馬之力 智勇 張馴 閆曉斌 黨倩 袁暉 朱小琴

【 摘 要 】 近年來(lái)，網(wǎng)絡(luò)攻擊手段愈加豐富、隱蔽性更強(qiáng)，入侵檢測(cè)、態(tài)勢(shì)感知等安全防護(hù)技術(shù)雖能發(fā)揮重要作用，但針對(duì)有些攻擊方式則難以監(jiān)測(cè)其攻擊行為，在排查診斷攻擊時(shí)也收效有限。論文研究提出通過(guò)捕獲數(shù)據(jù)包并對(duì)其進(jìn)行分析，將網(wǎng)絡(luò)從原來(lái)封閉的黑盒子，變?yōu)榭芍庇^展現(xiàn)的詳細(xì)數(shù)據(jù)，進(jìn)而診斷定位網(wǎng)絡(luò)攻擊的方法，并列舉了相應(yīng)的實(shí)例。該方法能夠快速診斷定位網(wǎng)絡(luò)攻擊源及攻擊手段，并且解決常規(guī)分析手段難以分析的疑難攻擊問(wèn)題。

【 關(guān)鍵詞 】 數(shù)據(jù)包分析；數(shù)據(jù)包捕獲；網(wǎng)絡(luò)攻擊；攻擊診斷

【 Abstract 】 Recent years， the means of network attacks are increasingly rich， and more concealed. Meanwhile， Intrusion detection， situational awareness and other security technology can play an important role， but for some attacks it is difficult to monitor its aggressive behavior， and is also limited success when troubleshooting diagnosis attack. The paper proposes a method for the diagnosis of attacks targeting network by capturing and analyzing data packets. So， the detailed data of network can be visually show. Additionally， the paper lists the corresponding instance. This method can quickly diagnose and locate the source and means of network attacks，and solve difficult problems of the conventional methods difficult to analyze.

【 Keywords 】 packet analysis； packet capture； network attack； attack the diagnosis

1 引言

隨著企業(yè)信息化建設(shè)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模愈加龐大，應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等軟件產(chǎn)品和主機(jī)、網(wǎng)絡(luò)、安全等硬件設(shè)備更為復(fù)雜，惡意攻擊和安全威脅的排查難度難度明顯增大[1]。通常，網(wǎng)絡(luò)管理者監(jiān)測(cè)的重點(diǎn)在于網(wǎng)絡(luò)是否可用、負(fù)載是否正常、關(guān)鍵應(yīng)用是否訪問(wèn)正常。但當(dāng)前很多網(wǎng)絡(luò)攻擊可在不影響應(yīng)用或影響不大的的情況下獲取內(nèi)部數(shù)據(jù)信息，造成敏感信息泄密。例如，SQL注入攻擊。另外，有些攻擊方式隱蔽性很強(qiáng)，入侵檢測(cè)系統(tǒng)等常規(guī)安全設(shè)備很難監(jiān)測(cè)其攻擊行為[1] [2]。

針對(duì)以上問(wèn)題，本文研究提出通過(guò)捕獲數(shù)據(jù)包并對(duì)其進(jìn)行分析，進(jìn)而診斷定位網(wǎng)絡(luò)攻擊的方法。

2 數(shù)據(jù)包捕獲

數(shù)據(jù)包的捕獲是對(duì)其進(jìn)行分析的基礎(chǔ)，根據(jù)數(shù)據(jù)包傳輸方式的不同分共享式和交換式兩大類(lèi)。共享式捕獲即：將數(shù)據(jù)包捕獲程序接入到集線器（Hub），則任何一個(gè)端口傳輸?shù)臄?shù)據(jù)都可被捕獲，無(wú)需對(duì)集線器進(jìn)行任何設(shè)置[3]。交換式捕獲涉及多種方法。

（1）端口鏡像：把交換機(jī)某個(gè)或多個(gè)端口（Vlan）的數(shù)據(jù)鏡像到其他端口的方法，即通過(guò)對(duì)交換機(jī)進(jìn)行配置，實(shí)現(xiàn)將某個(gè)端口的數(shù)據(jù)包拷貝一份到其他端口上。

