：变量绑定字段，列出该p d u 所处理的管理对象 s n m p 协议的安全性分析及应用研究 的标识符 p d u 标签p d u 长度p d u 字段值 l e n t e r p r i s ea g e n ta d d r e s s g e n e t i c t r a ps p e c i f i ct r a p t i m e s t a m p v a r b i n d l i s l 2 5 3s n m p 协议工作过程 图2 8t r a p p d u 的格式 s n m p 管理工作时主要采用轮询方式，即通过管理站轮询代理，设置一些关键 字和监视一些网络事件来达到网络管理的目的。管理站周期地通过发送请求报文 来轮询各个代理，获取各个m i b 中的管理信息，如有关t c p i p 的统计数据、地 址表信息( 地址转换表、网络接口表、i p 地址表、路由表) 等。同时代理在特殊 情况下可以主动向管理站发送t r a p 报文，以报告特殊、异常情况。 s n m p 主要采用“读一写”方式，从概念上讲，s n m p 只有两个命令，允许管理 系统读取一个数据项，或把值存到一个数据项。而其它更为具体的操作，则可以 通过读写一个具体的m i b 变量来实现。从这个意义上说，s n m p 是一种简单的请 求一响应协议。 s n m p v l 中的五种