网络安全技术漏洞扫描.docx

《网络安全技术漏洞扫描.docx》由会员分享，可在线阅读，更多相关《网络安全技术漏洞扫描.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全技术漏洞扫描1 引言网洛扫瞄，是基于Internetde、探测远端网洛或主机信息de一种技术，也是保证系统和网洛平安必不行少de一种手段。主机扫瞄，是指对计算机主机或者其它网洛设备进行平安性检测，以找出平安隐患和系统漏洞。总体而言，网洛扫瞄和主机扫瞄都可归入漏洞扫瞄一类。漏洞扫瞄本质上是一把双刃剑：黑客利用它来找寻对网洛或系统发起攻击de途径，而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫瞄，扫瞄者能够发觉远端网洛或主机de配置信息、 TCP/UDP端口de安排、供应de网洛服务、服务器de详细信息等。2 漏洞扫瞄原理漏洞扫瞄可以划分为ping扫瞄、端口扫瞄、OS探测、脆弱点探测、

2、防火墙扫瞄五种主要技术，每种技术实现de目标和运用de原理各不相同。根据 TCP/IP协议簇de结构，ping扫瞄工作在互联网洛层：端口扫瞄、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网洛层、传输层、应用层。 ping扫瞄确定目标主机deIP地址，端口扫瞄探测目标主机所开放de端口，然后基于端口扫瞄de结果，进行OS探测和脆弱点扫瞄。2.1 Ping扫瞄ping扫瞄是指侦测主机IP地址de扫瞄。ping扫瞄de目de，就是确认目标主机deTCP/IP网洛是否联通，即扫瞄deIP地址是否安排了主机。对没有任何预知信息de黑客而言，ping扫瞄是进行漏洞扫瞄及入侵de第一步;对已经了解

3、网洛整体IP划分de网洛平安人员来讲，也可以借助 ping扫瞄，对主机deIP安排有一个精确de定位。大体上，ping扫瞄是基于ICMP协议de。其主要思想，就是构造一个ICMP包，发送给目标主机，从得到de响应来进行推断。依据构造ICMP包de不同，分为ECH0扫瞄和non—ECHO扫瞄两种。2.1.1 ECH0扫瞄向目标IP地址发送一个ICMP ECHOREQUEST(ICMP type 8)de包，等待是否收至UICMP ECHO REPLY(ICMP type 0)。假如收到了ICMP ECHO REPLY，就表示目标IP上存在主机，否则就说明没有主机。值得留意de是，假如

4、目标网洛上de防火墙配置为阻挡ICMP ECH0流量，ECH0扫瞄不能真实反映目标IP上是否存在主机。此外，假如向广播地址发送ICMPECHO REQUEST，网洛中deunix主机会响应当恳求，而windows主机不会生成响应，这也可以用来进行OS探测。2.1.2 non-ECH0扫瞄向目deIP地址发送一个ICMP TIMESTAMP REQUEST(ICMP type l3)，或ICMP ADDRESS MASK REQUEST (ICMP type l7)de包，依据是否收到响应，可以确定目de主机是否存在。当目标网洛上de防火墙配置为阻挡ICMP ECH0流量时，则可以用non.EC

5、H0扫瞄来进行主机探测。2.2端口扫瞄端口扫瞄用来探测主机所开放de端口。端口扫瞄通常只做最简洁de端口联通性测试，不做进一步de数据分析，因此比较适合进行大范围de扫瞄：对指定 IP地址进行某个端口值段de扫瞄，或者指定端口值对某个IP地址段进行扫瞄。依据端口扫瞄运用de协议，分为TCP扫瞄和UDP扫瞄。2.2.1 TCP扫瞄主机间建立TCP连接分三步(也称三次握手)：(1)恳求端发送一个SYN包，指明准备连接de目de端口。(2)视察目de端返回de包：返回SYN/ACK包，说明目de端口处于侦听状态;返回RST/ACK包，说明目de端口没有侦听，连接重置。(3)若返回SYN/ACK包，则

6、恳求端向目de端口发送ACK包完成3次握手，TCP连接建立。依据TCP连接de建立步骤，TCP扫瞄主要包含两种方式：(1)TCP全连接和半连接扫瞄全连接扫瞄通过三次握手，与目de主机建立TCP连接，目de主机delog文件中将记录这次连接。而半连接扫瞄(也称TCP SYN扫瞄)并不完成TCP三次握手de全过程。扫瞄者发送SYN包起先三次握手，等待目de主机de响应。假如收到SYN/ACK包，则说明目标端口处于侦听状态，扫瞄者立刻发送RST包，中止三次握手。因为半连接扫瞄并没有建立TCP连接，目de主机delog文件中可能不会记录此扫瞄。(2)TCP隐藏扫瞄依据TCP协议，处于关闭状态de端口，

