2022年2022年计算机网络安全扫描技术 .pdf

《2022年2022年计算机网络安全扫描技术 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机网络安全扫描技术 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2012.1 23网 络 安 全 计算机网络安全扫描技术研究李秋锐中国人民公安大学北京 100038 摘要：随着互联网技术的发展，网络安全问题日益突出。作为一种主动防御手段，网络安全扫描技术在保护网络安全方面发挥着越来越大的作用。本文主要对主机探测， 端口扫描， 操作系统探测以及漏洞扫描等四种主要的网络安全扫描技术做了研究。关键词：主机探测；端口扫描；操作系统探测；漏洞扫描0 引言计算机网络技术在给人们生产生活带来巨大便利的同时，也存在着一系列的安全问题，给个人信息及财产造成了重大损失。网络安全扫描技术，同防火墙技术，入侵检测工具及防病毒工具一起构成了保护网络安全的重要手段。与其他被动防护手段

2、不同的是，网络安全扫描是一种主动的防护手段，通过网络安全扫描，能及时发现网络中各种设备的安全漏洞，从而提早采取防护手段，避免网络被恶意攻击者攻击。1 主机探测主机探测是网络管理员维护网络安全的第一步，通过主机探测能够发现网络中的在线主机，了解网络中 IP 地址分配以及网络拓扑结构等一系列情况，为维护网络安全提供的资料。主机探测利用ICMP 协议，向目标主机发送ICMP 回声请求数据包，然后等待响应(也就是 ping 操作)。如果能收到目标主机的应答数据包，则说明主机在线，否则，目标主机不在线。当然，有些防火墙能够阻止这样的ICMP 包通过。通过不断的完善，主机探测发送的探测数据包还包括ICMP

3、 时间戳数据包和ICMP 地址掩码请求数据包。2 端口扫描在 TCP/IP 通信中，相互通信的主机通过对方的IP 地址识别目标主机。然而，由于一台主机上往往运行了多个应用程序，仅仅只靠 IP 地址并不能区别不同程序的信息流。端口的引入就很好的解决了这个问题。在网络通信中，首先把端口号和相应的应用程序绑定在一起，然后在数据包中表明具体的 IP 地址和端口号，目标主机就知道该把收到的数据包上传给哪个应用程序进行处理了。在主机上，端口的开放说明了主机提供了相应的服务，服务的存在也表明了漏洞的存在。因此，端口扫描常常是攻击者和管理者活动的重要手段。2.1 TCP全连接扫描TCP 通信是一种面前连接的可

4、靠通信方式，相互通信的主机通过“三次握手 ” 建立连接之后进行数据的传输。首先，客户端主机向服务器发送SYN 数据包，数据包中给出了端口号，表明了所要请求的服务；接下来，服务器向客户端主机发送 SYN/ACK 数据包，表示接受客户端的请求；最后，客户端主机向服务器发送ACK 数据包确认连接。至此，连接建立成功，客户端和服务器可以进行正常通信。TCP 全连接是最典型最基本的一种端口扫描方式。扫描主机调用 connect()连接，和目标主机的相应端口通过三次握手建立正常的TCP 连接。若被扫描主机的相应端口是打开的，则返回一个ACK 数据包，否则，返回RST 数据包。这种方法简单快速，而且不需要具

5、有管理员权限。但是，三次握手的建立过程容易被入侵检测系统和防火墙发现，扫描过程不具有隐蔽性。2.2 TCP SYN 扫描在 TCP SYN 扫描中，扫描主机向目标主机相应的端口发送 SYN 数据包。若目标端口是打开的，则返回ACK 数据包，否则，返回RST 数据包。与 TCP 全连接扫描不同的是，扫描主机在收到目标主机返回的SYN/ACK 数据包后，并没有继续发送 ACK 数据包建立一个完整的TCP 连接， 而是发送一作者简介：李秋锐(1987-)，男，中国人民公安大学信息安全工程系硕士研究生，研究方向：计算机应用与网络安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - -

