網(wǎng)絡(luò)掃描技術(shù)的原理課件

1、網(wǎng)絡(luò)掃描技術(shù)的原理 簡述隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)入侵行為日益嚴重，網(wǎng)絡(luò)安全成為人們的關(guān)注點。網(wǎng)絡(luò)安全掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一，對其概念、分類進行了概述，并對其中的兩種主要技術(shù)端口掃描技術(shù)和漏洞掃描技術(shù)以及它們的原理分別進行了詳細闡述，比較了它們的優(yōu)缺點，介紹了漏洞掃描各種技術(shù)的實現(xiàn)原理，并對漏洞掃描存在的一些問題提出了一些完善化的建議 引言 安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風險等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的

2、結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。引言安全掃描技術(shù)主要分為兩類：主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)主要針對系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等；而主機安全掃描技術(shù)則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。網(wǎng)絡(luò)安全掃描技術(shù)的概述 網(wǎng)絡(luò)安全掃描技術(shù)是一種基于Internet遠程檢測目標網(wǎng)絡(luò)或本地主機安全性脆弱點的技術(shù)。通過網(wǎng)絡(luò)安全掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)

3、所維護的Web服務(wù)器的各種TCP/IP端口的分配、開放的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)也是采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統(tǒng)進行攻擊的行為，并對結(jié)果進行分析。這種技術(shù)通常被用來進行模擬攻擊實驗和安全審計。網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合就能夠為網(wǎng)絡(luò)提供很高的安全性。 網(wǎng)絡(luò)安全掃描步驟和分類網(wǎng)絡(luò)安全掃描技術(shù)包括有PING掃射（Ping sweeP）、操作系統(tǒng)探測（Operating system identification）、如何探測訪問控制規(guī)則（firewalki

4、ng）、端口掃描（Port scan）以及漏洞掃描（vulnerability scan）等。這些技術(shù)在網(wǎng)絡(luò)安全掃描的3個階段中各有體現(xiàn)。網(wǎng)絡(luò)安全掃描步驟和分類PING掃射用于網(wǎng)絡(luò)安全掃描的第1階段，可以幫助我們識別系統(tǒng)是否處于活動狀態(tài)。操作系統(tǒng)探測、如何探測訪問控制規(guī)則和端口掃描用于網(wǎng)絡(luò)安全掃描的第2階段，其中操作系統(tǒng)探測顧名思義就是對目標主機運行的操作系統(tǒng)進行識別；如何探測訪問控制規(guī)則用于獲取被防火墻保護的遠端網(wǎng)絡(luò)的資料；而端口掃描是通過與目標系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務(wù)。網(wǎng)絡(luò)安全掃描第3階段采用的漏洞掃描通常是在端口掃描的基礎(chǔ)上，對得到的信息進行相關(guān)處

5、理，進而檢測出目標系統(tǒng)存在的安全漏洞。 端口掃描技術(shù) 一個端口就是一個潛在的通信通道，也就是一個入侵通道。對目標計算機進行端口掃描，能得到許多有用的信息。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提供了一種手段。 端口掃描技術(shù)的原理 端口掃描向目標主機的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機的運行情況，它僅能對接收到的數(shù)據(jù)進行分析，幫助我們發(fā)現(xiàn)

6、目標主機的某些內(nèi)在的弱點，而不會提供進入一個系統(tǒng)的詳細步驟。 各類端口掃描技術(shù) 端口掃描主要有經(jīng)典的掃描器（全連接）以及所謂的SYN（半連接）掃描器。此外還有間接掃描和秘密掃描等。 半連接（SYN）掃描若端口掃描沒有完成一個完整的TCP連接，在掃描主機和目標主機的一指定端口建立連接時候只完成了前兩次握手，在第三步時，掃描主機中斷了本次連接，使連接沒有完全建立起來，這樣的端口掃描稱為半連接掃描，也稱為間接掃描?，F(xiàn)有的半連接掃描有TCPSYN掃描和IP ID頭dumb掃描等。SYN掃描的優(yōu)點在于即使日志中對掃描有所記錄，但是嘗試進行連接的記錄也要比全掃描少得多。缺點是在大部分操作系統(tǒng)下，發(fā)送主機需