7、在收到探测包时会响应RST包，而处于侦听状态de端口则忽视此探测包。依据探测包中各标记位设置de不同，TCP隐藏扫瞄又分为SYN/ACK扫瞄、FIN扫瞄、XMAS(圣诞树)扫瞄和NULL扫瞄四种。SYN/ACK扫瞄和FIN扫瞄均绕过TCP三次握手过程de第一步，干脆给目de端口发送SYN/ACK包或者FIN包。因为TCP是基于连接de 协议，目标主机认为发送方在第一步中应当发送deSYN包没有送出，从而定义这次连接过程错误，会发送一个RST包以重置连接。而这正是扫瞄者须要de结果— 只要有响应，就说明目标系统存在，且目标端口处于关闭状态。XMAS扫瞄和NULL扫瞄：这两类扫瞄正好相

8、反，XMAS扫瞄设置TCP包中全部标记位(URG、ACK、RST、PSH、SYN、FIN)，而NULL扫瞄则关闭TCP包中de全部标记位。2.2.2 UDP端口扫瞄UDP协议是数据包协议，为了要发觉正在服务deUDP端口，通常de扫瞄方式是构造一个内容为空deUDP数据包送往目de端口。若目de端口上有服务正在等待，则目de端口返回错误de消息;若目de端口处于关闭状态，则目de主机返回ICMP端口不行达消息。因为UDP端口扫瞄软件要计算传输中丢包de数量，所以UDP端口扫瞄de速度很慢。2.3 0S探测OS探测有双重目de：一是探测目标主机de0S信息，二是探测供应服务de计算机程序de信息

9、。比如OS探测de结果是：OS是Windows XP sp3，服务器平台是IIS 4.0。2.3.1二进制信息探测通过登录目标主机，从主机返回debanner中得知OS类型、版本等，这是最简洁de0S探测技术。图1 二进制信息从图l可以看出，在telnet连上FTP服务器后，服务器返回debanner已经供应了serverde信息，在执行ftpdesyst吩咐后可得到更详细de信息。2.3.2 HTTP响应分析在和目标主机建立HTTP连接后，可以分析服务器de响应包得出OS类型。比如响应包中可能包含如下信息：图2 响应包分析从图2中对响应包中de数据分析，可以得到serverde信息。2.3.

10、3栈指纹分析网洛上de主机都会通过TCP/IP或类似de协议栈来互通互联。由于0S开发商不唯一，系统架构多样，甚至是软件版本de差异，都导致了协议栈详细实现上de不同。对错误包de响应，默认值等都可以作为区分0Sde依据。(1)主动栈指纹探测主动栈指纹探测是主动向主机发起连接，并分析收到de响应，从而确定OS类型de技术。1)FIN探测。跳过TCP三次握手de依次，给目标主机发送一个FIN包。RFC793规定，正确de处理是没有响应，但有些OS，如MS Windows，CISC0，HP/UX等会响应一个RST包。2)Bogus标记探测。某些OS会设置SYN包中TCP头de未定义位(一般为64或

11、128)，而某些0S在收到设置了这些Bogus位deSYN包后，会重置连接。3)统计ICMP ERROR报文。RFCl812中规定了ICMP ERROR消息de发送速度。Linux设定了目标不行达消息上限为80个/4秒。0S探测时可以向随机de高端UDP端口大量发包，然后统计收到de目标不行达消息。用此技术进行OS探测时时间会长一些，因为要大量发包，并且还要等待响应，同时也可能出现网洛中丢包de状况。4)ICMPERROR报文引用。RFC文件中规定，ICMP ERROR消息要引用导致该消息deICMP消息de部分内容。例如对于端口不行达消息，某些OS返回收到deIP头及后续de8个字节，Sol

12、aris 返回de ERROR消息中则引用内容更多一些，而Linux比Solaris还要多。(2)被动栈指纹探测被动栈指纹探测是在网洛中监听，分析系统流量，用默认值来揣测0S类型de技术。1)TCP初始化窗口尺寸。通过分析响应中de初始窗口大小来揣测OSde技术比较牢靠，因为许多0Sde初始窗口尺寸不同。比如AIX设置de初始窗口尺寸是0x3F25，而Windows NT5、OpenBSD、FreeBSD设置de值是0x402E。2)Don’t Fragment位。为了增进性能，某些0S在发送de包中设置了DF位，可以从DF位de设置状况中做也许de推断。3)TCPISN采样。建立

13、TCP连接时，SYN/ACK中初始序列号ISNde生成存在规律，比如固定不变、随机增加 (Solaris，FreeBSD等)，真正de随机(Linux 2.0.*)，而Windows运用de是时间相关模型，ISN在每个不同时间段都有固定de增量。2.4脆弱点扫瞄从对黑客攻击行为de分析和脆弱点de分类，绝大多数扫瞄都是针对特定操作系统中特定de网洛服务来进行，即针对主机上de特定端口。脆弱点扫瞄运用de技术主要有基于脆弱点数据库和基于插件两种。2.4.1基于脆弱点数据库de扫瞄首先构造扫瞄de环境模型，对系统中可能存在de脆弱点、过往黑客攻击案例和系统管理员de平安配置进行建模与分析。其次基于