（2）測(cè)試入口點(diǎn)（Test Access Point，TAP）捕獲：通過(guò)分路器、分光器直接獲取網(wǎng)絡(luò)鏈路上的物理信號(hào)而獲取流量，可復(fù)制到多個(gè)端口、匯聚到個(gè)別端口，也可根據(jù)一定規(guī)則過(guò)濾出需要的數(shù)據(jù)。

（3）MAC洪泛捕獲：通過(guò)向交換機(jī)發(fā)送大量Mac地址，造成交換機(jī)內(nèi)容尋址存儲(chǔ)器（Content Addressable Memory， CAM）表溢出，此時(shí)交換機(jī)會(huì)將數(shù)據(jù)包在廣播域中泛洪，從而捕獲數(shù)據(jù)包。該方法會(huì)造成網(wǎng)絡(luò)堵塞，導(dǎo)致網(wǎng)絡(luò)性能下降。

（4）ARP欺騙捕獲：地址解析協(xié)議（Address Resolution Protocol， ARP）欺騙通過(guò)向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答包，將目標(biāo)主機(jī)網(wǎng)關(guān)的MAC地址修改為攻擊者的主機(jī)MAC地址，同時(shí)向目標(biāo)主機(jī)網(wǎng)關(guān)發(fā)送偽造的ARP應(yīng)答包[4]。攻擊者作為“中間人”， 目標(biāo)主機(jī)的數(shù)據(jù)都經(jīng)過(guò)它中轉(zhuǎn)，如此，竊取到目標(biāo)主機(jī)的通信數(shù)據(jù)。

3 數(shù)據(jù)包分析技術(shù)的應(yīng)用

數(shù)據(jù)包分析是指通過(guò)解析網(wǎng)絡(luò)中最小人工可讀數(shù)據(jù)，以全面掌握網(wǎng)絡(luò)及應(yīng)用的運(yùn)行規(guī)律與狀態(tài)的一種技術(shù)。通過(guò)數(shù)據(jù)包分析，能夠有效識(shí)別并快速診斷定位網(wǎng)絡(luò)中的惡意攻擊行為，以及不安全和濫用網(wǎng)絡(luò)的應(yīng)用。

3.1 掃描攻擊診斷及定位

網(wǎng)絡(luò)掃描通常利用TCP、UDP等方式檢測(cè)操作系統(tǒng)類(lèi)型及開(kāi)放的服務(wù)，為進(jìn)一步攻擊做好準(zhǔn)備[2] [5]。常見(jiàn)的網(wǎng)絡(luò)掃描方式有TCP SYN掃描、UDP掃描、NULL掃描、ACK掃描、FIN＼ACK掃描以及ICMP掃描等[2] [5]。

該類(lèi)攻擊的數(shù)據(jù)包具有幾項(xiàng)特征：（1）小包數(shù)量多，128字節(jié)以內(nèi)的數(shù)據(jù)包較多；（2）TCP同部位（SYN）置1，TCP重置位（RST）置1的數(shù)據(jù)包較多；（3）產(chǎn)生大量的TCP或UDP會(huì)話，且這些會(huì)話的特征非常相似；（4）掃描主機(jī)會(huì)采用連續(xù)端口或固定端口嘗試與目標(biāo)主機(jī)連接；（5）會(huì)出現(xiàn)大量ICMP端口不達(dá)消息。

3.2 拒絕服務(wù)攻擊診斷及定位

拒絕服務(wù)攻擊是黑客常用的攻擊手段之一，目的是使目標(biāo)主機(jī)停止提供服務(wù)。通常，拒絕服務(wù)攻擊分為針對(duì)網(wǎng)絡(luò)帶寬的消耗、連接的消耗、資源的消耗三種[6]，攻擊過(guò)程中數(shù)據(jù)包的特征有幾種。

（1）帶寬消耗型——網(wǎng)絡(luò)流量會(huì)明顯變大，通過(guò)消耗網(wǎng)絡(luò)帶寬達(dá)到拒絕服務(wù)的效果。

（2）連接消耗型——通常會(huì)產(chǎn)生大量的TCP會(huì)話連接，通過(guò)占滿網(wǎng)絡(luò)會(huì)話數(shù)量達(dá)到拒絕服務(wù)的目的。