6、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 2012.124 网 络 安 全个 RST 数据包终止了连接。 由于正常的 TCP 连接并没有被建立起来，因此 TCP SYN 扫描又被称为半连接扫描。 TCP STN的扫描速度更快， 同时更不容易被入侵检测系统发现。 但这种方式的缺点是需要扫描主机构造用于扫描的数据包。2.3 秘密扫描根据发送探测数据包的不同，秘密扫描又被分为TCP FIN 扫描，TCP Null 扫描，TCP Xmas扫描，TCP ACK 扫描，TCP SYN/ACK 扫描等。

7、在 TCP FIN 扫描中，扫描主机发送的数据包中的 FIN 位被置位，若目标端口是打开的，则探测数据包被丢掉 (因为此数据包不是建立正常TCP 连接的三次握手所使用的数据包，对于端口而言没有意义)，否则，探测数据包被丢掉， 同时返回 RST 数据包。其他几种秘密扫描技术的原理基本相似。2.4 UDP ICMP 不可达扫描事实上，互联网上运行在UDP 端口上的服务也有很多。UDP ICMP 扫描向 UDP 端口发送 UDP 探测包，若目标端口是关闭的，则返回ICMP 端口不可达数据包。若经过多次重发，扫描主机仍然没有收到目标端口响应数据包，则说明目标端口很可能是开放的 (通常， 开放的 UDP

8、 端口对 UDP 探测数据包不做任何响应 )。但是，由于UDP 协议是非连接的，数据传输的不可靠性更大，经常需要重传数据包，影响了扫描的速度和准确性。3 操作系统探测目前，操作系统识别的方式很多，但其原理都是将目的主机对某些探测数据包的响应和已知的操作系统指纹库进行匹配识别来进行的。首先，通过采样不同操作系统对各种探测数据包的反应建立操作系统的指纹识别库。扫描时，向目标主机发送探测数据包，将其响应数据包和指纹数据库进行匹配，从而识别操作系统的类型。目前，根据探测数据包的构造方式不同，比较流行操作系统探测有以下几种。3.1 TCP/IP协议栈的指纹探测技术由于操作系统系统架构及不同版本之间的差异

9、，不同的操作系统在实现TCP/IP 协议时是不一样的，可以利用这种差异来区别不同的操作系统类型。此种方法主要用到以下技术手段：FIN 探测，BOGUS 标记探测，TCP SYN 取样，TCP时间戳， TCP 初始化窗口， ACK 值等。这种方法实现简单， 可供选择的探测技术较多， 易扩充。不过探测数据包易受实际网路情况的影响，稳定性不高，常常需要综合运用多种方式。3.2 基于 RTO 采样的指纹识别TCP协议通过对传输数据进行确认来实现可靠的数据传输。然而在实际网络环境中，传输的数据和确认都可能发生丢失。 TCP 在传输数据时会设置一个重发定时器，当定时器溢出之后，还没有收到确认，就进行数据的

10、重传。该重发定时器的时间间隔就被称为RTO(Retransmission Timeout)。不同操作系统在计算RTO时使用的方法是不同的。因此，可以利用这一点来实现对远程主机操作系统的探测。首先向目标主机选定的开放端口发送TCP SYN 包，然后使用堵塞模块阻止目标端口响应的SYN/ACK 包到达扫描主机，迫使目标主机不断超时重发 SYN/ACK 包。得到每次的超时重传时间， 再和数据库中的特征进行匹配计算识别出操作系统类型。这种方法的优点是只需要得到目标主机的一个开放的端口就可以进行对操作系统进行准确的识别。同时，不会在网络中产生很多畸形的数据包，不会对目标主机产生很多不良影响。但是，由于需

