網絡安全掃描關鍵技術分析

◆陳志濤 魏杰 張宇輝

（順德職業技術學院 廣東 528300）

網絡安全已經成為全社會關注的話題，是國家安全的重要組成部分，提高網絡安全性可以保證人民群眾的信息安全和財產安全。網絡安全掃描是確保網絡安全的關鍵步驟，通過網絡安全掃描可以及時發現網絡主機運行中存在的安全配置問題，對網絡安全的風險等級進行評估，根據漏洞提出相應的解決方案。為了加強網絡安全掃描技術的應用，本文對網絡安全掃描的關鍵技術進行分析。

1 傳統的網絡安全掃描技術

網絡安全掃描是一種主動的防御技術，主要是利用掃描器對網絡服務器中的端口和軟件信息進行尋找，根據各種信息判斷是否存在安全漏洞。傳統的網絡安全掃描技術主要有以下4種，具體的論述如下：

1.1 弱口令掃描技術

弱口令安全掃描技術主要是利用用戶口令強度對口令的安全性能進行評估，如果評估的結果顯示用戶口令的強度不高則需要發出警告至網絡管理員或者是系統的用戶，及時對口令強度進行修改以滿足網絡安全的需求。在進行弱口令掃描時，主要技術是運行暴力破解程序。暴力破解是黑客攻擊時通過口令猜測程序對口令進行破解，如果用戶的密碼復雜程度較高則黑客破解時比較困難，這樣可以在一定程度上提高網絡系統的安全性。

1.2 漏洞掃描技術

漏洞掃描技術是對網絡系統的軟件和硬件基礎設施或者網絡安全策略所造成的網絡安全隱患進行掃描，掃描目標為網絡參數配置、網絡安全協議、應用系統缺陷。在漏洞掃描過程中若存在網絡安全威脅如未經授權的訪問、破壞網絡安全的行為等則會發出警報。網絡安全漏洞掃描過程中，采用插件技術方法（利用腳本語言對掃描漏洞程序進行編寫）和漏洞特征匹配方法（掃描程序根據漏洞類型進行匹配與檢測）。

1.3 端口掃描技術

端口掃描技術主要是掃描網絡中潛在通信通道。掃描的方式主要有兩種，第一種將掃描探測數據包發送至被檢測的目標對象的TCP/IP服務端口，并記錄相關的反饋信息，對反饋的信息進行分析判斷以掌握端口運行的數據信息；第二種是通過接收網絡主機/服務器的數據實現主機運行情況的監視，數據分析過程中及時發現網絡中存在的安全威脅。端口掃描的方式包括TCP全連接掃描和TCP半連接掃描兩種。TCP全連接掃描主要包括三個過程階段，一是主機端口的Syn報文發送，二是端口Syn/Ack信息反饋，三是再向端口發送Ack報文。TCP半連接掃描的只需開放相關的權限就可以實現，不一定實現完全連接，主要流程是通過掃描程序向目標端口發送Syn報文，通過反饋回來的信息對端口的狀態如偵聽、關閉等進行反饋。端口如果是關閉的狀態則會回復RST，如果端口是未關閉的狀態則會回復SYN/ACK。

TCP掃描的優點是實現比較簡單，系統中的任何用戶都可以調用TCP掃描，掃描的速度很快，可以打開多個套接字實現端口的調用而加速掃描。TCP掃描的缺點是容易被發現，在主機的日志記錄中留下痕跡，關閉的速度快。

1.4 操作系統探測技術

操作系統探測是對操作系統進行檢查的一種手段，通過提高操作系統的安全性來提高網絡安全性。隨著操作系統的更新換代及功能的不斷強大，結構也越來越復雜，導致操作系統存在的安全隱患。很多黑客在對網絡進行攻擊時，首先要對操作系統進行攻擊，收集及分析操作系統的相關信息。因此，需要對操作系統進行安全探測。傳統的探測技術主要包括TCP/IP協議棧指紋探測（判定操作系統實現過程中TCP/IP協議棧差別）和應用層探測（通過主機記錄訪問或發送服務連接的方式判定操作系統的相關信息）兩類。TCP/IP協議棧指紋探測在應用過程中包括三個步驟：建立連接、數據傳輸、終止連接。

2 基于搜索引擎的非入侵式網絡安全掃描技術

隨著計算機技術的發展，搜索引擎的功能不斷強大，其類型也呈現出多樣化的發展趨勢。非入侵式掃描技術利用搜索引擎的實現主要有以下兩種方法。

2.1 基于通用搜索引擎的非入侵式掃描

“谷歌”的搜索引擎的索引總頁面數已經超過萬億個，“谷歌”黑客技術就是利用搜索引擎進行安全漏洞的掃描及敏感信息的分析，同時形成了谷歌黑客索引查詢數據庫GHDB。此外，還有很多學者對“谷歌”搜索引擎的網絡安全掃描技術進行了分析，黃超在研究中利用GHDB對Web安全漏洞進行掃描，通過谷歌的緩存機制和Alert服務自動跟蹤搜索結果，如果存在SQL注入漏洞，則可以利用搜索引擎對服務端頁面及Web應用程序中的漏洞進行檢查。利用端口信息也可以實現搜索引號和服務關鍵詞搜索，獲得相應的搜索結果之后與谷歌黑客索引查詢引擎的端口數據庫GHDB中的相關數據進行對比，以判定是否存在安全威脅。利用谷歌搜索引擎對網絡安全進行非入侵式掃描具有操作簡單、掃描隱蔽、掃描目標廣泛等優點，但只是對已知的Web漏洞檢測效果好，對于其他類型漏洞的掃描準確性還有必要進一步提升。

2.2 基于專用搜索引擎的非入侵式掃描

網絡安全搜索引擎的發展也十分迅速，包括諦聽、Censys、Shodan等，以Shodan為例進行分析。Shodan由美國人創建，創建時間為2009年，至今已經十一年的時間，該搜索引擎最多可以獲得50個搜索結果，同時支持多種格式的搜索結果輸出。Shodan是一種基于攔截器的搜索引擎，通過端口攔截相應的信息建立搜索索引得到相應的結果。基于Shodan的非入侵式網絡安全漏洞掃描在應用過程中獲得結果之后需要對漏洞知識和相應的信息進行關聯分析，從而得到被檢測的目標系統的脆弱信息，以確定是否存在安全威脅。基于Shodan的非入侵式網絡安全漏洞掃描主要包括兩步：第一步：通過ShodanAPI或者Shodan搜索引擎查詢數據庫中的相關資產信息或者服務信息，獲得信息之后根據相應的格式進行整理，通過整理提高資產發現的準確性，同時結合IP歸屬信息數據庫實現數據庫信息的驗證；第二部，獲得查詢的資產信息或服務信息，通過與漏洞知識庫中的相關信息進行對比，以判定被檢測的目標系統是否存在漏洞，查詢之后發布相應的結果，對于涉及漏洞的信息進行匯總和處理，預測存在的安全漏洞，如果存在安全漏洞則需要提出相應的網絡安全防護意見，進行漏洞修復。NVD即國家漏洞數據庫，該數據庫是我國目前比較權威的漏洞數據庫之一，漏洞信息比較全面，國外也有應用的漏洞數據庫如OSVDB。

3 結束語

網絡安全掃描技術是一類重要的確保網絡安全的技術。當前網絡安全問題日益嚴重，網絡安全掃描技術的發展也越來越完善，掃描效果也越來越好，可以及時發現網絡中存在的安全威脅。通過網絡安全掃描技術，管理員可以及時發現網絡中存在的安全問題，從而采取相應的措施，但是當前的網絡安全掃描技術各有優缺點，還需要加強研究，進一步完善技術。