篇一:浅析网络安全扫描技术
浅析网络安全扫描技术
摘要:网络安全扫描技术是一种有效的主动防御技术,目前已经成为网络安全研究中的热点之一,针对发现漏洞的网络安全扫描技术进行分析和研究具有重要的现实意义。
关键词:安全扫描;漏洞;网络安全
1引言
安全扫描也称为脆弱性评估,它是检测远程或本地系统安全脆弱性的一种安全技术。其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,以便对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。借助于扫描技术,人们可以发现网络和主机存在的对外开放的端口、提供的服务、某些系统信息、错误的配置、已知的安全漏洞等。故安全扫描技术是一种极为有效的主动防御技术,能发现隐患于未然,如果结合入侵检测系统和防火墙等其他安全技术,能为网络提供全方位的保护。安全扫描技术目前应用非常广泛。
2端口扫描技术
TCP协议和UDP协议是TCPIIP协议传输层中两个用于控制数据传输的协议。
TCP和UDP用端口号来唯一地标识一种网络应用。TCP和UDP端口号用16位二进制数表示,理论上,每一个协议可以拥有65535个端口。因此,端口扫描无论是对网络管理员还是对网络攻击者来说,都是一个必不可少的利器。
TCP/IP协议上的端口有TCP端口和UDP端口两类。由于TCP协议是面向连接的协议,针对TCP扫描方法比较多,扫描方法从最初的一般探测发展到后来的躲避IDS和防火墙的高级扫描技术。针对TCP端口的扫描,最早出现的是全连接扫描,随着安全技术的发展,出现了以躲避防火墙为目的的TCP SYN扫描以及其他一些秘密扫描技术,比如TCP FIN扫描、TCP ACK扫描、NULL扫描、XMAS扫描、SYN/ACK扫描和Dumb扫描等。UDP端口的扫描方法相对比较少,只有UDP ICMP端口不可达扫描和利用socket函数xecvfrom和write来判断的扫描。目前,端口扫描技术已经发展得非常丰富和完善。端口扫描主要可分为开放扫描、半开放扫描、秘密扫描等。
1)TCP connect扫描
这是最基本的TCP扫描方法。使用操作系统提供的connect()系统调用来与目标主机的TCP端口进行连接。如果connect()连接成功,说明目标端口处于监听状态。若连接失败,则说明该端口没有开放。TCP connect()方法的最大的优点是,不需要任何特殊权限。系统中任何用户都可以调用connect()函数。另一个优点就是速度快。但TCP connectU方法的缺点是它很容易被发觉,并且容易被防火墙过滤掉。同时目标主机的日志文件会记录一系列的有关该服务的连接建立并马上断开的错误信息。
2)TCP SYN扫描
该技术通常称为“半开放”的扫描,这是因为扫描程序不需要建立一个完全的TCP连接。扫描程序发送的是一个SYN数据包,就像准备建立一个实际的连接并等待回应一样(TCP通过“三次握手”来建立一个TCP连接)。若返回SYN}ACK数据包则表示目标端口处于监听状态,而若返回RST数据包则表示该端口没有开放。如果收到SYN}ACK数据包,则扫描程序再发送一个RST数据包来终止该连接过程。SYN扫描技术的优点是一般不会在目标主机上留下记录。而该方法的缺点是,必须要有管理员权限自己构造SYN数据包才能使用这种扫描方式。
3)TCP FIN扫描
有时很可能SYN扫描都不够隐蔽。有些防火墙和包过滤系统能监视并限制可以接收
SYN的端口,并能检查到这些扫描。相反,FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是不开放的端口会用RST来应答FIN数据包。而开放的端口会忽略对FIN数据包的应答。不过,该方法和系统的实现相关。有的系统不管端口是否开放,都回复RST,这样,该扫描方法就不适用了。当然,大多数情况下该方法是有效的。
4) TCP反向ident扫描
ident协议(RFC 1413)可以获取任何使用TCP连接进程的运行用户名,即使该进程没有发起连接。因此可以,比如说连接到HTTP端口,然后用identd来获取HTTP服务程序是否以管理员用户运行。该方法需要和目标端口建立了一个完整的TCP连接。
5)FTP返回攻击扫描
FTP协议(RFC959)的一个特性是它支持“代理”FTP连接。可以从本地计算机连接到目标主机FTP协议解释器,以建立控制连接。这样,向目标主机的协议解释器发送建立数据传输进程的请求,就可以请求FTP服务器向Internet上任何地方发送文件。该扫描方法就是使用PORT命令来声明本地的客户数据传输进程正在被动的在扫描目标主机的某个端口监听。然后再试图用LIST命令请求列出当前目录,服务器将结果通过数据传输进程发送到指定扫描目标主机的端口。如果目标主机正在该端口监听,传输就会成功(产生一个150或226的应答)。否则,会出现连接被拒绝错误(426应答)。这样就探测到目标主机端口是否开放的信息。这种方法的优点很明显,它不容易被追踪,并可能穿过防火墙。主要缺点是速度很慢,而且有的FTP服务器能发现这种扫描而关闭代理功能。因此该方法只能适用于部分FTP服务器。 3操作系统检测技术
1应用层探测技术
通过向目标主机发送应用服务连接或访问目标主机开放的有关记录就可能探测出目标主机的操作系统(包括相应的版本号)。
2 TCP/IP堆栈特征探测技术
目前流行的 TCP/IP堆栈特征探测技术有:
(1)FIN探测
通过发送一个FIN数据包到一个打开的端口,并等待回应。RFC793定义的标准行为是“不”响应,但诸如Windows, BSD, CISCO等操作系统会回应一个RESET包。大多数的探测器都使用了这项技术。
(2)BOGUS标记位探测
通过发送一个SYN包,它含有没有定义TCP标记的TCP头。那么在Linux系统的回应中仍旧会包含这个没有定义的标记,而在一些别的系统则会在收到该包之后关闭连接。利用这个特性,可以区分一些操作系统。
(3)TCP ISN取样
这是利用寻找初始化序列规定长度与特定的操作系统相匹配的方法。利用它可以对许多系统分类,如较早的UNIX系统是64K长度。一些新的UNIX系统则是随机增长的长度,而Windows平台则使用“基于时间”方式产生的ISN会随着时间的变化而有着相对固定的增长。 4漏洞检测技术
漏洞检测就是通过采用一定的技术主动地去发现系统中的安全漏洞。漏洞检测可以分为对未知漏洞的检测和对已知漏洞的检测。未知漏洞检测的目的在于发现软件系统中可能存在但尚未发现的漏洞。已知漏洞的检测主要是通过采用模拟黑客攻击的方式对目标可能存在的己知安全漏洞进行逐项检测,可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测安全扫描技术,检测系统是否存在已公布的安全漏洞。漏洞扫描技术是建立在端口扫描技术和远程操作系统识别技术的基础之上的,漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:
1、特征匹配方法
基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞特征库。通过采用基于规则的模式特征匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动进行漏洞扫描。若没有被匹配的规则,系统的网络连接是禁止的。
2、插件技术
插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。
端口扫描和操作系统检测只是最基本的信息探测,攻击者感兴趣的往往是在这些信息的基础上找到其存在的薄弱环节,找到错误的配置或者找出存在的危害性较大的系统漏洞。这些漏洞包括错误配置、简单口令、网络协议漏洞以及其他已知漏洞。
参考文献
[1] 刘健,曹耀钦,网络隐蔽扫描技术的研究,计算机工程与设计,2004
[2] 张玉清、戴祖锋、谢崇斌,安全扫描技术,清华大学出版社,2004
[3] 张平、蒋凡,一种改进的网络安全扫描工具,计算机工程,2001
篇二:网络安全扫描工具的分析与比较(
网络安全扫描工具的分析与比较
谈进 李涛 伍良富 宋渊
(四川大学(西区)计算机系 成都 610065)
**
?
