摘要:本技术提供了一种网络资产扫描发现方法,提供控制扫描数据包长度方法,解决特殊安全设备未能发现的问题。同时提供控制扫描频率和周期方法,减少广播包数量,解决工控设备宕机问题。本方法优点在于:能控制发包频率和大小以及周期来控制扫描数据包数量和长度;能控制发包频率和周期来控制扫描广播包数量。
一、现状及缺陷
随着工业网络所接入的设备越来越多,工业企业需对接入网络的各种设备进行自动扫描发现,实现资产管理。然而,由于接入工业网络的设备种类丰富和不同,以及工控设备支持网络的特性存在差异。当工业企业管理这些资产设备时,应用扫描技术不加控制进行探测,有可能存在以下问题:1、工业网络内某些特殊安全设备只回应特定大小的网络数据包,则存在未能被扫描识别管理;2、工业网络内部存在的一些特殊工控设备对网络数据包处理能力较弱,在网络中断较多时容易引起宕机,造成生产事故,进而严重影响企业的生产经营。
二、技术方案的详细阐述
总体概述:工业企业管理工业网络设备资产,一般采用自动扫描探测技术,方便工业网络设备增减时,自动感知管理控制相应的资产。
在扫描探测工业网络设备资产,一般分为二层网络扫描和三层网络扫描。二层网络,即工业设备与扫描设备属同一网络。三层网络,即工业设备与扫描设备需要通过路由才能到达通讯。扫描探测,即对需要探测的网段,发送数据包等待设备回应,比如回应则探测发现到相应生产设备资产的IP和MAC信息。
示意图
1、二层网络通过发送arp广播包发现资产,控制发包频率和扫描周期来控制广播包数量和频率;使工业网络内部存在的一些特殊工控设备对网络数据包处理能力较弱时,减少其网络中断频繁处理,从而使其避免宕机,达到自动扫描识别资产的同时,不影响到企业经营生产。
2、三层网络通过发送icmp包发现资产,由于三层网段设备回包并不能获取到相应的MAC信息,则需通过snmp获取相应交换机的ip/mac转发表来获取资产详细信息,并控制发包频率、大小、扫描周期来控制扫描数据包数量和长度。对特殊安全设备只回应特定大小的网络数据包,可以调整扫描数据长度符合安全设备的要求让其回应,从而达到全面发现工业网络所有设备,使企业更全面管理网络资产。
综上,企业网络扫描探测,只需根据自身工业网络存在设备资产的情况,调整发包频率、周期、长度,以及设置所要扫描资产所在的网段,此技术可自动配置二层网段或三层网段,从而应用不同的网络扫描技术安全可靠地发现所设置网段的所有资产进行全面管理。
l 本方法提供的操作及实现流程图
本方法提供的操作为设置资产所在网段,包括调整扫描频率、周期、长度,则可实现安全可靠扫描探测,全面发现管理所有资产。
详细的流程图如下:
流程图说明:
1. 指定资产所在的扫描网段,例如:192.168.1.0/24。
2. 对扫描网段,设置安全可靠的扫描频率、周期、发送数据包长度。
3. 判断扫描周期是否到达,是则发包接口IP与扫描网段自动匹配识别出二层网段或三层网段;否则等待时间到达。
4. 根据所设置的频率,控制向整个扫描网段发送数据包时间间隔,二层网段控制发送arp广播间隔;三层网段控制发送icmp包间隔和长度。
5. 等待所在网络资产的回应包,从而确定资产存在;二层网段,则可直接获取到资产的IP和MAC信息;三层网段,由于回应包经过路,则只能获取资产的IP。
6. 三层网段的资产,再通过snmp获取网络交换机里的ip/mac转发表,通过资产IP可查找补全资产的MAC信息。
7. 把获取到网段的在线资产信息,发送给资产管理模块,以便企业管理。
8. 回到第3步,周期循环判断扫描时间是否到达。
三、关键技术
1、提供设置扫描频率、周期及发包长度。
根据不同网络的需求,设置扫描这些参数据,控制发包数据及长度,安全可靠扫描出资产。
2、应用snmp获取交换机ip/mac转发表
应用snmp获取交换机ip/mac转发表,通过扫描资产IP查找交换机的转发表,进一步补充扫描资产的信息,从而更好的管理资产。
3、扫描网段自动识别
根据扫描网段与发包接口进行匹配,从而识别扫描网段是二层网段或三层网段;二层网段,应用发送arp广播包进行探测;三层网段,应用发送icmp包进行探测。
