文档介绍:网络安全扫描技术原理及建议:
摘要:
随着互联网络的飞速发展,网络入侵行为日益严重,网络安全成为人们的关注点。网络 安全扫描技术是网络安全领域的重要技术之一,对其概念、分类进行了概述,并对其中的两 种主要技术一一端口扫描技术和漏洞扫描技分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一 个系统的详细步骤。
端口扫描主要有经典的扫描器(全连接)以及所谓的SYN (半连接)扫描器。此外还 有间接扫描和秘密扫描等。
全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCP connect()扫描和TCP 反向ident扫描等。其中TCP connect()扫描的实现原理如下所述:
扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。连 接由系统调用connect开始。如果端口开放,则连接将建立成功;否则,若返回1则表示端 口关闭。建立连接成功:响应扫描主机的SYN/ACK连接请求,这一响应表明目标端口处于 监听(打开)的状态。如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的 响应。
(SYN)扫描
若端口扫描没有完成一个完整的TCP连接,在扫描主机和目标主机的一指定端口建立 连接时候只完成了前两次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全建 立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。现有的半连接扫描有TCPSYN 扫描和IP ID头dumb扫描等。
SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全 扫描少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通 常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
4、漏洞扫描技术
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知 目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏 洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主 机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机 系统存在安全漏洞。
基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏 洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏 洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如 Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫 描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。下面就这两 种扫描的实现方法进行讨论:
(1) 漏洞库的匹配方法
基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于 规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员 对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之 上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。
这样,漏洞库信息的完整性和有效性决