摘要:网络安全扫描技术是一种有效的主动防御技术,目前已经成为网络安全研究中的热点之一,针对发现漏洞的网络安全扫描技术进行分析和研究具有重要的现实意义。
关键词:安全扫描;漏洞;网络安全

1引言
安全扫描也称为脆弱性评估,它是检测远程或本地系统安全脆弱性的一种安全技术。其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,以便对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。借助于扫描技术,人们可以发现网络和主机存在的对外开放的端口、提供的服务、某些系统信息、错误的配置、已知的安全漏洞等。故安全扫描技术是一种极为有效的主动防御技术,能发现隐患于未然,如果结合入侵检测系统和防火墙等其他安全技术,能为网络提供全方位的保护。安全扫描技术目前应用非常广泛。
2端口扫描技术
tcp协议和udp协议是tcpiip协议传输层中两个用于控制数据传输的协议。
tcp和udp用端口号来唯一地标识一种网络应用。tcp和udp端口号用16位二进制数表示,理论上,每一个协议可以拥有65535个端口。因此,端口扫描无论是对网络管理员还是对网络攻击者来说,都是一个必不可少的利器。
tcp/ip协议上的端口有tcp端口和udp端口两类。由于tcp协议是面向连接的协议,针对tcp扫描方法比较多,扫描方法从最初的一般探测发展到后来的躲避ids和防火墙的高级扫描技术。针对tcp端口的扫描,最早出现的是全连接扫描,随着安全技术的发展,出现了以躲避防火墙为目的的tcp syn扫描以及其他一些秘密扫描技术,比如tcp fin扫描、tcp ack扫描、null扫描、xmas扫描、syn/ack扫描和dumb扫描等。LoCAlhoSTudp端口的扫描方法相对比较少,只有udp icmp端口不可达扫描和利用socket函数xecvfrom和write来判断的扫描。目前,端口扫描技术已经发展得非常丰富和完善。端口扫描主要可分为开放扫描、半开放扫描、秘密扫描等。
1)tcp connect扫描
这是最基本的tcp扫描方法。使用操作系统提供的connect()系统调用来与目标主机的tcp端口进行连接。如果connect()连接成功,说明目标端口处于监听状态。若连接失败,则说明该端口没有开放。tcp connect()方法的最大的优点是,不需要任何特殊权限。系统中任何用户都可以调用connect()函数。另一个优点就是速度快。但tcp connectu方法的缺点是它很容易被发觉,并且容易被防火墙过滤掉。同时目标主机的日志文件会记录一系列的有关该服务的连接建立并马上断开的错误信息。
2)tcp syn扫描
该技术通常称为“半开放”的扫描,这是因为扫描程序不需要建立一个完全的tcp连接。扫描程序发送的是一个syn数据包,就像准备建立一个实际的连接并等待回应一样(tcp通过“三次握手”来建立一个tcp连接)。若返回syn}ack数据包则表示目标端口处于监听状态,而若返回rst数据包则表示该端口没有开放。如果收到syn}ack数据包,则扫描程序再发送一个rst数据包来终止该连接过程。syn扫描技术的优点是一般不会在目标主机上留下记录。而该方法的缺点是,必须要有管理员权限自己构造syn数据包才能使用这种扫描方式。
3)tcp fin扫描
有时很可能syn扫描都不够隐蔽。有些防火墙和包过滤系统能监视并限制可以接收syn的端口,并能检查到这些扫描。相反,fin数据包可能会没有任何麻烦的通过。这种扫描方法的思想是不开放的端口会用rst来应答fin数据包。而开放的端口会忽略对fin数据包的应答。不过,该方法和系统的实现相关。有的系统不管端口是否开放,都回复rst,这样,该扫描方法就不适用了。当然,大多数情况下该方法是有效的。
4) tcp反向ident扫描
ident协议(rfc 1413)可以获取任何使用tcp连接进程的运行用户名,即使该进程没有发起连接。因此可以,比如说连接到http端口,然后用identd来获取http服务程序是否以管理员用户运行。该方法需要和目标端口建立了一个完整的tcp连接。
5)ftp返回攻击扫描
ftp协议(rfc959)的一个特性是它支持“代理”ftp连接。可以从本地计算机连接到目标主机ftp协议解释器,以建立控制连接。这样,向目标主机的协议解释器发送建立数据传输进程的请求,就可以请求ftp服务器向internet上任何地方发送文件。该扫描方法就是使用port命令来声明本地的客户数据传输进程正在被动的在扫描目标主机的某个端口监听。然后再试图用list命令请求列出当前目录,服务器将结果通过数据传输进程发送到指定扫描目标主机的端口。如果目标主机正在该端口监听,传输就会成功(产生一个150或226的应答)。否则,会出现连接被拒绝错误(426应答)。这样就探测到目标主机端口是否开放的信息。这种方法的优点很明显,它不容易被追踪,并可能穿过防火墙。主要缺点是速度很慢,而且有的ftp服务器能发现这种扫描而关闭代理功能。因此该方法只能适用于部分ftp服务器。
3操作系统检测技术
1应用层探测技术
通过向目标主机发送应用服务连接或访问目标主机开放的有关记录就可能探测出目标主机的操作系统(包括相应的版本号)。

2 tcp/ip堆栈特征探测技术
目前流行的 tcp/ip堆栈特征探测技术有:
(1)fin探测
通过发送一个fin数据包到一个打开的端口,并等待回应。rfc793定义的标准行为是“不”响应,但诸如windows, bsd, cisco等操作系统会回应一个reset包。大多数的探测器都使用了这项

[1] [2] 下一页