前言：本站為你精心整理了網(wǎng)絡(luò)安全掃描探討范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要:網(wǎng)絡(luò)安全掃描技術(shù)是一種有效的主動防御技術(shù),目前已經(jīng)成為網(wǎng)絡(luò)安全研究中的熱點之一,針對發(fā)現(xiàn)漏洞的網(wǎng)絡(luò)安全掃描技術(shù)進行分析和研究具有重要的現(xiàn)實意義。

關(guān)鍵詞:安全掃描;漏洞;網(wǎng)絡(luò)安全

1引言

安全掃描也稱為脆弱性評估,它是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。其基本原理是采用模擬黑客攻擊的方式對目標(biāo)可能存在的已知安全漏洞進行逐項檢測,以便對工作站、服務(wù)器、交換機、數(shù)據(jù)庫等各種對象進行安全漏洞檢測。借助于掃描技術(shù),人們可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機存在的對外開放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯誤的配置、已知的安全漏洞等。故安全掃描技術(shù)是一種極為有效的主動防御技術(shù),能發(fā)現(xiàn)隱患于未然,如果結(jié)合入侵檢測系統(tǒng)和防火墻等其他安全技術(shù),能為網(wǎng)絡(luò)提供全方位的保護。安全掃描技術(shù)目前應(yīng)用非常廣泛。

2端口掃描技術(shù)

TCP協(xié)議和UDP協(xié)議是TCPIIP協(xié)議傳輸層中兩個用于控制數(shù)據(jù)傳輸?shù)膮f(xié)議。

TCP和UDP用端口號來唯一地標(biāo)識一種網(wǎng)絡(luò)應(yīng)用。TCP和UDP端口號用16位二進制數(shù)表示,理論上,每一個協(xié)議可以擁有65535個端口。因此,端口掃描無論是對網(wǎng)絡(luò)管理員還是對網(wǎng)絡(luò)攻擊者來說,都是一個必不可少的利器。

TCP/IP協(xié)議上的端口有TCP端口和UDP端口兩類。由于TCP協(xié)議是面向連接的協(xié)議,針對TCP掃描方法比較多,掃描方法從最初的一般探測發(fā)展到后來的躲避IDS和防火墻的高級掃描技術(shù)。針對TCP端口的掃描,最早出現(xiàn)的是全連接掃描,隨著安全技術(shù)的發(fā)展,出現(xiàn)了以躲避防火墻為目的的TCPSYN掃描以及其他一些秘密掃描技術(shù),比如TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、SYN/ACK掃描和Dumb掃描等。UDP端口的掃描方法相對比較少,只有UDPICMP端口不可達(dá)掃描和利用socket函數(shù)xecvfrom和write來判斷的掃描。目前,端口掃描技術(shù)已經(jīng)發(fā)展得非常豐富和完善。端口掃描主要可分為開放掃描、半開放掃描、秘密掃描等。

1)TCPconnect掃描

這是最基本的TCP掃描方法。使用操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用來與目標(biāo)主機的TCP端口進行連接。如果connect()連接成功,說明目標(biāo)端口處于監(jiān)聽狀態(tài)。若連接失敗,則說明該端口沒有開放。TCPconnect()方法的最大的優(yōu)點是,不需要任何特殊權(quán)限。系統(tǒng)中任何用戶都可以調(diào)用connect()函數(shù)。另一個優(yōu)點就是速度快。但TCPconnectU方法的缺點是它很容易被發(fā)覺,并且容易被防火墻過濾掉。同時目標(biāo)主機的日志文件會記錄一系列的有關(guān)該服務(wù)的連接建立并馬上斷開的錯誤信息。

2)TCPSYN掃描

該技術(shù)通常稱為“半開放”的掃描,這是因為掃描程序不需要建立一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包,就像準(zhǔn)備建立一個實際的連接并等待回應(yīng)一樣(TCP通過“三次握手”來建立一個TCP連接)。若返回SYN}ACK數(shù)據(jù)包則表示目標(biāo)端口處于監(jiān)聽狀態(tài),而若返回RST數(shù)據(jù)包則表示該端口沒有開放。如果收到SYN}ACK數(shù)據(jù)包,則掃描程序再發(fā)送一個RST數(shù)據(jù)包來終止該連接過程。SYN掃描技術(shù)的優(yōu)點是一般不會在目標(biāo)主機上留下記錄。而該方法的缺點是,必須要有管理員權(quán)限自己構(gòu)造SYN數(shù)據(jù)包才能使用這種掃描方式。

3)TCPFIN掃描

有時很可能SYN掃描都不夠隱蔽。有些防火墻和包過濾系統(tǒng)能監(jiān)視并限制可以接收SYN的端口,并能檢查到這些掃描。相反,FIN數(shù)據(jù)包可能會沒有任何麻煩的通過。這種掃描方法的思想是不開放的端口會用RST來應(yīng)答FIN數(shù)據(jù)包。而開放的端口會忽略對FIN數(shù)據(jù)包的應(yīng)答。不過,該方法和系統(tǒng)的實現(xiàn)相關(guān)。有的系統(tǒng)不管端口是否開放,都回復(fù)RST,這樣,該掃描方法就不適用了。當(dāng)然,大多數(shù)情況下該方法是有效的。

4)TCP反向ident掃描

ident協(xié)議(RFC1413)可以獲取任何使用TCP連接進程的運行用戶名,即使該進程沒有發(fā)起連接。因此可以,比如說連接到HTTP端口,然后用identd來獲取HTTP服務(wù)程序是否以管理員用戶運行。該方法需要和目標(biāo)端口建立了一個完整的TCP連接。