7、要構(gòu)造適用于這種掃描的IP包，通常情況下，構(gòu)造SYN數(shù)據(jù)包需要超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用 操作系統(tǒng)探測 在網(wǎng)絡(luò)結(jié)構(gòu)中的服務(wù)器，有兩層含義：一是指網(wǎng)絡(luò)上管理網(wǎng)絡(luò)資源的主機或設(shè)備，如文檔服務(wù)器等；二是指向其它計算機程序提供數(shù)據(jù)月艮務(wù)的計算機程序。從而，在操作系統(tǒng)探測中，其目的也是雙重的：得到所掃描的目標主機的OS具體信息，以及提供服務(wù)的計算機程序的具體信息。比如操作系統(tǒng)探測的結(jié)果是：OS是Windows XP sp2，服務(wù)器平臺是IIS 40 5 。為簡便起見，統(tǒng)稱為操作系統(tǒng)(OS)探測。漏洞掃描技術(shù)的分類和實現(xiàn)方法 基于網(wǎng)絡(luò)系統(tǒng)漏洞庫，漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描

8、、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫，將掃描結(jié)果與漏洞庫相關(guān)數(shù)據(jù)匹配比較得到漏洞信息；漏洞掃描還包括沒有相應(yīng)漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測等，這些掃描通過使用插件（功能模塊技術(shù)）進行模擬攻擊，測試出目標主機的漏洞信息。下面就這兩種掃描的實現(xiàn)方法進行討論 漏洞庫的匹配方法基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，可以形成一套標準的網(wǎng)絡(luò)系統(tǒng)漏

9、洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描程序自動的進行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統(tǒng)運行的時間。因此，漏洞庫的編制不僅要對每個存在安全隱患的網(wǎng)絡(luò)服務(wù)建立對應(yīng)的漏洞庫文件，而且應(yīng)當能滿足前面所提出的性能要求 插件（功能模塊技術(shù)）技術(shù) 插件是由腳本語言編寫的子程序，掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測出系統(tǒng)中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規(guī)范化后，甚至用戶自己都可以用perl、c或自行設(shè)計的腳本語言編寫的插件來擴充漏洞掃描軟件的功能

10、。這種技術(shù)使漏洞掃描軟件的升級維護變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有強的擴展性 漏洞掃描中的問題及完善建議 現(xiàn)有的安全隱患掃描系統(tǒng)基本上是采用上述的兩種方法來完成對漏洞的掃描，但是這兩種方法在不同程度上也各有不足之處。下面將說明這兩種方法中存在的問題，并針對這些問題給出相應(yīng)的完善建議：系統(tǒng)配置規(guī)則庫問題 網(wǎng)絡(luò)系統(tǒng)漏洞庫是基于漏洞庫的漏洞掃描的靈魂所在，而系統(tǒng)漏洞的確認是以系統(tǒng)配置規(guī)則庫為基礎(chǔ)的。但是，這樣的系統(tǒng)配置規(guī)則庫存在其局限性： 如果規(guī)則庫設(shè)計的不準確，預報的準確度就無從談起； 它是根據(jù)已知的安全漏洞進行安排和策劃的，而對網(wǎng)絡(luò)系統(tǒng)的很多危險的威脅卻是來自未知的漏洞，這樣，如果規(guī)則庫要新不及時，預報準確度也會逐漸降低； 受漏洞庫覆蓋范圍的限制，部分系統(tǒng)漏洞也可能不會觸發(fā)任何一個規(guī)則，從而不被檢測到。 完善建議：系統(tǒng)配置規(guī)則庫應(yīng)能不斷地被擴充和修正，這樣也是對系統(tǒng)漏洞庫的擴充和修正，這在目前仍需要專家的指導和參與才能夠?qū)崿F(xiàn) 漏洞庫信息要求 漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導，從而