基于網(wǎng)絡的漏洞掃描器設計與實現(xiàn)

摘要：近年來掃描器在計算機系統(tǒng)安全方面擔當著重要的角色。掃描器的主要功能是檢測系統(tǒng)有沒有安全漏洞，進而生成安全漏洞報告給使用者。本文首先分析了基于網(wǎng)絡的漏洞掃描器的概念和工作原理，然后給出了一個具體的漏洞掃描器的設計及實現(xiàn)技術(shù)。

關(guān)鍵詞：計算機系統(tǒng)安全；漏洞；掃描器

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)11-20235-02

1 引言

隨著計算機技術(shù)、網(wǎng)絡技術(shù)的飛速發(fā)展和普及應用，網(wǎng)絡安全已日漸成為人們關(guān)注的焦點問題之一。近幾年來，安全技術(shù)和安全產(chǎn)品已經(jīng)有了長足的進步，部分技術(shù)與產(chǎn)品已日趨成熟。但是，單個安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡特定的安全需求。目前使用較多的安全產(chǎn)品有防火墻和入侵檢測系統(tǒng)（IDS），但是它們都有其局限性，如防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題，IDS無法抵擋碎片攻擊和拒絕服務攻擊。因此，如何有效利用現(xiàn)有的安全技術(shù)和安全產(chǎn)品來保障系統(tǒng)與網(wǎng)絡的安全已成為當前信息安全領(lǐng)域的研究熱點之一。而目前一種實用的方法就是在建立比較容易實現(xiàn)的安全系統(tǒng)的同時，按照一定的安全策略建立相應的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。

2 漏洞掃描器

2.1 概念

漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的服務器的各種TCP/UDP端口的分配、提供的服務、服務軟件版本和這些服務及軟件呈現(xiàn)在Internet上的安全漏洞。同時，漏洞掃描器還能從主機系統(tǒng)內(nèi)部檢測系統(tǒng)配置的缺陷，模擬系統(tǒng)管理員進行系統(tǒng)內(nèi)部審核的全過程，發(fā)現(xiàn)能夠被黑客利用的種種誤配置。漏洞掃描的結(jié)果實際上就是對系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為系統(tǒng)安全解決方案的一個重要組成部分。

從底層技術(shù)上來劃分，漏洞掃描可以分為基于網(wǎng)絡的掃描和基于主機的掃描兩類，二者體系結(jié)構(gòu)不同。基于網(wǎng)絡的漏洞掃描器通過網(wǎng)絡掃描遠程目標主機的漏洞，但無法直接訪問目標機的文件系統(tǒng)；基于主機的漏洞掃描器在目標主機上安裝一個代理，以便能夠訪問目標機所有的文件和進程。由于基于網(wǎng)絡的漏洞掃描器價格便宜、操作維護簡便，目前被大多數(shù)中小型企事業(yè)單位或一般政府部門所使用。本文只限于討論基于網(wǎng)絡的漏洞掃描器的工作原理及實現(xiàn)技術(shù)。

2.2 工作原理

基于網(wǎng)絡的漏洞掃描器根據(jù)漏洞庫中不同漏洞的特性，構(gòu)造網(wǎng)絡數(shù)據(jù)包，發(fā)送給網(wǎng)絡中的一個或多個目標服務器，遠程檢測目標主機TCP/UDP不同端口上提供的服務，并記錄目標主機的應答。通過這種方法搜集目標主機的各種信息（例如是否能匿名登陸、是否有可寫的FTP目錄等），并將這些信息與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，匹配成功則判定系統(tǒng)存在相應的漏洞。此外，通過模擬黑客的攻擊方法，對目標主機進行攻擊性的漏洞掃描，也是漏洞掃描的方法之一，但此種方法存在著使目標機崩潰的風險，應謹慎使用。

基于網(wǎng)絡的漏洞掃描器，一般由以下幾部分組成：

(1)漏洞數(shù)據(jù)庫：漏洞數(shù)據(jù)庫包含了各種操作系統(tǒng)的各種漏洞信息，以及如何檢測漏洞的指令。由于新的漏洞會不斷出現(xiàn)，該數(shù)據(jù)庫需要經(jīng)常更新，以便能夠檢測到新發(fā)現(xiàn)的漏洞。