摘 要:文章主要分析、比较和介绍了当前流行的端口扫描和网络弱点扫描技术及工具,并针对不同类型的扫描工具进行了测试比较工作。
关键字:网络安全、端口扫描、扫描工具 中图分类号:TP393文献标识码:A
The Discussion of Network Security Scanners
Tan Jin Li Tao Wu Liangfu Song Yuan
(Dept. of Computer, Sichuan Univ., Chengdu 610065,China)
Abstract: In this paper, the prevailing technices and tools of port scanners and network vulnerability scanners are analyzed and compared, and all kinds of these tools are tested. Keywords: Network Security,Port-Scan,Scanner
1 引言
Internet的飞速发展给人们的生活、工作带来了巨大的方便,但同时,也带来了一些不容忽视的问题,网络信息的安全保密问题就是其中之一。研究分析指出,网络的开放性以及黑客的攻击是造成网络不安全的主要原因。
黑客入侵网络的过程一般是首先利用扫描工具搜集目标主机或网络的详细信息,进而发现目标系统的漏洞或脆弱点,然后根据脆弱点的位置、详细说明展开攻击。安全管理员可以利用扫描工具的扫描结果信息及时发现系统漏洞并采取相应的补救措施,免受入侵者攻击。因此检测和消除系统中存在的弱点成为安全研究人员的重要课题。
器或防火墙的检测。
◆彻底性:扫描工具具备扫描任意端口任意服务的能力。
◆易扩展性:扫描代码与漏洞数据分离,便于用户自行对扫描工具进行更新。
2.1网络ping扫射
映射出一个真实网络的最基本步骤之一是在某个IP地址和网络块范围内执行一轮自动的ping扫射,以此确定某个具体的系统是否存活着。
2.1.1 工作原理
传统意义上ping用于向目标系统发送ICMP回射请求分组(ICMP类型为8),并期待表明目标系统存活着的回射应答分组(ICMP类型为0)。对于大型网络这种方式的效率是极其低下的。ping扫射工具以并行的轮转形式发出大量的ping请求来提高扫描速度。
2.1.2 工具比较
通过分析并在linux下测试fping、gping、icmpenum几种ping扫射工具,发现icmpenum具有如下优势:完成对一个目标网络的扫射速度更快;在ICMP ECHO分组被阻塞时,可以通过发送ICMP TIME STAMP REQUEST 或ICMP INFO分组绕过边界路由器或防火墙;使用伪装分组绕过检
2 扫描工具的分析及比较
从扫描过程来看,网络安全扫描工具大体上可
分为网络ping扫射,端口扫描,弱点扫描几种类型。本文分别对它们进行分析比较及测试。测试工作主要围绕以下指标来进行。
◆准确性:扫描结果准确率达到95%以上。 ◆高速性:扫描工具能快速完成对中大规模目标网络的扫描。
◆健壮性:扫描工具能绕过目标网络的边界路由
?
