一、基本说明:全网终端识别主要分为2个:
13.0.1~13.0.7版本:支持终端扫描及指纹识别(需打优化包支持)
13.0.15及以后版本:支持终端识别、终端扫描功能及自定义终端类型
终端扫描:
主动的向被鉴别设备发送不同协议的不同数据包,并获取到自己所期望的数据信息(设备型号、操作系统、厂商、mac地址),主动识别所用到的技术手段主要有:
1. nmap:开源的网络嗅探工具:一个核心的功能是对设备进行操作系统的嗅探,主要原理是根据不同设备TCP/IP协议栈的差异,与一个已知的设备指纹库匹配,得出具体的操作系统信息;通过本机的arp信息获取设备的mac地址,并根据IEEE标准规范,通过mac匹配对应的厂商
2. Smb协议: 微软制定的一个通信协议,主要针对MFST PC,通过SMB协议,可以获取主机的主机名、操作系统、工作组等信息(一般pc smb协议默认开启),通过smb协议获取的信息准确且具体
3. Snmp协议:snmp(简单网络管理协议),是一个专门设计在IP网络管理网络节点,在开启snmp服务的基础上,能够通过snmp协议来获取设备的一些信息:路由表、arp表、机器类型、系统描述、mac地址等
4. Onvif协议: 摄像头的标准通信协议,通过Onvif 的标准接口,可以获取摄像头设备的信息:厂商、设备型号、mac信息
注意:开启终端扫描后会不定时主动扫描填写的网段,会导致内网流量突增及设备负载高,该情况需要客户将网段填写精细并建议在扫描完成后关闭终端扫描功能
指纹识别(13.0.1~13.0.7版本打优化包):协议栈指纹识别是一项强大的技术,能够以很高的概率迅速确定操作系统的版本。虽然TCP/IP协议栈的定义已经成为一项标准,但是各个厂家,如微软和RedHat等在编写自己的TCP/IP协议栈时,却做出了不同的解释。这些解释因具有独一无二的特性,故被称为“指纹”。通过这些细微的差别,可以准确定位操作系统的版本。具体可以参考:百度百科协议栈指纹 具体优化包联系400处理
终端识别:
合入13.0.7之前版本的tcp指纹,并在这个基础上增加了arp dhcp等指纹库,开启后才能生效,不开启的情况下还是使用上网行为管理版本的终端识别功能
二、排查:
1、开启了终端识别功能情况下,需要检查用户流量是否经过设备
2、开启了终端扫描功能则需要检查PC和AC之间是否能正常通讯及PC服务是否开启,端口是否能通
3、检查是否自定义了错误的终端类型