（3）資源消耗型——通常網(wǎng)絡(luò)流量變化不明顯，通過(guò)發(fā)送異常數(shù)據(jù)對(duì)服務(wù)器進(jìn)行高級(jí)攻擊，以消耗服務(wù)器資源，達(dá)到拒絕服務(wù)攻擊的效果。

3.3 木馬攻擊診斷及定位

木馬多采用反彈方式由內(nèi)向外進(jìn)行連接，以繞開(kāi)防火墻等傳統(tǒng)安全設(shè)備和技術(shù)的檢測(cè)，隱蔽性更強(qiáng)[7]。該類(lèi)攻擊的數(shù)據(jù)包具有幾個(gè)特征。

（1）解析惡意動(dòng)態(tài)域名。木馬在進(jìn)行連接時(shí)首先通過(guò)查詢動(dòng)態(tài)域名、Blog等形式，找到控制端的IP地址與服務(wù)端口[7]。

（2）長(zhǎng)連接會(huì)話。通常木馬連接以TCP長(zhǎng)連接的方式進(jìn)行通訊，客戶端或主控端定時(shí)發(fā)送心跳包，保持TCP會(huì)話。

（3）高端口連接。通常木馬通過(guò)高端口的方式與主控端進(jìn)行連接。

（4）客戶端主動(dòng)發(fā)起連接。為躲避安全設(shè)備檢測(cè)，木馬主要通過(guò)反彈上線方式，由客戶端主動(dòng)發(fā)送TCP同步包（SYN）建立會(huì)話。

4 網(wǎng)絡(luò)攻擊診斷定位實(shí)例

4.1 HTTP慢速拒絕服務(wù)攻擊

4.1.1 故障現(xiàn)象

網(wǎng)站業(yè)務(wù)對(duì)互聯(lián)網(wǎng)提供Web服務(wù)，在沒(méi)有任何征兆的情況下所有用戶突然不能訪問(wèn)Web應(yīng)用。

4.1.2 攻擊診斷及定位

a） 通過(guò)重啟服務(wù)器及Web服務(wù)，能夠恢復(fù)正常，但幾分鐘后網(wǎng)站依然不能訪問(wèn)。

b） 懷疑防火墻等安全設(shè)備攔截了用戶訪問(wèn)，但查詢所有策略并未發(fā)現(xiàn)異常，可能不是安全設(shè)備造成的影響。

c） 通過(guò)網(wǎng)絡(luò)管理軟件等手段進(jìn)行監(jiān)測(cè)，未發(fā)現(xiàn)大規(guī)模流量突發(fā)。

d） 通過(guò)端口鏡像方式接入數(shù)據(jù)包分析設(shè)備，發(fā)現(xiàn)存在外部地址針對(duì)網(wǎng)站的慢速拒絕服務(wù)攻擊。

e） 通過(guò)分析數(shù)據(jù)包，發(fā)現(xiàn)攻擊者通過(guò)HTTP POST方法向網(wǎng)站目錄上傳文件，HTTP請(qǐng)求頭部Content-Length字段宣告要上傳10000字節(jié)數(shù)據(jù)，但攻擊者每間隔幾秒才向服務(wù)器發(fā)送1個(gè)或幾個(gè)字節(jié)有效數(shù)據(jù)；如此，無(wú)論網(wǎng)站是否支持向根目錄POST上傳數(shù)據(jù)，服務(wù)器都需先占用10000字節(jié)資源用于接收攻擊上傳的數(shù)據(jù)，大量類(lèi)似的會(huì)話導(dǎo)致服務(wù)器無(wú)法正常訪問(wèn)，形成應(yīng)用層拒絕服務(wù)攻擊。

4.1.3 問(wèn)題解決

通過(guò)攔截攻擊者IP地址的方式，同時(shí)通過(guò)Web應(yīng)用防火墻和其他防護(hù)設(shè)備阻斷所有向網(wǎng)站“POST /”的HTTP請(qǐng)求，阻止類(lèi)似特征的攻擊行為。

