前言：本站為你精心整理了網(wǎng)絡(luò)安全掃描探討范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要:網(wǎng)絡(luò)安全掃描技術(shù)是一種有效的主動(dòng)防御技術(shù),目前已經(jīng)成為網(wǎng)絡(luò)安全研究中的熱點(diǎn)之一,針對(duì)發(fā)現(xiàn)漏洞的網(wǎng)絡(luò)安全掃描技術(shù)進(jìn)行分析和研究具有重要的現(xiàn)實(shí)意義。

關(guān)鍵詞:安全掃描;漏洞;網(wǎng)絡(luò)安全

1引言

安全掃描也稱為脆弱性評(píng)估,它是檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。其基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測(cè),以便對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。借助于掃描技術(shù),人們可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開(kāi)放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。故安全掃描技術(shù)是一種極為有效的主動(dòng)防御技術(shù),能發(fā)現(xiàn)隱患于未然,如果結(jié)合入侵檢測(cè)系統(tǒng)和防火墻等其他安全技術(shù),能為網(wǎng)絡(luò)提供全方位的保護(hù)。安全掃描技術(shù)目前應(yīng)用非常廣泛。

2端口掃描技術(shù)

TCP協(xié)議和UDP協(xié)議是TCPIIP協(xié)議傳輸層中兩個(gè)用于控制數(shù)據(jù)傳輸?shù)膮f(xié)議。

TCP和UDP用端口號(hào)來(lái)唯一地標(biāo)識(shí)一種網(wǎng)絡(luò)應(yīng)用。TCP和UDP端口號(hào)用16位二進(jìn)制數(shù)表示,理論上,每一個(gè)協(xié)議可以擁有65535個(gè)端口。因此,端口掃描無(wú)論是對(duì)網(wǎng)絡(luò)管理員還是對(duì)網(wǎng)絡(luò)攻擊者來(lái)說(shuō),都是一個(gè)必不可少的利器。

TCP/IP協(xié)議上的端口有TCP端口和UDP端口兩類。由于TCP協(xié)議是面向連接的協(xié)議,針對(duì)TCP掃描方法比較多,掃描方法從最初的一般探測(cè)發(fā)展到后來(lái)的躲避IDS和防火墻的高級(jí)掃描技術(shù)。針對(duì)TCP端口的掃描,最早出現(xiàn)的是全連接掃描,隨著安全技術(shù)的發(fā)展,出現(xiàn)了以躲避防火墻為目的的TCPSYN掃描以及其他一些秘密掃描技術(shù),比如TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、SYN/ACK掃描和Dumb掃描等。UDP端口的掃描方法相對(duì)比較少,只有UDPICMP端口不可達(dá)掃描和利用socket函數(shù)xecvfrom和write來(lái)判斷的掃描。目前,端口掃描技術(shù)已經(jīng)發(fā)展得非常豐富和完善。端口掃描主要可分為開(kāi)放掃描、半開(kāi)放掃描、秘密掃描等。

1)TCPconnect掃描

這是最基本的TCP掃描方法。使用操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用來(lái)與目標(biāo)主機(jī)的TCP端口進(jìn)行連接。如果connect()連接成功,說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài)。若連接失敗,則說(shuō)明該端口沒(méi)有開(kāi)放。TCPconnect()方法的最大的優(yōu)點(diǎn)是,不需要任何特殊權(quán)限。系統(tǒng)中任何用戶都可以調(diào)用connect()函數(shù)。另一個(gè)優(yōu)點(diǎn)就是速度快。但TCPconnectU方法的缺點(diǎn)是它很容易被發(fā)覺(jué),并且容易被防火墻過(guò)濾掉。同時(shí)目標(biāo)主機(jī)的日志文件會(huì)記錄一系列的有關(guān)該服務(wù)的連接建立并馬上斷開(kāi)的錯(cuò)誤信息。