(2)用戶配置控制臺：用戶配置控制臺與安全管理員進行交互，用來設置要掃描的目標主機，以及掃描哪些漏洞。

(3)掃描引擎：掃描引擎是掃描器的主要部件。根據(jù)用戶配置控制臺的相關(guān)設置，掃描引擎構(gòu)造相應的數(shù)據(jù)包，發(fā)送到目標主機，將接收到的目標主機的應答數(shù)據(jù)包，與漏洞數(shù)據(jù)庫中的漏洞特征進行比較，來判斷所選擇的漏洞是否存在。

(4)報告生成工具：報告生成工具接收掃描引擎返回的掃描結(jié)果，生成掃描報告。掃描報告將列出用戶配置控制臺設置了哪些選項，根據(jù)這些設置，掃描結(jié)束后，在哪些目標系統(tǒng)上發(fā)現(xiàn)了哪些漏洞。

3 漏洞掃描器設計和實現(xiàn)

3.1 總體設計

本系統(tǒng)基于Windows NT網(wǎng)絡操作系統(tǒng)設計實現(xiàn)了漏洞掃描器，主要是通過對Windows操作系統(tǒng)中的弱口令用戶帳號、Web漏洞、FTP漏洞等一些常見漏洞進行檢測，實現(xiàn)對系統(tǒng)和網(wǎng)絡的漏洞掃描，并采用網(wǎng)頁的形式提交掃描報告。整個掃描器實現(xiàn)在Windows系統(tǒng)的TCP/IP網(wǎng)絡環(huán)境中，其總體結(jié)構(gòu)如圖1所示。其中運行Windows的工作站為發(fā)起掃描的主機（稱為掃描主機），在其上運行掃描模塊和用戶配置控制平臺。掃描模塊直接從掃描主機上通過網(wǎng)絡以其它機器為對象（稱為目標機）進行掃描，而控制平臺則提供一個人機交互的界面。整個掃描器的功能是基于VC++6.0集成開發(fā)環(huán)境來實現(xiàn)的。

基于網(wǎng)絡的漏洞掃描器的工作過程是當用戶通過配置控制平臺發(fā)出了掃描命令之后，配置控制平臺即向掃描模塊發(fā)出相應的掃描請求，掃描模塊在接到請求之后立即啟動相應的子功能模塊，對被掃描主機進行掃描。通過對目標主機返回信息的分析判斷，掃描模塊將掃描結(jié)果返回給漏洞報告生成模塊，該模塊將掃描結(jié)果以簡潔易懂的形式呈現(xiàn)給用戶。

漏洞掃描方式采用了最基本的TCP/UDP的完全連接方式，即在程序中通過調(diào)用socket函數(shù)connect()連接到目標主機上，掃描器的功能由不同的子模塊來實現(xiàn)。另外系統(tǒng)采用了多線程和TCP/UDP的非阻塞連接技術(shù)加快了系統(tǒng)掃描的速度。

3.2 漏洞庫設計

一個網(wǎng)絡漏洞掃描系統(tǒng)的靈魂就是它所使用的系統(tǒng)漏洞庫，漏洞庫信息的完整性和有效性決定了掃描系統(tǒng)的功能，漏洞庫的編制方式?jīng)Q定了匹配原則，以及漏洞庫的修訂、更新的性能，同時影響掃描系統(tǒng)的運行時間。

通過比較分析和實驗分析，在漏洞庫的設計中，我們遵循了以下兩條原則：

(1)文本方式記錄漏洞

從漏洞庫的簡易性、有效性出發(fā)，選擇以文本方式記錄漏洞。這樣易于用戶自己對漏洞庫進行添加配置。因此在提供漏洞庫升級的基礎(chǔ)上，又多出了一條途徑更新漏洞庫，以保持漏洞庫的實時更新，也使得漏洞庫可以根據(jù)不同的實際環(huán)境而具有相應的特色。