本文承蒙四川省科技厅重点基金的资助。 作者简介:谈进(1972-),男,硕士研究生,研究方向:网络安全;李涛(1965-),男,教授,博士导师,研究方向:网络安全,人工智能;伍良富,男,研究员,研究方向:计算机网络与互联网;宋渊,男,硕士研究生,研究方向:网络安全。
**
测以确认系统是否存活。
2.2 端口扫描
端口扫描器在目标系统一系列端口上运行以了解TCP端口的分配及提供的服务和它们的软件版本,这使安全管理员能间接地或直观地了解到远程主机所存在的安全问题。
2.2.1 工作原理
端口扫描是连接到目标系统的TCP和UDP端口上以确定哪些服务正在运行即处于监听状态的过程。使用端口扫描器对目标系统执行端口扫描时至少能达到以下目的:标识运行在目标系统上的TCP和UDP服务;标识目标系统的操作系统类型;标识特定应用程序或特定服务的版本。常见的扫描方法有TCP Connect()、TCP SYN、TCP FIN、TCP ACK及UDP扫描等等。
2.2.2 工具比较
●Strobe:strobe是最快最可靠的TCP扫描程序
之一。strobe的关键特性包括优化系统和网络资源以及按照一种高效的方式扫描目标系统的能力。另外它还能获得所连接的每个端口的关联旗标,这有助于标识操作系统和运行着的服务。但是strobe依然存在以下不足之处:不提供UDP扫描能力;strobe只采用TCP connect扫描技巧,这尽管增加了strobe的可靠性,但也使端口扫描活动易于被目标系统检测到。
●Netcat:Netcat提供了基本的TCP和UDP端口
扫描能力,并且可以产生详细的输出报告。但Netcat不具有隐蔽扫描的能力。
●Nmap:提供基本的TCP和UDP扫描能力,集
成了几乎所有的扫描技巧。以下是Namp扫描工具所具有的独特优势。
1、Nmap提供了扫描整个网络的简易手段。2、可把分组划分成片段,实质上是把TCP头部分割到若干个分组中,从而有可能给访问控制设备或IDS系统增加检测出扫描的难度。
3、Nmap提供的欺骗性扫描能力使目标站点不易区分真实的和虚假的端口扫描。
4、提供了FTP弹射扫描及ident扫描能力。 5、利用协议栈指纹技术识别远程主机操作系统类型:由于不同厂家的TCP/IP协议栈实现存在许多细微差别,通过探测这些差异,对目标系统的操
作系统类型进行合理猜测是可行的。Nmap包含了很多的操作系统探测技术,它定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入,Nmap指纹数据库是不断增长的,它能识别的操作系统也越来越多。Nmap探测目标主机操作系统的能力及准确性已在测试中得到证实。
2.2.3 测试结果
在Linux平台下安装并运行Strobe、Netcat、
Nmap几种扫描工具,从测试结果可以看到,Nmap是一种理想的扫描工具。它的并行扫描技术保证了Nmap扫描的高速性;全面的扫描方法保证了Nmap扫描的健壮性、彻底性;探测操作系统的指纹模板技术使它具有良好的易扩展性。测试结果如表一。表一 端口扫描工具对照表
2.3 弱点扫描
弱点扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。与其它端口扫描器一样,它们查询端口并记录返回结果。网络弱点扫描系统根据所定义的漏洞列表对目标系统的弱点信息进行收集,比较和分析,一旦发现目标主机漏洞便提交报告给用户,并说明如何利用该漏洞以及如何对该漏洞进行修补。一个好的弱点扫描器能成功获得关于目标系统安全脆弱点的详细信息和提供修补这些脆弱点应采取的措施,这些信息对于安全管理员维护本网络的安全至关重要。
2.3.1 工具比较
●SARA:SARA(Security Administrator’s
Research Assistant)通过浏览器使用HTTP GUI进行配置,运行并产生报告。它通过对系统的脆弱点进行分类来完成对目标主机的漏洞检测。
●SATAN:SATAN主要是用C和Perl语言编写,
为了用户界面的友好性还用了一些HTML技术。它对大多数已知的漏洞进行扫描,发现漏洞便提交报告给用户,说明如何利用该漏洞以及如何对该漏洞进行修补。
●NESSUS:Nessus是法国人Renaud Derasion编
写的。它具有如下特色:采用客户/服务器体系结构,客户端提供了运行在X window下的图形界面,接受用户的命令与服务器通信,传送用户的扫描请求给服务器端,由服务器启动扫描并将扫描结果呈现给用户;扫描代码与漏洞数据相互独立,Nessus针对每一个漏洞有一个对应的插件,漏洞插件是用NASL(NESSUS Attack Scripting Language)编写的一小段模拟攻击漏洞的代码,这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新;Nessus具有扫描任意端口任意服务的能力;以用户指定的格式(ASCII 文本、html等)产生详细的输出报告,包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。
