網(wǎng)絡(luò)系統(tǒng)安全漏洞掃描分析范文
本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)系統(tǒng)安全漏洞掃描分析參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
引言
在當(dāng)今社會,由于信息化進(jìn)程的加快,互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)已經(jīng)滲透到人們?nèi)粘I钪械姆椒矫婷妫S之帶來的網(wǎng)絡(luò)系統(tǒng)安全問題也不容忽視。值得慶幸的是,網(wǎng)絡(luò)技術(shù)日新月異,市面上已經(jīng)存在多種成熟的漏洞掃描技術(shù)來維護(hù)網(wǎng)絡(luò)信息安全。
1采用網(wǎng)絡(luò)漏洞掃描的原因
系統(tǒng)安全問題不是絕對的,漏洞可能潛藏在任何一個完美系統(tǒng)之中。而網(wǎng)絡(luò)系統(tǒng)安全漏洞掃描技術(shù)現(xiàn)已日臻成熟,是一個已普遍應(yīng)用于實際的工具。通過排查漏洞進(jìn)行有效的防范,保障通信服務(wù)的正常運行。也可進(jìn)行人工檢測,但是對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行整理分析耗時過長,且易產(chǎn)生錯漏。假如使用網(wǎng)絡(luò)漏洞掃描技術(shù),除了方便之外還很快捷。
2網(wǎng)絡(luò)系統(tǒng)安全漏洞掃描相關(guān)概念
2.1安全漏洞
網(wǎng)絡(luò)安全漏洞基本劃分成兩種:操作系統(tǒng)漏洞和應(yīng)用軟件漏洞。應(yīng)用軟件漏洞大部分是互聯(lián)網(wǎng)服務(wù)軟件的漏洞,如WWW服務(wù)漏洞、FTP服務(wù)漏洞、SMTP服務(wù)漏洞、Telnet服務(wù)漏洞等。[1]相同的網(wǎng)絡(luò)服務(wù)也會由多個迥異的服務(wù)程序提供,所以,在共同具有的漏洞之外,不可避免地仍然會有部分各服務(wù)程序所包括的漏洞。操作系統(tǒng)漏洞大部分是計算機(jī)本身所帶系統(tǒng)中的幾種主要的RPC漏洞、NetBIOS漏洞等。
2.2漏洞掃描
網(wǎng)絡(luò)系統(tǒng)開發(fā)者或管理者運用合適的網(wǎng)絡(luò)技術(shù),查看運行中的Web站點,局域網(wǎng),網(wǎng)絡(luò)服務(wù)和協(xié)議,在非法入侵者操縱這些常見漏洞危害系統(tǒng)安全之前,找出其中的脆弱環(huán)節(jié),加以完善,防患于未然。現(xiàn)階段市面上通行的漏洞掃描服務(wù)器均可以對上述兩種不同的漏洞進(jìn)行排查。
3漏洞掃描技術(shù)概論
3.1兩種掃描策略
安全漏洞檢測主要通過兩個策略進(jìn)行,其一,主動式掃描,其二,被動式掃描。所謂被動式策略就是基于服務(wù)器,從內(nèi)部角度更加深入地掃描目標(biāo)主機(jī),如排查注冊表和用戶配置。運用必要數(shù)據(jù)確定,密碼排查等方式,以警告式的提醒的形式反饋給管理者,最終形成分析圖表,提示管理者該怎樣去完善系統(tǒng)。主動式策略是在網(wǎng)絡(luò)之上的,從外部攻擊者的角度,運用仿真Hacker通過網(wǎng)絡(luò)端發(fā)送封包,判斷標(biāo)準(zhǔn)是當(dāng)主機(jī)接收到封包后作出的響應(yīng),從而了解主機(jī)的操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和防火墻系統(tǒng)是否存在漏洞。
3.2兩種測試方式
系統(tǒng)安全測試方式有兩類,掃描和虛擬攻擊。虛擬攻擊則是采用一系列虛擬進(jìn)攻的方式,對操作系統(tǒng)和網(wǎng)絡(luò)中可能總是潛藏的安全漏洞的位置展開攻擊,逐步排查出系統(tǒng)中潛藏安全漏洞。掃描是指對目標(biāo)主機(jī)全方位掃描,即通過與系統(tǒng)中的一些網(wǎng)絡(luò)端口進(jìn)行連接并請求特定的服務(wù)(如TELNET,FTP等),一一保存目標(biāo)主機(jī)的響應(yīng),整理匯總后得到操作系統(tǒng)的安全漏洞信息。