11、要等待目标主机的大量超时重传，会花费更多的扫描时间。3.3 基于 ICMP 响应的指纹辨识ICMP 是 TCP/IP 协议族的一个子协议， 用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP 数据无法访问目标、 IP 路由器无法按当前的传输速率转发数据包等情况时， 会自动发送 ICMP 消息。ICMP 报文总体上分为两种： ICMP 查询报文和 ICMP 差错报文。利用 ICMP 进行操作系统探测的方式有两种。一种是可以向目标主机发送多种类型的查询报文捕获响应数据包进行分析；另一种是TCP/IP 数据包使目标主机触发差错报文，从响应的差别中对操作系统进行辨识

12、。由于只发送 ICMP 数据包，基于 ICMP 响应的指纹识别算法速度很快，并且不会对目标主机产生不良影响。另外，由于匹配算法得以改进，操作系统签名数据库容易建立和更新。这种方法的缺点是探测技术单一，只依赖一种类型的数据包，稳定性不足，更难进行技术上的更新。4 漏洞扫描对于网络管理员而言，保护网络安全的关键是要及时发现目标网络 /主机上存在的各种安全漏洞， 并采取有效的修补措施，使得系统免受恶意攻击。安全漏洞往往是针对某一特定操作系统的某一具体服务的，也就是说，是针对某一具体端口存在的，因此，在网络安全扫描中，漏洞扫描常常是建名师资料总结 - - -精品资料欢迎下载 - - - - - - -

13、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 2012.1 25网 络 安 全 立在端口扫描和操作系统探测基础上的。从实现原理上讲，漏洞扫描又分为基于漏洞库的匹配技术和插件技术。4.1 基于漏洞库的匹配技术在这种漏洞扫描方式中，网络扫描系统首先根据已知的各种安全漏洞建立一个漏洞特征信息库。然后，向目标主机发送各种数据包，根据对响应数据包的分析，基于规则匹配原则与漏洞库中的特征值进行匹配，从而确定主机的安全漏洞。因此，漏洞特征信息库中特征信息的完整性和可信性就决定了扫描的效率和准确性，同时信息库

14、信息的更新和修订也会影响扫描系统的时间。4.2 插件技术这种方法就是模拟黑客的各种攻击行为，将每一种攻击方法都用脚本语言进行编写得到插件。当进行扫描时，扫描工具自动调用插件对系统或主机进行攻击。若攻击成功，则表明存在相应的漏洞。插件程序独立于主程序，编写方便易行，因此，扫描系统的功能扩展更加的方便，只需要在系统中增加新出现的安全漏洞的插件模块即可。5 结论随着互联网技术的发展，网络安全扫描技术也在不断的成熟更新中。但是，新的问题和新的挑战总会不断的涌现出来，给网络安全扫描技术带来了不少的难题，需要不断的努力研究。参考文献1洪宏,张玉清 ,胡予濮 ,戴祖峰.网络安全扫描技术研究 J.计算机工程.

15、2004. 2周峰.一种网络漏洞探测系统的设计与实现D.武汉科技大学.2006. 3赵妙军.浅析网络安全扫描技术 J.信息技术.2010. Computer network security scanning technology researchLi Qiurui Chinese Peoples Public Security University,Beijing,100038,China Abstract: Along with the development of the technology of the Internet, network security has become an

16、 increasingly important issue. As a kind of active defense means, network security scanning technology in network security protection are playing a more and more important role.This paper mainly do research to the four kinds of network security scanning technology. Keywords:Host detection;Port scann

17、ing;Operating system identification;Vulnerability scanning 上接 29 页 Research of the Mobile E-commerces Transaction Safety ProblemXu Hongfeng School of Economy and Management,Guizhou Normal University, Guizhou, 550001,China Abstract: The system uses 3G network to improve the safe of TCP/IP network arc

18、hitecture, at the same time using the safe transport protocol, safe gateway and the security level in the WAP protocol framework, as well as strengthens the encryption and the authentication algorithm in the data transmission, to improve the security of mobile e-commerce transaction. Keywords:M-Commerce;WAP;Encryption;Authentication 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -