計算機網(wǎng)絡(luò)安全掃描技術(shù)研究

李秋銳

中國人民公安大學(xué) 北京 100038

0 引言

計算機網(wǎng)絡(luò)技術(shù)在給人們生產(chǎn)生活帶來巨大便利的同時，也存在著一系列的安全問題，給個人信息及財產(chǎn)造成了重大損失。網(wǎng)絡(luò)安全掃描技術(shù)，同防火墻技術(shù)，入侵檢測工具及防病毒工具一起構(gòu)成了保護網(wǎng)絡(luò)安全的重要手段。與其他被動防護手段不同的是，網(wǎng)絡(luò)安全掃描是一種主動的防護手段，通過網(wǎng)絡(luò)安全掃描，能及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備的安全漏洞，從而提早采取防護手段，避免網(wǎng)絡(luò)被惡意攻擊者攻擊。

1 主機探測

主機探測是網(wǎng)絡(luò)管理員維護網(wǎng)絡(luò)安全的第一步，通過主機探測能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的在線主機，了解網(wǎng)絡(luò)中IP地址分配以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)等一系列情況，為維護網(wǎng)絡(luò)安全提供的資料。主機探測利用ICMP協(xié)議，向目標(biāo)主機發(fā)送ICMP回聲請求數(shù)據(jù)包，然后等待響應(yīng)(也就是ping操作)。如果能收到目標(biāo)主機的應(yīng)答數(shù)據(jù)包，則說明主機在線，否則，目標(biāo)主機不在線。當(dāng)然，有些防火墻能夠阻止這樣的ICMP包通過。通過不斷的完善，主機探測發(fā)送的探測數(shù)據(jù)包還包括 ICMP時間戳數(shù)據(jù)包和ICMP地址掩碼請求數(shù)據(jù)包。

2 端口掃描

在TCP/IP通信中，相互通信的主機通過對方的IP地址識別目標(biāo)主機。然而，由于一臺主機上往往運行了多個應(yīng)用程序，僅僅只靠IP地址并不能區(qū)別不同程序的信息流。端口的引入就很好的解決了這個問題。在網(wǎng)絡(luò)通信中，首先把端口號和相應(yīng)的應(yīng)用程序綁定在一起，然后在數(shù)據(jù)包中表明具體的IP地址和端口號，目標(biāo)主機就知道該把收到的數(shù)據(jù)包上傳給哪個應(yīng)用程序進行處理了。在主機上，端口的開放說明了主機提供了相應(yīng)的服務(wù)，服務(wù)的存在也表明了漏洞的存在。因此，端口掃描常常是攻擊者和管理者活動的重要手段。

2.1 TCP全連接掃描

TCP通信是一種面前連接的可靠通信方式，相互通信的主機通過“三次握手”建立連接之后進行數(shù)據(jù)的傳輸。首先，客戶端主機向服務(wù)器發(fā)送 SYN數(shù)據(jù)包，數(shù)據(jù)包中給出了端口號，表明了所要請求的服務(wù)；接下來，服務(wù)器向客戶端主機發(fā)送SYN/ACK數(shù)據(jù)包，表示接受客戶端的請求；最后，客戶端主機向服務(wù)器發(fā)送 ACK數(shù)據(jù)包確認連接。至此，連接建立成功，客戶端和服務(wù)器可以進行正常通信。

TCP全連接是最典型最基本的一種端口掃描方式。掃描主機調(diào)用connect()連接，和目標(biāo)主機的相應(yīng)端口通過三次握手建立正常的 TCP連接。若被掃描主機的相應(yīng)端口是打開的，則返回一個ACK數(shù)據(jù)包，否則，返回RST數(shù)據(jù)包。這種方法簡單快速，而且不需要具有管理員權(quán)限。但是，三次握手的建立過程容易被入侵檢測系統(tǒng)和防火墻發(fā)現(xiàn)，掃描過程不具有隱蔽性。

2.2 TCP SYN掃描

在TCP SYN掃描中，掃描主機向目標(biāo)主機相應(yīng)的端口發(fā)送SYN數(shù)據(jù)包。若目標(biāo)端口是打開的，則返回ACK數(shù)據(jù)包，否則，返回RST數(shù)據(jù)包。與TCP全連接掃描不同的是，掃描主機在收到目標(biāo)主機返回的SYN/ACK數(shù)據(jù)包后，并沒有繼續(xù)發(fā)送ACK數(shù)據(jù)包建立一個完整的TCP連接，而是發(fā)送一個RST數(shù)據(jù)包終止了連接。由于正常的TCP連接并沒有被建立起來，因此TCP SYN掃描又被稱為半連接掃描。TCP STN的掃描速度更快，同時更不容易被入侵檢測系統(tǒng)發(fā)現(xiàn)。但這種方式的缺點是需要掃描主機構(gòu)造用于掃描的數(shù)據(jù)包。

2.3 秘密掃描

根據(jù)發(fā)送探測數(shù)據(jù)包的不同，秘密掃描又被分為 TCP FIN掃描，TCP Null掃描，TCP Xmas掃描，TCP ACK掃描，TCP SYN/ACK掃描等。在TCP FIN掃描中，掃描主機發(fā)送的數(shù)據(jù)包中的FIN位被置位，若目標(biāo)端口是打開的，則探測數(shù)據(jù)包被丟掉(因為此數(shù)據(jù)包不是建立正常 TCP連接的三次握手所使用的數(shù)據(jù)包，對于端口而言沒有意義)，否則，探測數(shù)據(jù)包被丟掉，同時返回RST數(shù)據(jù)包。其他幾種秘密掃描技術(shù)的原理基本相似。

2.4 UDP ICMP不可達掃描

事實上，互聯(lián)網(wǎng)上運行在UDP端口上的服務(wù)也有很多。UDP ICMP掃描向UDP端口發(fā)送UDP探測包，若目標(biāo)端口是關(guān)閉的，則返回ICMP端口不可達數(shù)據(jù)包。若經(jīng)過多次重發(fā)，掃描主機仍然沒有收到目標(biāo)端口響應(yīng)數(shù)據(jù)包，則說明目標(biāo)端口很可能是開放的(通常，開放的UDP端口對UDP探測數(shù)據(jù)包不做任何響應(yīng))。但是，由于UDP協(xié)議是非連接的，數(shù)據(jù)傳輸?shù)牟豢煽啃愿?，?jīng)常需要重傳數(shù)據(jù)包，影響了掃描的速度和準確性。

3 操作系統(tǒng)探測

目前，操作系統(tǒng)識別的方式很多，但其原理都是將目的主機對某些探測數(shù)據(jù)包的響應(yīng)和已知的操作系統(tǒng)指紋庫進行匹配識別來進行的。首先，通過采樣不同操作系統(tǒng)對各種探測數(shù)據(jù)包的反應(yīng)建立操作系統(tǒng)的指紋識別庫。掃描時，向目標(biāo)主機發(fā)送探測數(shù)據(jù)包，將其響應(yīng)數(shù)據(jù)包和指紋數(shù)據(jù)庫進行匹配，從而識別操作系統(tǒng)的類型。

目前，根據(jù)探測數(shù)據(jù)包的構(gòu)造方式不同，比較流行操作系統(tǒng)探測有以下幾種。

3.1 TCP/IP協(xié)議棧的指紋探測技術(shù)

由于操作系統(tǒng)系統(tǒng)架構(gòu)及不同版本之間的差異，不同的操作系統(tǒng)在實現(xiàn) TCP/IP協(xié)議時是不一樣的，可以利用這種差異來區(qū)別不同的操作系統(tǒng)類型。此種方法主要用到以下技術(shù)手段：FIN探測，BOGUS標(biāo)記探測，TCP SYN取樣，TCP時間戳，TCP初始化窗口，ACK值等。

這種方法實現(xiàn)簡單，可供選擇的探測技術(shù)較多，易擴充。不過探測數(shù)據(jù)包易受實際網(wǎng)路情況的影響，穩(wěn)定性不高，常常需要綜合運用多種方式。

3.2 基于RTO采樣的指紋識別

TCP協(xié)議通過對傳輸數(shù)據(jù)進行確認來實現(xiàn)可靠的數(shù)據(jù)傳輸。然而在實際網(wǎng)絡(luò)環(huán)境中，傳輸?shù)臄?shù)據(jù)和確認都可能發(fā)生丟失。TCP在傳輸數(shù)據(jù)時會設(shè)置一個重發(fā)定時器，當(dāng)定時器溢出之后，還沒有收到確認，就進行數(shù)據(jù)的重傳。該重發(fā)定時器的時間間隔就被稱為RTO(Retransmission Timeout)。

不同操作系統(tǒng)在計算RTO時使用的方法是不同的。因此，可以利用這一點來實現(xiàn)對遠程主機操作系統(tǒng)的探測。首先向目標(biāo)主機選定的開放端口發(fā)送TCP SYN包，然后使用堵塞模塊阻止目標(biāo)端口響應(yīng)的SYN/ACK包到達掃描主機，迫使目標(biāo)主機不斷超時重發(fā)SYN/ACK包。得到每次的超時重傳時間，再和數(shù)據(jù)庫中的特征進行匹配計算識別出操作系統(tǒng)類型。

這種方法的優(yōu)點是只需要得到目標(biāo)主機的一個開放的端口就可以進行對操作系統(tǒng)進行準確的識別。同時，不會在網(wǎng)絡(luò)中產(chǎn)生很多畸形的數(shù)據(jù)包，不會對目標(biāo)主機產(chǎn)生很多不良影響。但是，由于需要等待目標(biāo)主機的大量超時重傳，會花費更多的掃描時間。

3.3 基于ICMP響應(yīng)的指紋辨識

ICMP是TCP/IP協(xié)議族的一個子協(xié)議，用于在主機與路由器之間傳遞控制信息，包括報告錯誤、交換受限控制和狀態(tài)信息等。當(dāng)遇到IP數(shù)據(jù)無法訪問目標(biāo)、IP路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時，會自動發(fā)送ICMP消息。

ICMP報文總體上分為兩種：ICMP查詢報文和ICMP差錯報文。利用ICMP進行操作系統(tǒng)探測的方式有兩種。一種是可以向目標(biāo)主機發(fā)送多種類型的查詢報文捕獲響應(yīng)數(shù)據(jù)包進行分析；另一種是 TCP/IP數(shù)據(jù)包使目標(biāo)主機觸發(fā)差錯報文，從響應(yīng)的差別中對操作系統(tǒng)進行辨識。

由于只發(fā)送ICMP數(shù)據(jù)包，基于ICMP響應(yīng)的指紋識別算法速度很快，并且不會對目標(biāo)主機產(chǎn)生不良影響。另外，由于匹配算法得以改進，操作系統(tǒng)簽名數(shù)據(jù)庫容易建立和更新。這種方法的缺點是探測技術(shù)單一，只依賴一種類型的數(shù)據(jù)包，穩(wěn)定性不足，更難進行技術(shù)上的更新。

4 漏洞掃描

對于網(wǎng)絡(luò)管理員而言，保護網(wǎng)絡(luò)安全的關(guān)鍵是要及時發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)/主機上存在的各種安全漏洞，并采取有效的修補措施，使得系統(tǒng)免受惡意攻擊。安全漏洞往往是針對某一特定操作系統(tǒng)的某一具體服務(wù)的，也就是說，是針對某一具體端口存在的，因此，在網(wǎng)絡(luò)安全掃描中，漏洞掃描常常是建立在端口掃描和操作系統(tǒng)探測基礎(chǔ)上的。從實現(xiàn)原理上講，漏洞掃描又分為基于漏洞庫的匹配技術(shù)和插件技術(shù)。

4.1 基于漏洞庫的匹配技術(shù)

在這種漏洞掃描方式中，網(wǎng)絡(luò)掃描系統(tǒng)首先根據(jù)已知的各種安全漏洞建立一個漏洞特征信息庫。然后，向目標(biāo)主機發(fā)送各種數(shù)據(jù)包，根據(jù)對響應(yīng)數(shù)據(jù)包的分析，基于規(guī)則匹配原則與漏洞庫中的特征值進行匹配，從而確定主機的安全漏洞。因此，漏洞特征信息庫中特征信息的完整性和可信性就決定了掃描的效率和準確性，同時信息庫信息的更新和修訂也會影響掃描系統(tǒng)的時間。

4.2 插件技術(shù)

這種方法就是模擬黑客的各種攻擊行為，將每一種攻擊方法都用腳本語言進行編寫得到插件。當(dāng)進行掃描時，掃描工具自動調(diào)用插件對系統(tǒng)或主機進行攻擊。若攻擊成功，則表明存在相應(yīng)的漏洞。插件程序獨立于主程序，編寫方便易行，因此，掃描系統(tǒng)的功能擴展更加的方便，只需要在系統(tǒng)中增加新出現(xiàn)的安全漏洞的插件模塊即可。

5 結(jié)論

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全掃描技術(shù)也在不斷的成熟更新中。但是，新的問題和新的挑戰(zhàn)總會不斷的涌現(xiàn)出來，給網(wǎng)絡(luò)安全掃描技術(shù)帶來了不少的難題，需要不斷的努力研究。

[1] 洪宏,張玉清,胡予濮,戴祖峰.網(wǎng)絡(luò)安全掃描技術(shù)研究[J].計算機工程.2004.

[2] 周峰.一種網(wǎng)絡(luò)漏洞探測系統(tǒng)的設(shè)計與實現(xiàn)[D].武漢科技大學(xué).2006.

[3] 趙妙軍.淺析網(wǎng)絡(luò)安全掃描技術(shù)[J].信息技術(shù).2010.