3.3掃描步驟
進(jìn)行漏洞掃描的全過程包括三個主要步驟:第一步,尋找目標(biāo)主機(jī)或網(wǎng)絡(luò),并檢測是否正在運行;第二步,找出目標(biāo)后,匯總更為具體的相關(guān)信息,包含操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等。如果所發(fā)現(xiàn)目標(biāo)是一個網(wǎng)絡(luò),便能夠再繼續(xù)深入檢測這個網(wǎng)絡(luò)的組成結(jié)構(gòu)、服務(wù)協(xié)議和主機(jī)等資料;第三步,按照匯集到的資料識別以及更加深入檢測該目標(biāo)主機(jī)上是不是具有系統(tǒng)漏洞。[3]
4主要的漏洞掃描技術(shù)
4.1PING掃描(PingSweep)
PING掃描多用于尋找目標(biāo)主機(jī)和網(wǎng)絡(luò),即第一步驟。具體是使用操作系統(tǒng)中原生的工具“ping”,再加上目標(biāo)的IP地址,根據(jù)是否能夠收到目標(biāo)主機(jī)的回應(yīng),來判斷是否正處于運行中。但是,一些主機(jī)系統(tǒng)出于安全性的考慮,防火墻會自動進(jìn)行屏蔽,從而導(dǎo)致PING掃描無法得出正確信息。當(dāng)發(fā)生該種情況,管理者可以嘗試給目標(biāo)主機(jī)發(fā)送錯誤數(shù)據(jù)包,以使其不得不作出ICMP出錯的響應(yīng),以此檢測出是否正在運行。
4.2操作系統(tǒng)探測
所謂操作系統(tǒng)探測是對目標(biāo)主機(jī)中的操作系統(tǒng)進(jìn)行檢測。一般會在漏洞掃描的第二階段使用,通常有下列幾種類型:(1)匯總二進(jìn)制數(shù)據(jù),加以分析實現(xiàn)后獲得相應(yīng)的標(biāo)識信息。(2)根據(jù)不同ICMP響應(yīng)來識別目標(biāo)主機(jī)的操作系統(tǒng),做法是發(fā)送ICMP或者UDP的請求報文至目標(biāo)主機(jī)后解析ICMP回應(yīng)。(3)與NAMP及Que-SO相類似的分段響應(yīng)分析,即發(fā)送所產(chǎn)生的特定的相關(guān)技術(shù)請求至目標(biāo)主機(jī)端口,通過分析不同分段的相異回應(yīng),在極小的誤差內(nèi)獲取主機(jī)的操作系統(tǒng)信息。NAMP和Que-SO將首次實現(xiàn)分離數(shù)據(jù)庫用于指紋庫,新的指紋信息以一種較為簡易的模板形式增添入原數(shù)據(jù)庫中,并能根據(jù)指紋數(shù)據(jù)庫的增多進(jìn)行較多的目標(biāo)主機(jī)信息判別。(4)初始化序列號分析,使用隨機(jī)產(chǎn)生的序列號進(jìn)行大量的測試,收集匯總測試結(jié)果來識別目標(biāo)操作系統(tǒng)的具體信息。(5)特定的操作系統(tǒng),以拒絕服務(wù)的方式運用在操作系統(tǒng)指紋探測之上。
4.3如何探測訪問控制規(guī)則
該種方式類似于路由跟蹤(trace-route)的IP數(shù)據(jù)包分析方法,能夠極其有效的得到已受防火墻系統(tǒng)保護(hù)的內(nèi)部數(shù)據(jù),以及更為內(nèi)部的過濾設(shè)備后的路由器。是否能夠探測到特定網(wǎng)關(guān)或者已開啟的端口,可以通過檢測一種帶著特定控制信息的數(shù)據(jù)包是否可以傳輸?shù)侥繕?biāo)主機(jī)。
4.4端口掃描技術(shù)
主機(jī)或設(shè)備一般都支持TCP/IP網(wǎng)絡(luò)協(xié)議,且是運用網(wǎng)絡(luò)端口提供所需服務(wù),因此網(wǎng)絡(luò)安全漏洞常常會在網(wǎng)絡(luò)端口處顯現(xiàn)出來,端口掃描技術(shù)便是基于此建立的。目前主要有如下四種端口掃描技術(shù)。
(1)TCPconnect掃描
該種技術(shù)是現(xiàn)行端口掃描技術(shù)中最為普遍的一種。使用原生操作系統(tǒng)中的連接系統(tǒng)來連接所感興趣的目標(biāo)主機(jī)的網(wǎng)絡(luò)端口。假如連接系統(tǒng)形成,則說明這個端口正是運行時的情況。假如連接不能形成,則該端口不是處于活動情況。該種掃描技術(shù)極其快捷,并且不需要授權(quán)任何權(quán)限,但是會存在被目標(biāo)主機(jī)中的系統(tǒng)檢測到并過濾的風(fēng)險。