2)TCPSYN掃描

該技術(shù)通常稱為“半開(kāi)放”的掃描,這是因?yàn)閽呙璩绦虿恍枰⒁粋€(gè)完全的TCP連接。掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包,就像準(zhǔn)備建立一個(gè)實(shí)際的連接并等待回應(yīng)一樣(TCP通過(guò)“三次握手”來(lái)建立一個(gè)TCP連接)。若返回SYN}ACK數(shù)據(jù)包則表示目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài),而若返回RST數(shù)據(jù)包則表示該端口沒(méi)有開(kāi)放。如果收到SYN}ACK數(shù)據(jù)包,則掃描程序再發(fā)送一個(gè)RST數(shù)據(jù)包來(lái)終止該連接過(guò)程。SYN掃描技術(shù)的優(yōu)點(diǎn)是一般不會(huì)在目標(biāo)主機(jī)上留下記錄。而該方法的缺點(diǎn)是,必須要有管理員權(quán)限自己構(gòu)造SYN數(shù)據(jù)包才能使用這種掃描方式。

3)TCPFIN掃描

有時(shí)很可能SYN掃描都不夠隱蔽。有些防火墻和包過(guò)濾系統(tǒng)能監(jiān)視并限制可以接收SYN的端口,并能檢查到這些掃描。相反,FIN數(shù)據(jù)包可能會(huì)沒(méi)有任何麻煩的通過(guò)。這種掃描方法的思想是不開(kāi)放的端口會(huì)用RST來(lái)應(yīng)答FIN數(shù)據(jù)包。而開(kāi)放的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的應(yīng)答。不過(guò),該方法和系統(tǒng)的實(shí)現(xiàn)相關(guān)。有的系統(tǒng)不管端口是否開(kāi)放,都回復(fù)RST,這樣,該掃描方法就不適用了。當(dāng)然,大多數(shù)情況下該方法是有效的。

4)TCP反向ident掃描

ident協(xié)議(RFC1413)可以獲取任何使用TCP連接進(jìn)程的運(yùn)行用戶名,即使該進(jìn)程沒(méi)有發(fā)起連接。因此可以,比如說(shuō)連接到HTTP端口,然后用identd來(lái)獲取HTTP服務(wù)程序是否以管理員用戶運(yùn)行。該方法需要和目標(biāo)端口建立了一個(gè)完整的TCP連接。

5)FTP返回攻擊掃描

FTP協(xié)議(RFC959)的一個(gè)特性是它支持“”FTP連接?？梢詮谋镜赜?jì)算機(jī)連接到目標(biāo)主機(jī)FTP協(xié)議解釋器,以建立控制連接。這樣,向目標(biāo)主機(jī)的協(xié)議解釋器發(fā)送建立數(shù)據(jù)傳輸進(jìn)程的請(qǐng)求,就可以請(qǐng)求FTP服務(wù)器向Internet上任何地方發(fā)送文件。該掃描方法就是使用PORT命令來(lái)聲明本地的客戶數(shù)據(jù)傳輸進(jìn)程正在被動(dòng)的在掃描目標(biāo)主機(jī)的某個(gè)端口監(jiān)聽(tīng)。然后再試圖用LIST命令請(qǐng)求列出當(dāng)前目錄,服務(wù)器將結(jié)果通過(guò)數(shù)據(jù)傳輸進(jìn)程發(fā)送到指定掃描目標(biāo)主機(jī)的端口。如果目標(biāo)主機(jī)正在該端口監(jiān)聽(tīng),傳輸就會(huì)成功(產(chǎn)生一個(gè)150或226的應(yīng)答)。否則,會(huì)出現(xiàn)連接被拒絕錯(cuò)誤(426應(yīng)答)。這樣就探測(cè)到目標(biāo)主機(jī)端口是否開(kāi)放的信息。這種方法的優(yōu)點(diǎn)很明顯,它不容易被追蹤,并可能穿過(guò)防火墻。主要缺點(diǎn)是速度很慢,而且有的FTP服務(wù)器能發(fā)現(xiàn)這種掃描而關(guān)閉功能。因此該方法只能適用于部分FTP服務(wù)器。

3操作系統(tǒng)檢測(cè)技術(shù)

1應(yīng)用層探測(cè)技術(shù)

通過(guò)向目標(biāo)主機(jī)發(fā)送應(yīng)用服務(wù)連接或訪問(wèn)目標(biāo)主機(jī)開(kāi)放的有關(guān)記錄就可能探測(cè)出目標(biāo)主機(jī)的操作系統(tǒng)(包括相應(yīng)的版本號(hào))。

2TCP/IP堆棧特征探測(cè)技術(shù)