(2)建立針對網(wǎng)絡服務安全隱患的漏洞庫文件

服務器主機一般受到黑客對其提供的網(wǎng)絡服務的攻擊，而網(wǎng)絡服務是基于主機端口的，因此本系統(tǒng)基于端口掃描方式來進行漏洞掃描，并建立針對網(wǎng)絡服務安全隱患的漏洞庫文件。為了適應對不同網(wǎng)絡操作系統(tǒng)漏洞的檢測，漏洞庫文件應針對各操作系統(tǒng)建立網(wǎng)絡服務的不同漏洞信息。同時對漏洞危險性進行分級，這有助于系統(tǒng)管理員了解漏洞的危險性，從而決定所要采取的措施。

3.3 功能模塊設計

掃描功能模塊的設計使用了插件技術(shù)。每個插件都封裝一個或者多個漏洞的檢測手段，主掃描程序通過調(diào)用插件的方法來執(zhí)行掃描。僅僅是添加新的插件就可以使軟件增加新功能，掃描更多漏洞。根據(jù)插件編寫規(guī)范，用戶可以自己編寫插件來擴充掃描的對象。

(1)用戶配置控制模塊

該模塊為用戶提供了一個掃描配置及命令發(fā)送界面，可以用來設置目標機的IP范圍以及所掃描的漏洞類型，目前本掃描器僅實現(xiàn)了對系統(tǒng)弱口令、Web漏洞、FTP漏洞、DDos漏洞、RPC漏洞的掃描，系統(tǒng)用戶可以在配置界面中對以上系統(tǒng)漏洞進行相關(guān)信息的設置。

(2)掃描模塊

整個漏洞掃描器的核心是掃描模塊，該模塊實際上是由各掃描子模塊組成，每個掃描子模塊對應一種類型的漏洞。為了減少不必要的空檢測，提高系統(tǒng)的掃描速度，掃描主機在對指定IP的目標機進行掃描之前，首先向目標機發(fā)送ICMP回顯報文請求，根據(jù)返回值來分析判斷目標機是否在線。如果目標機在線，則采用TCP/UDP connect技術(shù)來對目標機的1~65535端口進行探測，若連接成功則表示端口服務處于打開狀態(tài)，此時可以開始根據(jù)用戶設置的掃描配置信息進行相應的漏洞掃描，即漏洞掃描建立在端口掃描基礎(chǔ)之上，這樣避免了不必要的掃描子模塊調(diào)用，進一步提高了系統(tǒng)效率。

當漏洞掃描模塊掃描完畢，就把所掃描到的漏洞信息與漏洞庫進行比較，如果某漏洞掃描結(jié)果與漏洞庫相匹配，表示系統(tǒng)存在該漏洞。

(3)漏洞報告生成模塊

漏洞匹配之后，由漏洞報告生成模塊負責記錄掃描分析結(jié)果，該模塊采用Web網(wǎng)頁的形式，將掃描信息寫入網(wǎng)頁中。每個主機上的信息用IP地址分開，而所有網(wǎng)段的信息都集中在一起，便于用戶查看所有的信息，系統(tǒng)管理員根據(jù)這些信息進行系統(tǒng)和網(wǎng)絡維護。

4 結(jié)束語

本文主要討論了基于網(wǎng)絡的漏洞掃描系統(tǒng)的體系結(jié)構(gòu)及實現(xiàn)技術(shù)，并針對一些常見漏洞實現(xiàn)了漏洞掃描功能，由于采用了插件技術(shù)設計漏洞掃描子模塊，便于針對新的漏洞擴充系統(tǒng)掃描對象，同時系統(tǒng)使用了多線程技術(shù)及socket非阻塞連接方式，提高了掃描速度。系統(tǒng)不足之處在于只是簡單給出了掃描的漏洞信息，并沒有提出全面的安全評估及合理改進建議，今后在系統(tǒng)的智能化方面需要加以完善。

參考文獻：

[1] 董玉格，等.攻擊與防護—網(wǎng)絡安全與實用防護技術(shù)[M].人民郵電出版社，2002.

[2] 許榕生，等.黑客攻擊技術(shù)揭秘[M].機械工業(yè)出版社，2002.

[3] Anonymous，等，著.朱魯華，等，譯.最高安全機密[M].機械工業(yè)出版社，2003.

[4] 馬安鵬.Visual C++ 6.0程序設計導學[M].北京科海電子出版社，2002.

[5] 康峰.網(wǎng)絡漏洞掃描系統(tǒng)的研究與設計[J].電腦開發(fā)與應用，2006(10).

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文