(NCRE网络技术)网络管理技术-知识点

欢迎您阅读此系列文章，文章参考自《全国计算机等级考试三级教程.网络技术》。内容为NCRE三级网络技术主要知识点以及常考点，此知识点总结参照《三级网络技术考试大纲(2018年版)》。阅读此系列文章可以帮助您快速、轻松考取相应证书！祝您阅读愉快,获取知识点电子文档地址：https://gitee.com/yjs0612/ncre 。整理不易，希望可以帮助到你！

欢迎您阅读此系列文章，文章参考自《全国计算机等级考试三级教程.网络技术》。内容为NCRE三级网络技术主要知识点以及常考点，此知识点总结参照《三级网络技术考试大纲(2018年版)》。阅读此系列文章可以帮助您快速、轻松考取相应证书！祝您阅读愉快,获取知识点电子文档地址：https://gitee.com/yjs0612/ncre 点击文章下方阅读原文即可跳转。整理不易，希望可以帮助到你！

前言

教材第十一章《网络管理技术》相关内容在NCRE三级网络技术考试中，出现的考题相对固定，一般为4道选择题和综合题部分小题，试题分布在37~40题，占用分值6—8分。在这里只针对选择题部分进行总结。往年考核要点有：Cisco路由器上的SNMP设置、 网络攻击、网络故障、漏洞扫描技术和工具、Windows 2003网络管理命令等。

SNMP基础与配置（Cisco设备）

• SNMP管理模型是 Internet组织用来管理TCP/IP互联网和以太网的。它有三个基本组成部分:管理站、代理和MIB,其管理模型是一个 Manager/Agent模型。Manager通过SNMP定义的PDU向Agent 发出请求,而 Agent将得到的MIB值通过SNMP协议传给Manager。

• 与OSI的定义的不同之处是,SNMP模型的定义比较简单,并不在每层都定义有管理实体,只在TCP/IP协议层上进行定义。

• SNMP支持下列操作：

  • Get操作：当管理站需要查询时，就向某个代理发出包含有团体名和GetRequestPDU的报文。

  • Set操作：当管理站需要修改被管理设备上MIB库的某个数据时，就向某个代理发出含有团体名和SetRequestPDU的报文。

  • Notifications操作：

    • Trap：出现自陷情况时，代理会向管理站（不是管理站向代理）发送包含有团体名和TrapPDU的报文。

    • Inform：管理站收到Inform后需要向发送者回复一条确认信息。

  • get操作仅仅是获取，只需要read权限，所以read-only和read-write模式均可使用。

  • set操作是设置，需要write权限，所以只能在read-write模式下使用。

• SNMP管理模型中，通过SNMP定义的PDU向Agent发出请求。

• SNMP基于无连接的UDP协议。

• Manager通过SNMP定义的PDU向Agent发出请求。

• 当管理站需要查询时，就向某个代理发出包含团体字和GetRequestPDU的报文(而不是GetResponsePDU)。

• 当出现自陷情况时，代理会向管理站发出包含团体字和TrapPDU的报文。

• 向管理站发出—条lnform通知而未收到确认消息时，会再次发送。

• 几乎所有网络管理软件都支持SNMP协议（可以认为全都支持）Solarwind、Netview、MRTG，但是Wireshark是嗅探软件。

• 指定当接口断开或连接时要想管理站发出通知：snmp trap link-status

• 在Cisco路由器全局配置模式下，创建或修改SNMP视阈的命令是snmp-server trap link-status

• 在Cisco路由器上进行SNMP设置时，如果设置路由器上的SNMP代理具有发出通知的功能，可使用的配置命令是snmp-server enable traps

• SNMP和CMIP的不同点

  ①SNMP有广泛的适用性，且在用于小规模设备时成本低、效率高，而CMIP更适用于大型网络。

  ②SNMP主要基于轮训方式获得信息，CMIP主要采用报告方式。

  ③SNMP基于UDP,CMIP使用面向连接的传输。

  ④CMIP采用面向对象的信息建模方式，SNMP用简单的变量表示管理对象。

• SNMP相关配置命令格式如下：
  设置接收通知的管理站：

  snmp-server host 主机名或IP地址 [traps或informs] [version1或2c] 团体名[udp端口号] 
  

  其中traps指自陷（默认），informs指通知。
  Version 1或2c指用哪个版本发送，默认1
  管理站使用UDP端口（整个SNMP都基于UDP协议而非TCP 默认162）

• 在Cisco路由器全局配置模式下，创建或修改SNMP视阈的命令是snmp-server view.