4.1.4 慢速拒絕服務(wù)攻擊數(shù)據(jù)包特征分析

HTTP慢速拒絕服務(wù)攻擊有別于帶寬消耗類(lèi)攻擊，難以通過(guò)常規(guī)手段診斷定位。分析該類(lèi)攻擊，其數(shù)據(jù)包具有幾個(gè)特征。

a） 攻擊主機(jī)會(huì)短時(shí)間內(nèi)與網(wǎng)站建立了幾百個(gè)甚至更多的TCP會(huì)話，連接會(huì)話數(shù)量明顯高于正常訪問(wèn)，但不足以造成服務(wù)器連接耗盡。

b） 攻擊主機(jī)基于HTTP請(qǐng)求使用POST方法，聲稱(chēng)要向網(wǎng)站的目錄上傳數(shù)據(jù)。

c） 在請(qǐng)求頭部Content-Length字段聲稱(chēng)需要傳輸大量數(shù)據(jù)，如10000字節(jié)。

d） 建立連接后每隔幾秒才向服務(wù)器發(fā)送1個(gè)或幾個(gè)字節(jié)有效數(shù)據(jù)。

4.2 DOS木馬攻擊

4.2.1 故障現(xiàn)象

網(wǎng)絡(luò)經(jīng)常不定時(shí)出現(xiàn)訪問(wèn)互聯(lián)網(wǎng)緩慢的情況，嚴(yán)重時(shí)不能訪問(wèn)網(wǎng)絡(luò)。

4.2.2 攻擊診斷及定位

a） 此類(lèi)情況通常是網(wǎng)絡(luò)內(nèi)主機(jī)與互聯(lián)網(wǎng)主機(jī)存在大流量的數(shù)據(jù)傳輸，擁塞互聯(lián)網(wǎng)出口帶寬導(dǎo)致。

b） 通過(guò)數(shù)據(jù)包分析發(fā)現(xiàn)，問(wèn)題發(fā)生時(shí)段互聯(lián)網(wǎng)出口上行帶寬利用率達(dá)到100%，初步判斷流量突發(fā)的原因是內(nèi)部服務(wù)器與互聯(lián)網(wǎng)的一個(gè)地址產(chǎn)生了大流量數(shù)據(jù)傳輸。

c） 深入分析數(shù)據(jù)包，發(fā)現(xiàn)該服務(wù)器在對(duì)互聯(lián)網(wǎng)地址發(fā)送大量TCP同步包（SYN），頻率非常高，并且TCP同步包（SYN）中帶有填充數(shù)據(jù)，由于TCP同步包（SYN）是TCP/IP建立連接時(shí)使用的握手同步數(shù)據(jù)包，不應(yīng)包含任何應(yīng)用層數(shù)據(jù)，但分析發(fā)現(xiàn)該數(shù)據(jù)包中含有HTTP數(shù)據(jù)，且填充內(nèi)容全為0，說(shuō)明這些數(shù)據(jù)包為明顯的偽造數(shù)據(jù)包。

d） 再對(duì)流量突增之前時(shí)段的可疑TCP會(huì)話進(jìn)行深入分析，發(fā)現(xiàn)木馬主控端地址；該服務(wù)器會(huì)主動(dòng)向主控端地址的TCP801、803、888等多個(gè)端口發(fā)起TCP請(qǐng)求，建立TCP連接后長(zhǎng)時(shí)間保持會(huì)話，該服務(wù)器會(huì)定期發(fā)送1字節(jié)的數(shù)據(jù)保持連接，并且該服務(wù)器主動(dòng)向主控端發(fā)送本機(jī)的系統(tǒng)信息、內(nèi)存、CPU及網(wǎng)卡信息。

e） 經(jīng)過(guò)一段時(shí)間的保持會(huì)話，主控端向該服務(wù)器發(fā)送了84字節(jié)的數(shù)據(jù)，通過(guò)數(shù)據(jù)流還原可以看到內(nèi)容為隨后被DOS攻擊的IP地址，說(shuō)明這個(gè)數(shù)據(jù)包是攻擊者向該服務(wù)器發(fā)送的攻擊指令，服務(wù)器收到指令后會(huì)向目標(biāo)發(fā)送大量偽造數(shù)據(jù)包進(jìn)行DOS攻擊。訪問(wèn)互聯(lián)網(wǎng)緩慢正是由于大規(guī)模流量造成互聯(lián)網(wǎng)出口帶寬被占滿而導(dǎo)致。