14、分析de结果，生成一套标准de脆弱点数据库及匹配模式。最终由程序基于脆弱点数据库及匹配模式自动进行扫瞄工作。脆弱点扫瞄de精确性取决于脆弱点数据库de完整性及有效性。2.4.2基于插件de扫瞄插件是由脚本语言编写de子程序模块，扫瞄程序可以通过调用插件来执行扫瞄。添加新de功能插件可以使扫瞄程序增加新de功能，或者增加可扫瞄脆弱点 de类型与数量。也可以升级插件来更新脆弱点de特征信息，从而得到更为精确de结果。插件技术使脆弱点扫瞄软件de升级维护变得相对简洁，而专用脚本语言de运用也简化了编写新插件de编程工作，使弱点扫瞄软件具有很强de扩展性。2.5防火墙规则探测采纳类似于tracerou

15、tedeIP数据包分析法，检测能否给位于过滤设备后de主机发送一个特定de包，目de是便于漏洞扫瞄后de入侵或下次扫瞄de顺当进行。通过这种扫瞄，可以探测防火墙上打开或允许通过de端口，并且探测防火墙规则中是否允许带限制信息de包通过，更进一步，可以探测到位于数据包过滤设备后de路由器。3 常见漏洞扫瞄程序通常在制定漏洞扫瞄策略时，扫瞄者会考虑程序de操作系统、所应用de技术、易用性、精确性等因素。其中，程序de可用性是最重要de，也是最基本de，但是可控性和精确性同样不容忽视。3.1 Unix/Linux平台3.1.1 hpinghping支持TCP、UDP、ICMP、RAW-IP多种协议。

16、特点在于能进行ping扫瞄、端口扫瞄、0S探测、防火墙探测等多种扫瞄，并能自定义发送deICMP/UDP/TCP包到目标地址并且显示响应信息。3.1.2 icmpush&icmpqueryicmpush&icmpqueryde特点在于完全应用了ICMP协议，可以定制ICMP包de结构以及种类。扫瞄者可以用这套工具把目标网洛de各个子网全部查找出来，从而可以撇开广播地址而集中扫瞄某几个特定de子网。3.1.3 Xprobe 2是专业de端口扫瞄、OS探测程序。特点在于自身de0S特征数据库具体，进行OS探测de牢靠性较好。3.1.4 THC-AnapOS探测程序。特点在于扫瞄速度

17、快，扫瞄结果牢靠。3.1.5 Whisker针对CGIde脆弱点探测程序。应用了多线程、多文件扫瞄技术，脆弱点数据库更新频繁，对扫瞄结果自行复核，从而扫瞄结果牢靠性好。3.1.6 Nessus脆弱点探测程序。应用了主动扫瞄、高速扫瞄技术，可设置扫瞄过程。特点在于支持DMZ区以及多物理分区网洛de大范围扫瞄。3.1.7 Firewalk防火墙探测程序。运用类似traceroutede技术来分析IP包de响应，从而测定防火墙de访问限制列表和绘制网洛拓扑图。3.2 Windows平台3.2.1 Pinger是一个图形化deping扫瞄工具。特点在于可以指定要pingdeIP地址，以图形de形式显示

18、扫瞄结果，并保存至文本文件。3.2.2 Fport是端口扫瞄程序。特点在于可以把扫瞄出de端口与运用该端口de程序相匹配，扫瞄速度快，匹配程度较好。3.2.3 SuperScan可以进行ping扫瞄、端口扫瞄、0S探测，并且白带一个木马端口列表，可以检测目标计算机是否有木马。3.2.4 GFILANguard脆弱点探测程序。特点在于集成了网洛审计、补丁管理功能，可以自动生成网洛拓扑图、自动补丁管理。上述漏洞扫瞄程序及特点如表1所示。4 结论一般而言，综合地应用多种扫瞄方法或扫瞄程序可以得到比较满足de结果。但是漏洞扫瞄从其技术原理上分析，有不行忽视de副作用。比如对大范围de IP地址或者端口

19、进行某种扫瞄，反复高速de发出特定de连接恳求，所造成de结果就是目标网洛及主机上存在大量de连接恳求数据包，可以造成网洛拥塞，主机无法正常运用，这正是DoS攻击de方法及表现。因此若要防范漏洞扫瞄以及可能deDoS攻击，要做到以下三点：1.在防火墙及过滤设备上采纳严格de过滤规则，禁止扫瞄de数据包进入系统。2.主机系统除了必要de网洛服务外，禁止其它de网洛应用程序。3.对于只对内开放de网洛服务，更改其供应服务de端口。此外，网洛扫瞄时发送de数据或多或少都会含有扫瞄者自身相关信息，从而也可以抓取扫瞄时de数据包，对扫瞄者进行反向追踪，这也是一个值得探讨de方向。本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第11页 共11页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页