ICMP

• ICMP工作在网络层，是一种管理协议，用于在IP主机、路由器之间传递控制消息和差错报告。

• 

• 常用ICMP报文类型主要有0 Echo应答、3目标不可到达、4源抑制、5重定向、8Echo请求、9路由器通告、11超时以及12参数失灵等

• 当某个源结点发出一个IP数据包,但是目标主机或路由器的缓存已满,只能将数据包丢弃。每丢弃一个包的同时,ICMP便向源结点发出一个“源抑制”的ICMP报文,而源结点接到这个信息后会降低发送速度。

• ICMP消息被封装在IP数据包内(不是TCP数据包内)，通过IP包传送的ICMP信息主要是设计错误操作的报告和会送给源节点的关于IP数据包处理的消息。

• 数据包中指定的目的端口在目的节点无效时，源节点会收到一个"目标不可达"报文。

• 收到"Echo请求"报文的目的节点必须向源节点发出"Echo应答"报文。

• 当IP包头中TTL值减为0时，路由器发出的ICMP报文类型为超时。

  每个IP数据包的头部有一个“生存期”(TTL)字段，该字段有8个比特，取值范围为0~255.当IP数据包在网络中传输时，每经过一个路由器(称为一跳，Hop)，该字段的值更减少1。一个IP数据包从源节点出发时，其TTL值被设定一个初始值(比如32)，经过一跳一跳的传输，如果这个IP数据包的TTL降低到零，路由器就会丢弃此包。此时，该路由器上的ICMP便会发出一个“超时”的ICMP报文。

Windows网络管理命令

• ipconfig命令：显示所有当前的TCP/IP网络配置

• Hostname命令：显示当前主机的名称

• ARP命令：显示和修改ARP表项

• NBTSTAT：显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及连接信息。

• NET命令：管理网络环境、服务、用户、登陆等本地信息

  • Net View：显示域列表、计算机列表或指定计算机的共享资源列表。
  • Net User：添加或更改用户帐号或显示用户帐号信息。
  • Net Use：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息
  • Net Start：启动服务，或显示已启动服务的列表。
  • Net Pause：暂停正在运行的服务。
  • Net Continue：重新激活挂起的服务。
  • Net Stop：停止 Windows NT/2000/2003 网络服务。
  • Net Statistics：显示本地工作站或服务器服务的统计记录。
  • Net Share：创建、删除或显示共享资源。
  • Net Session：列出或断开本地计算机和与之连接的客户端的会话。
  • Net Config：显示当前运行的可配置服务，或显示并更改某项服务的设置。

• NETSTAT命令：显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。

  • -a 显示所有连接和监听端口。
  • -e 显示以太网统计信息。
  • -p 显示指定的协议的连接。
  • -r 显示路由表。
  • -s 显示按协议统计信息。

• Ping命令：通过发送ICMP报文并监听回应报文，来检查与远程或本地计算机的连接。

  • -t ： 检查与指定的计算机的连接，直到中断本次操作。
  • -a ：将IP地址解析为计算机名。

• Tracert 命令：通过发送包含不同TTL的ICMP报文并监听回应报文，来探测到达目的计算机的路径。

• Pathping命令：结合了ping和tracert的功能，将报文发送到所经过地所有路由器，并根据每跳返回的报文进行统计。

  可以用于检测本机配置的域名服务器是否工作正常。

• Route命令：显示或修改本地IP路由表的条目。

  • -f ：清除路由表中所有的网关条目。
  • -p： 与 add 命令一起使用时使路由具有永久性。 将使增加的路由表象永久有效，即使重新启动系统。

• ipconfig /release–释放当前IP地址
  ipconfig /renew–申请IP地址或地址续约

• 常考命令：

  • nbtstat -a–使用远程计算机的名称列出名称表
    ipconfig /all–显示当前TCP/IP的所有配置
    netstat -a–显示所有连接（TCP连接也属于连接）和侦听端口
    net view–显示域列表、计算机列表或指定计算机上共享资源的列表
    事实上，nslookup、ping、tracert、pathping命令均可以实现测试DNS的功能，只是nslookup是专门用于测试DNS，其他三条命令的测试是附带功能。
  • Pathping命令是结合tracert和ping命令，将报文发送到沿途每个路由器，并根据报文的回显信息进行统计。
  • nbtstat -r–列出通过广播和WINS解析的名称
    netstat -r–显示路由表内容
    route -f–清空路由表

• Windows环境下可以用来修改主机默认网关设置的命令是route.

网络监听工具

• 常见的网络数据监听工具（嗅探器软件）有Sniffer Pro、Ethereal、TCPdump等(不包括NS-2)。Wireshark也是一款被广泛使用的嗅探软件。MRTG是一款流量监控软件。

• MBSA是漏洞扫描工具，不是网络嗅探软件。

• X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描。

• X-Scanner是一款漏洞扫描工具，不是网络嗅探软件。

• X-Scanne运行在Windows平台下，基于网络的漏洞扫描器主要扫描设定网络内的服务器、路由器、交换机和防火墙等设备的安全漏洞。

  X-Scanner可以对路由器、交换机、防火墙等设备进行安全漏洞扫描

  x-Scanner运行在Windows平台下，而路由器、交换机等并不采用Windows系统。

• 常用的漏洞扫描工具有ISS、X-scanner、MBSA，WSUS（Microsoft Windows Server Update Services）是用来实时发布微软公司操作系统软件更新程序的服务系统。