5)FTP返回攻擊掃描

FTP協(xié)議(RFC959)的一個特性是它支持“”FTP連接?？梢詮谋镜赜嬎銠C連接到目標(biāo)主機FTP協(xié)議解釋器,以建立控制連接。這樣,向目標(biāo)主機的協(xié)議解釋器發(fā)送建立數(shù)據(jù)傳輸進程的請求,就可以請求FTP服務(wù)器向Internet上任何地方發(fā)送文件。該掃描方法就是使用PORT命令來聲明本地的客戶數(shù)據(jù)傳輸進程正在被動的在掃描目標(biāo)主機的某個端口監(jiān)聽。然后再試圖用LIST命令請求列出當(dāng)前目錄,服務(wù)器將結(jié)果通過數(shù)據(jù)傳輸進程發(fā)送到指定掃描目標(biāo)主機的端口。如果目標(biāo)主機正在該端口監(jiān)聽,傳輸就會成功(產(chǎn)生一個150或226的應(yīng)答)。否則,會出現(xiàn)連接被拒絕錯誤(426應(yīng)答)。這樣就探測到目標(biāo)主機端口是否開放的信息。這種方法的優(yōu)點很明顯,它不容易被追蹤,并可能穿過防火墻。主要缺點是速度很慢,而且有的FTP服務(wù)器能發(fā)現(xiàn)這種掃描而關(guān)閉功能。因此該方法只能適用于部分FTP服務(wù)器。

3操作系統(tǒng)檢測技術(shù)

1應(yīng)用層探測技術(shù)

通過向目標(biāo)主機發(fā)送應(yīng)用服務(wù)連接或訪問目標(biāo)主機開放的有關(guān)記錄就可能探測出目標(biāo)主機的操作系統(tǒng)(包括相應(yīng)的版本號)。

2TCP/IP堆棧特征探測技術(shù)

目前流行的TCP/IP堆棧特征探測技術(shù)有:

(1)FIN探測

通過發(fā)送一個FIN數(shù)據(jù)包到一個打開的端口,并等待回應(yīng)。RFC793定義的標(biāo)準(zhǔn)行為是“不”響應(yīng),但諸如Windows,BSD,CISCO等操作系統(tǒng)會回應(yīng)一個RESET包。大多數(shù)的探測器都使用了這項技術(shù)。

(2)BOGUS標(biāo)記位探測

通過發(fā)送一個SYN包,它含有沒有定義TCP標(biāo)記的TCP頭。那么在Linux系統(tǒng)的回應(yīng)中仍舊會包含這個沒有定義的標(biāo)記,而在一些別的系統(tǒng)則會在收到該包之后關(guān)閉連接。利用這個特性,可以區(qū)分一些操作系統(tǒng)。

(3)TCPISN取樣

這是利用尋找初始化序列規(guī)定長度與特定的操作系統(tǒng)相匹配的方法。利用它可以對許多系統(tǒng)分類,如較早的UNIX系統(tǒng)是64K長度。一些新的UNIX系統(tǒng)則是隨機增長的長度,而Windows平臺則使用“基于時間”方式產(chǎn)生的ISN會隨著時間的變化而有著相對固定的增長。

4漏洞檢測技術(shù)

漏洞檢測就是通過采用一定的技術(shù)主動地去發(fā)現(xiàn)系統(tǒng)中的安全漏洞。漏洞檢測可以分為對未知漏洞的檢測和對已知漏洞的檢測。未知漏洞檢測的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞。已知漏洞的檢測主要是通過采用模擬黑客攻擊的方式對目標(biāo)可能存在的己知安全漏洞進行逐項檢測,可以對工作站、服務(wù)器、交換機、數(shù)據(jù)庫等各種對象進行安全漏洞檢測安全掃描技術(shù),檢測系統(tǒng)是否存在已公布的安全漏洞。

漏洞掃描技術(shù)是建立在端口掃描技術(shù)和遠(yuǎn)程操作系統(tǒng)識別技術(shù)的基礎(chǔ)之上的,漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞:

1、特征匹配方法

基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞特征庫。通過采用基于規(guī)則的模式特征匹配技術(shù),即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗,可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫,然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則,由掃描程序自動進行漏洞掃描。若沒有被匹配的規(guī)則,系統(tǒng)的網(wǎng)絡(luò)連接是禁止的。

2、插件技術(shù)

插件是由腳本語言編寫的子程序,掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描,檢測出系統(tǒng)中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能,掃描出更多的漏洞。

端口掃描和操作系統(tǒng)檢測只是最基本的信息探測,攻擊者感興趣的往往是在這些信息的基礎(chǔ)上找到其存在的薄弱環(huán)節(jié),找到錯誤的配置或者找出存在的危害性較大的系統(tǒng)漏洞。這些漏洞包括錯誤配置、簡單口令、網(wǎng)絡(luò)協(xié)議漏洞以及其他已知漏洞。

參考文獻

[1]劉健,曹耀欽,網(wǎng)絡(luò)隱蔽掃描技術(shù)的研究,計算機工程與設(shè)計,2004

[2]張玉清、戴祖鋒、謝崇斌,安全掃描技術(shù),清華大學(xué)出版社,2004

[3]張平、蔣凡,一種改進的網(wǎng)絡(luò)安全掃描工具,計算機工程,2001