4.2.3 問(wèn)題解決

根據(jù)數(shù)據(jù)包分析結(jié)果，定位該服務(wù)器，對(duì)其進(jìn)行斷網(wǎng)隔離、查殺惡意程序處理，網(wǎng)絡(luò)隨即恢復(fù)正常。

4.2.4 DOS木馬攻擊數(shù)據(jù)包特征分析

分析該類(lèi)攻擊，其數(shù)據(jù)包具有幾個(gè)特征。

a） 感染DOS木馬主機(jī)在工作時(shí)會(huì)產(chǎn)生大量數(shù)據(jù)傳輸。

b） 傳輸?shù)臄?shù)據(jù)包為偽造的TCP同步包（SYN）。

c） 傳輸頻率非常高。

在主控端沒(méi)有發(fā)送攻擊指令時(shí)，目標(biāo)主機(jī)不會(huì)占用太多帶寬，此時(shí)分析難度較大，可通過(guò)幾個(gè)特征判斷。

a） 目標(biāo)主機(jī)會(huì)通過(guò)TCP不知名端口主動(dòng)發(fā)起TCP會(huì)話請(qǐng)求。

b） 目標(biāo)主機(jī)與主控端保持長(zhǎng)連接會(huì)話。

c） 目標(biāo)主機(jī)會(huì)向主控端發(fā)送本機(jī)信息。

d） 主控端需要發(fā)起攻擊時(shí)會(huì)通過(guò)傳輸攻擊指令數(shù)據(jù)包，控制目標(biāo)主機(jī)發(fā)起攻擊。

4.3 網(wǎng)站SQL注入攻擊

4.3.1 問(wèn)題描述

網(wǎng)站發(fā)生內(nèi)部信息泄漏，造成敏感數(shù)據(jù)流出，懷疑存在網(wǎng)絡(luò)攻擊。

4.3.2 攻擊診斷及定位

a） 通過(guò)網(wǎng)絡(luò)管理軟件監(jiān)測(cè)服務(wù)及服務(wù)器運(yùn)行狀態(tài)，發(fā)現(xiàn)流量趨勢(shì)平穩(wěn)，運(yùn)行狀態(tài)良好，不存在大規(guī)模拒絕服務(wù)攻擊及其他攻擊行為。

b） 通過(guò)數(shù)據(jù)包分析發(fā)現(xiàn)某互聯(lián)網(wǎng)主機(jī)頻繁訪問(wèn)網(wǎng)站，根據(jù)訪問(wèn)速率判斷明顯不是人工手動(dòng)操作。再對(duì)數(shù)據(jù)包進(jìn)行深入分析，發(fā)現(xiàn)該互聯(lián)網(wǎng)主機(jī)頻繁通過(guò)POST方法向網(wǎng)站的一個(gè)URL地址發(fā)送數(shù)據(jù)，該URL下某參數(shù)存在通用型注入漏洞，攻擊者可通過(guò)該參數(shù)對(duì)網(wǎng)站進(jìn)行SQL注入。

c） 對(duì)數(shù)據(jù)包解碼，發(fā)現(xiàn)服務(wù)器對(duì)此URL的回應(yīng)多為代碼為500的HTTP 錯(cuò)誤，說(shuō)明網(wǎng)站確實(shí)存在。

d） 詳細(xì)解碼數(shù)據(jù)包，發(fā)現(xiàn)攻擊者通過(guò)該參數(shù)成功注入，連接了網(wǎng)站數(shù)據(jù)庫(kù)，且下載了數(shù)據(jù)庫(kù)的關(guān)鍵數(shù)據(jù)。

4.3.3 問(wèn)題解決

通過(guò)對(duì)攻擊主機(jī)的IP進(jìn)行攔截，修復(fù)網(wǎng)站應(yīng)用漏洞，增加對(duì)異常SQL語(yǔ)句的過(guò)濾，成功解決了SQL注入攻擊問(wèn)題。