故障检测与分析

• 计算机是通过IP地址对其他主机或服务器进行访问的。如果没有获取IP地址，则需要提前通过DNS解析获取对方的IP地址。

• 使用服务器的IP可以正常访问可以得出结论，本机与目的服务器之间的通信一切正常。

• 仅使用域名时无法访问，可以确定是DNS服务器有问题。

• 网关一般指路由器，路由器正常说明能够与外网正常通信。

网络攻击与漏洞查找

• 漏洞扫描器的主要评价指标包括:速度、能够发现的漏洞数量、是否支持可定制的攻击方法、报告、更新周期。

• 是否支持可定制的攻击方法是漏洞扫描器的主要性能指标之一。

• 系统扫描器(System Scanner)是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。（不是ISS的Internet Scanner）

• 主动扫描可能会影响网络系统的正常运行。

• 公共漏洞和暴露（CVE）是个行业标准，它为每个漏洞和暴露确定了唯一的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。

• 如果在一个漏洞报告中指明的一个漏洞有CVE名称，就可以快速地在任何其他CVE兼容的数据库中找到相应的修补程序。

• 常见的攻击方式有：

  • Smurf攻击：攻击者冒充受害主机的IP地址，向一个大的网络发送echo request的定向广播包，此网络的许多主机都做出回应，受害主机会收到大量的echo replyj消息。
  • SYN Flooding攻击：攻击者使用无效的IP地址，利用TCP连接的三次握手过程，使得受害主机处于开放会话的请求之中，直至连接超时。在此期间，受害主机将会连续接受这种会话请求，最终因耗尽资源而停止响应。
  • DoS通过发送大量合法的请求来消耗和占用过多的服务资源，使网络服务不能响应正常的请求。
  • DDoS分布式拒绝服务攻击:攻击者攻破了多个系统。并利用这些系统去集中攻击其他目标。成千上万的主机发送大量的请求，受害设备因为无法处理而拒绝服务。
  • Ping of Death攻击:通过构造出重缓冲区大小异常的ICMP包进行攻击。
  • Land攻击:向某个设备发送数据包，并将数据包的源IP和目的IP都设置成攻击目标的地址。
  • 缓冲区溢出漏洞攻击∶缓冲区溢出可以造成程序运行失败、系统崩溃等后果，可利用该漏洞得到系统控制权，进而进行各种非法操作。
  • WannaCy:电脑软件勒索病毒。

• 通过伪造某台主机的IP地址窃取特权的攻击方式属于协议欺骗攻击。

  协议欺骗攻击方式有以下几种：

  (1)IP欺骗攻击。(2) ARP欺骗攻击。(3) DNS欺骗攻击。(4) 源路由欺骗攻击。

  其中IP欺骗攻击是通过伪造某台主机的IP地址骗取特权，进而进行攻击的技术。

• DNS欺骗攻击攻击者采用某种手段，使用户访问某网站时获得一个其他网站的IP地址，从而将用户的访问引导到其他网站。

• SYN Flooding攻击、DDOS攻击和Smurf攻击都属于拒绝服务攻击，可以被基于网络的入侵防护系统阻断。

• 应用入侵防护系统能够防止诸多入侵，其中包括Cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配以及其他已知漏洞等。

• SQL注入攻击属于利用主机应用系统的漏洞而进行的攻击类型。

• 基于网络的入侵防护系统和基于主机的入侵防御系统都难于阻断的有跨站脚本攻击和SQL攻击、Cookie篡改攻击。

• 基于网络的入侵防护系统无法阻断的是Cookie篡改攻击、DNS欺骗攻击、SQL注入。

补充知识点

• Cisco公司私有定义的管理对象其标识符是由1.3.6.1.4.1.9.开头的。

• MIB-2库中计数器从0开始逐步增加，不能减少，一直增加到上限后再回到0，然后继续增加。计量器与计数器的不同之处在于它的值可以增加也可以减少，而且增加到最大值以后不归0，而是不再增加（封顶），但是可以降下来。

• 域用户信息存储在域控制器的活动目录中，用户登录后可以根据权限访问整个域中的资源。

• 关于Cisco路由器中Netflow的基本配置，主要包括接口配置、Netflow输出目标配置、输出版本配置以及查看Netflow的配置信息和查看Netfow采集到的信息。

  • ①配置Netflow输出目标，即采集服务器的IP地址和监听端口
    Router (config)#ip flow-export destination 202.113.79.25 9996
  • ②配置输出版本
    Router (config)#ip flow-export version 5
  • ③查看Netflow的配置信息
    Router (config)#show ip flow export
  • ④查看Netflow采集到的信息
    Router (config)#show ip cache flow

微信关注