(2)TCPSYN掃描
亦稱作“半開放”檢測,不需要形成一整個的特定連接。只需要發(fā)送一個稱為SYN的數(shù)據(jù)包,就相當(dāng)于建立了一個真實的待響應(yīng)的連接。得到相應(yīng)的獨特的回應(yīng)信息,便說明該端口正處于運行狀態(tài)。假如并沒有處于運行狀態(tài),則會得到一個RST回應(yīng)信息。這種掃描方式的優(yōu)勢是同進(jìn)行全掃描的所留存的痕跡相比,試圖建立連接的留存痕跡,哪怕是對日志中掃描有留存痕跡,也要少得多。劣勢之處在于,絕大部分的操作系統(tǒng)下,目標(biāo)主機(jī)需要建立一種掃描用的IP包,但這種IP包并非人人都能夠使用,只允許VIP用戶或者授權(quán)用戶在專屬的系統(tǒng)之中獲取。
(3)秘密掃描
秘密掃描技術(shù)與上種技術(shù)相類似,都是需要通過自己建立IP包,但兩者的區(qū)別在于秘密掃描更加的隱蔽,掃描記錄不會被記錄下來。該種方式根據(jù)FIN數(shù)據(jù)包來探測端口的活動狀態(tài),這個數(shù)據(jù)包可以穿過一個包過濾器,假設(shè)它逐漸地抵達(dá)一個未開啟的端口,在這個過程中將會被舍棄,同時回復(fù)特殊信息。與之相反,達(dá)到已開啟的端口,那么,在舍棄數(shù)據(jù)包的同時不會回復(fù)該種特殊信息。此種技術(shù)還有兩個改編版本,即是Xmas的Null掃描。前者打開相應(yīng)的標(biāo)記,再向主機(jī)發(fā)送對應(yīng)的分組,假如端口未開啟,則回復(fù)RST消息。后者則掃描關(guān)閉所有的標(biāo)記。這些分組皆是為了能夠通過過濾。秘密掃描只可用來區(qū)分Unix及WindowsNT,區(qū)分其他操作系統(tǒng)時,不論端口是不是開啟都會回復(fù)特定信息,導(dǎo)致該技術(shù)失效。
(4)認(rèn)證掃描
在各個運行端口上某過程的ID可以通過認(rèn)證協(xié)議獲得,再探索進(jìn)行端口連接,連接形成便能夠傳遞認(rèn)證請求到目標(biāo)主機(jī)端口,端口檢測過后,得到的網(wǎng)絡(luò)服務(wù)數(shù)據(jù)同已知的網(wǎng)絡(luò)漏洞檢測系統(tǒng)存在的漏洞庫進(jìn)行比對,一旦滿足相關(guān)條件,那么就能夠認(rèn)為漏洞存在。這種技術(shù)同時常常使用在逆向認(rèn)證掃描之中。
5結(jié)語
基于網(wǎng)絡(luò)上的主動式策略,具有價格便宜,操作簡便,維護(hù)簡單等優(yōu)點,當(dāng)然也有幾點較為明顯的缺點,首先,它不能夠檢測到目標(biāo)內(nèi)部中的文件系統(tǒng);其次,它無法穿過防火墻;最終,漏洞掃描服務(wù)器和目標(biāo)主機(jī)之間進(jìn)行通行時的加密機(jī)制可能被入侵者反利用。基于服務(wù)器上的被動式策略,它所具備的優(yōu)點有:掃描漏洞的數(shù)量多,流量負(fù)載壓力小,集中化管理,加密機(jī)制完善。缺點有:當(dāng)待查主機(jī)過多時,所需檢測服務(wù)器多,價格較為高昂。操作不夠簡便,檢測范圍擴(kuò)大之后,耗時過長。因而,從更深層次的網(wǎng)絡(luò)系統(tǒng)安全防范來說,人們應(yīng)更加注重主動式掃描,除此之外,黑客們從最初的漏洞利用,到悄然運行的木馬病毒,入侵方式也在不斷地發(fā)展變化。所以,并不存在能夠一勞永逸的防范非法入侵的漏洞掃描技術(shù),仍需要科研人員不斷進(jìn)行完善,以及開發(fā)研究新技術(shù)。
引用:
[1]姜成斌,鄭薇,趙亮,姜麗萍.論漏洞掃描技術(shù)和網(wǎng)絡(luò)安全[J].中國信息界,2013.
[2]張文海.網(wǎng)絡(luò)安全漏洞技術(shù)掃描研究[J].福建電腦,2011.
[3]羅永昌,王基一.網(wǎng)絡(luò)系統(tǒng)安全漏洞掃描淺析[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報,2006.
作者:孫小平 單位:杭州安恒信息技術(shù)有限公司