4.3.4 POST類(lèi)型SQL注入攻擊數(shù)據(jù)包特征分析

該類(lèi)攻擊將注入數(shù)據(jù)放置在HTML HEADER內(nèi)提交，數(shù)據(jù)在URL中看不到，并且POST傳輸數(shù)據(jù)較多，通過(guò)常規(guī)的URL分析手段難以診斷問(wèn)題。分析該類(lèi)攻擊，其數(shù)據(jù)包具有幾個(gè)特征。

a） 大量以POST方式訪問(wèn)網(wǎng)站的某一（或多個(gè)）URL。

b） 攻擊主機(jī)與網(wǎng)站短時(shí)間內(nèi)會(huì)建立大量TCP會(huì)話連接。

c） 解碼數(shù)據(jù)包，查看POST內(nèi)容，發(fā)現(xiàn)每個(gè)數(shù)據(jù)包提交內(nèi)容的某一（或多個(gè)）參數(shù)值不停變化，并且內(nèi)容帶有明顯的SQL注入特征。

d） 存在大量數(shù)據(jù)庫(kù)報(bào)錯(cuò)及HTTP 500錯(cuò)誤響應(yīng)。

e） 通過(guò)數(shù)據(jù)包分析，檢測(cè)數(shù)據(jù)包內(nèi)容中是否包含數(shù)據(jù)庫(kù)名、表名等關(guān)鍵信息，說(shuō)明攻擊者已通過(guò)SQL注入方式竊取了網(wǎng)站的數(shù)據(jù)。

5 結(jié)束語(yǔ)

本文通過(guò)理論結(jié)合實(shí)際的方式詳細(xì)介紹了網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)在網(wǎng)絡(luò)攻擊診斷定位中的實(shí)際作用。該方法通過(guò)捕獲數(shù)據(jù)包并對(duì)其進(jìn)行分析，以診斷定位網(wǎng)絡(luò)攻擊?；谠摲椒?，可幫助網(wǎng)絡(luò)管理者快速發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊，快速定位網(wǎng)絡(luò)攻擊源及攻擊手段，并且能夠解決常規(guī)分析手段難以分析的疑難攻擊問(wèn)題，對(duì)一些隱藏深、危害大的網(wǎng)絡(luò)攻擊取得很好的實(shí)際效果，更好的保障網(wǎng)絡(luò)及應(yīng)用的安全。

參考文獻(xiàn)

[1] 張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京： 清華大學(xué)出版社，2011.

[2] 呂雪峰，彭文波，宋澤宇. 網(wǎng)絡(luò)分析技術(shù)揭秘[M].北京：機(jī)械工業(yè)出版社，2012.

[3] 趙新輝，李祥.捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法[J].計(jì)算機(jī)應(yīng)用研究，2004，（8）： 242-255.

[4] W.Richard Stevens.TCP/IP ILLustrated Volume 1： The Protocols[M].Beijing： Mechanical Industry Press，2000.

[5] 張鴻久.網(wǎng)絡(luò)分析在電力企業(yè)的應(yīng)用研究 [D].河北：網(wǎng)絡(luò)分析在電力企業(yè)的應(yīng)用研究，2007.

[6] 鮑旭華. 破壞之王-DDoS攻擊與防范深度剖析[M]. 北京：機(jī)械工業(yè)出版社，2014.

[7] 科來(lái)軟件.疑難網(wǎng)絡(luò)故障分析案例集2012[EB/OL].北京：百度文庫(kù)，2012 [2016-03-02].http：//wenku.baidu.com.

作者簡(jiǎn)介：

馬之力（1983-），男，甘肅武山人，工程師，從事電力信息化建設(shè)及安全技術(shù)工作。

智勇（1972-），男，陜西大荔人，高級(jí)工程師，從事電力系統(tǒng)自動(dòng)化及繼電保護(hù)管理與技術(shù)研究工作。

張馴（1982-），男，江蘇揚(yáng)州人，工程師，從事電力信息通信管理及安全技術(shù)工作。

閆曉斌（1976-），男，甘肅平?jīng)鋈?，高?jí)工程師，從事電力信息化建設(shè)及管理工作。

黨倩（1981-），女，陜西韓城人，工程師，從事電力信息化管理與運(yùn)維工作。

袁暉（1989-），男，甘肅蘭州人，助理工程師，從事電力信息通信建設(shè)及安全技術(shù)工作。

朱小琴（1990-），女，甘肅臨洮人，工程師，從事電力信息通信運(yùn)維檢測(cè)技術(shù)工作。