2.3.2 测试结果
测试目的:两台目标主机分别运行Windows NT,Linux操作系统,并分别在其上安装已公布的安全脆弱点。通过观察三种Linux下的扫描器Nessus,SARA、SATAN在对目标系统进行扫描时的运行情况及扫描结果对它们的性能做出一个简单的比较。
测试环境:弱点扫描工具运行在Linux平台下;目标主机1运行Windows NT,存在ColdFusion sample scripts、 RDS 、 IIS sample scripts、 null sessions allowed等已知安全漏洞;目标主机2运行Linux,存在Wu-ftpd buffer overflow、NFS root export、Guest account\no passward、BIND NXT buffer overflow等已知安全漏洞;在准备换用另一种扫描工具对目标主机进行扫描时,目标系统重新启动。
结果报告:从测试结果可以看到Nessus是极其优秀的弱点扫描工具。它不仅能检测出目标系统存在的安全漏洞,而且扫描结果报告准确、清晰。值得一提的是为了提高扫描速度,Nessus采用了KB(knowledgebase)技术,即把扫描过的主机信息存储起来为再次扫描该主机提供信息,这对于维护本网安全的管理员来说是极其有价值的。Nessus利用漏洞插件的机制也使它具有易扩展性。表二是弱点扫描工具的一个测试结果。(Yes\no表示结果报告模棱两可)
表二 弱点扫描工具测试结果
3 结束语
随着Internet的高速发展,网络安全维护已成为当前的研究热点。通过网络安全扫描工具在系统发生安全事故之前对其进行预防性检查,及时发现系统漏洞并予以解决不失为一种很好网络安全维护手段。本文详细分析了现今网络中流行的安全扫描工具的工作原理和特点并通过测试分析和比较了它们的优缺点。借此帮助网络安全维护人员对网络安全扫描工具有一个比较深入的了解,对网络安全维护起着积极的作用。
参考文献
[1] [美] W.Richard Stevens 著。 范建华等译,《TCP/IP详解》,机械工业出版社,2000。 [2] [美] Joel Scambray,Stuart McClure,George Kurtz 著。 钟向群等译,《黑客大暴光》,清华大学出版社,2002。
[3] [美] Eric Cole 著。 苏雷等译,《黑客—攻击透析与防范》,电子工业出版社,2002。 [4] 胡昌振 著。 《面向二十一世纪的网络安全与防护》,北京希望电子出版社,1999。
篇三:浅析网络安全技术
浅析网络安全技术
[摘要]随着科技的发展,人类社会各种活动对信息网络的依赖程度已经越来越大。当各行各业正在得益于信息革命所带来的新的巨大机遇时,也不得不面对网络安全问题的严峻考验。本文旨在分析网络安全的重要性,探讨网络防火墙、文件加密等常用网络安全技术的原理与应用。
【关键词】网络安全;防火墙;文件加密
1、网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。通俗些讲网络安全就是网络上的信息安全。目前,网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、防火墙技术
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
根据防火墙采用数据包过滤、代理服务、状态检测等三种方式控制网络的通信。当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
3、文件加密技术
与防火墙配合使用的安全技术还有文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取,侦听或破坏所采用的主要技术手段之一。
3.1加密技术的分类
与防火墙相比,数据加密技术比拟灵敏,愈加适用于开放的网络。数据加密技术分为两类:即对称加密和非对称加密。
3.1.1对称加密技术
对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。所以,要确保对称加密体系的安全,就好要管理好密钥的产生,分配,存储,和更换。常规密码体制早期有替代密码和置换密码这二种方式。常用的对称加密算法有:DES、3DES、AES等。以DES为例,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位,有8位用于奇偶校验,所有的DES加密过程都由19步
《浅析网络安全扫描技术》出自:百味书屋
链接地址:http://www.850500.com/news/12630.html
转载请保留,谢谢!