目前流行的TCP/IP堆棧特征探測(cè)技術(shù)有:

(1)FIN探測(cè)

通過(guò)發(fā)送一個(gè)FIN數(shù)據(jù)包到一個(gè)打開(kāi)的端口,并等待回應(yīng)。RFC793定義的標(biāo)準(zhǔn)行為是“不”響應(yīng),但諸如Windows,BSD,CISCO等操作系統(tǒng)會(huì)回應(yīng)一個(gè)RESET包。大多數(shù)的探測(cè)器都使用了這項(xiàng)技術(shù)。

(2)BOGUS標(biāo)記位探測(cè)

通過(guò)發(fā)送一個(gè)SYN包,它含有沒(méi)有定義TCP標(biāo)記的TCP頭。那么在Linux系統(tǒng)的回應(yīng)中仍舊會(huì)包含這個(gè)沒(méi)有定義的標(biāo)記,而在一些別的系統(tǒng)則會(huì)在收到該包之后關(guān)閉連接。利用這個(gè)特性,可以區(qū)分一些操作系統(tǒng)。

(3)TCPISN取樣

這是利用尋找初始化序列規(guī)定長(zhǎng)度與特定的操作系統(tǒng)相匹配的方法。利用它可以對(duì)許多系統(tǒng)分類,如較早的UNIX系統(tǒng)是64K長(zhǎng)度。一些新的UNIX系統(tǒng)則是隨機(jī)增長(zhǎng)的長(zhǎng)度,而Windows平臺(tái)則使用“基于時(shí)間”方式產(chǎn)生的ISN會(huì)隨著時(shí)間的變化而有著相對(duì)固定的增長(zhǎng)。

4漏洞檢測(cè)技術(shù)

漏洞檢測(cè)就是通過(guò)采用一定的技術(shù)主動(dòng)地去發(fā)現(xiàn)系統(tǒng)中的安全漏洞。漏洞檢測(cè)可以分為對(duì)未知漏洞的檢測(cè)和對(duì)已知漏洞的檢測(cè)。未知漏洞檢測(cè)的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞。已知漏洞的檢測(cè)主要是通過(guò)采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知安全漏洞進(jìn)行逐項(xiàng)檢測(cè),可以對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)等各種對(duì)象進(jìn)行安全漏洞檢測(cè)安全掃描技術(shù),檢測(cè)系統(tǒng)是否存在已公布的安全漏洞。

漏洞掃描技術(shù)是建立在端口掃描技術(shù)和遠(yuǎn)程操作系統(tǒng)識(shí)別技術(shù)的基礎(chǔ)之上的,漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞:

1、特征匹配方法

基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞特征庫(kù)。通過(guò)采用基于規(guī)則的模式特征匹配技術(shù),即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn),可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù),然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則,由掃描程序自動(dòng)進(jìn)行漏洞掃描。若沒(méi)有被匹配的規(guī)則,系統(tǒng)的網(wǎng)絡(luò)連接是禁止的。

2、插件技術(shù)

插件是由腳本語(yǔ)言編寫(xiě)的子程序,掃描程序可以通過(guò)調(diào)用它來(lái)執(zhí)行漏洞掃描,檢測(cè)出系統(tǒng)中存在的一個(gè)或多個(gè)漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能,掃描出更多的漏洞。

端口掃描和操作系統(tǒng)檢測(cè)只是最基本的信息探測(cè),攻擊者感興趣的往往是在這些信息的基礎(chǔ)上找到其存在的薄弱環(huán)節(jié),找到錯(cuò)誤的配置或者找出存在的危害性較大的系統(tǒng)漏洞。這些漏洞包括錯(cuò)誤配置、簡(jiǎn)單口令、網(wǎng)絡(luò)協(xié)議漏洞以及其他已知漏洞。

參考文獻(xiàn)

[1]劉健,曹耀欽,網(wǎng)絡(luò)隱蔽掃描技術(shù)的研究,計(jì)算機(jī)工程與設(shè)計(jì),2004

[2]張玉清、戴祖鋒、謝崇斌,安全掃描技術(shù),清華大學(xué)出版社,2004

[3]張平、蔣凡,一種改進(jìn)的網(wǎng)絡(luò)安全掃描工具,計(jì)算機(jī)工程,2001