周緋菲　潘　杰　郝曉冰　王觀?！⊥跷慕堋『巍∥?/p>

摘 要：為解決中型局域網(wǎng)用戶主機(jī)普遍存在的具有容易被蠕蟲(chóng)病毒利用的嚴(yán)重安全漏洞的問(wèn)題,通過(guò)對(duì)某單位校園網(wǎng)的安全設(shè)計(jì)工程安全方案的研究,提出采用將計(jì)費(fèi)網(wǎng)關(guān)與漏洞掃描技術(shù)相結(jié)合的方式，解決用戶主機(jī)的補(bǔ)丁包升級(jí)、漏洞掃描以及漏洞主機(jī)提示等問(wèn)題.結(jié)果表明該技術(shù)對(duì)于其他中小型規(guī)模的局域網(wǎng)具有一定的參考價(jià)值.

關(guān)鍵詞：局域網(wǎng)； 漏洞掃描； 補(bǔ)丁升級(jí)； 校園網(wǎng)

中圖分類號(hào)：TP309.7； TP393.08文獻(xiàn)標(biāo)志碼：A

Technology combined with local area networks

cost gateway and leak scanning

ZHOU Feifei1, PAN Jie2, HAO Xiaobing3, WANG Guanhai3,

WANG Wenjie4, HE Wen1

(1.Department of Computer, Beijing Communication Management Institute, Beijing 100020, China;

2. Merchant Marine College, Shanghai Maritime Univ., Shanghai 200135, China; 3. Library, Yanshan Univ.,

Qinhuangdao Hebei 066004, China; 4. Graduate School, Chinese Academy of Sciences, Beijing 100049, China)

Abstract： In order to solve the serious security leak problem easily imposed by worms in middle or small scale LAN, a technology combined with local area networks cost gateway and leak scanning is proposed based on the study of the safety program in the safe project engineering of a campus network. In this technology, problems such as updating the patch package of the main computers of client in the campus network, scanning serious leak, notifying the computers which have serious leaks, and so on, have been solved. The result shows that it has some referencing value to other middle-scale or small-scale campus networks or enterprise networks.

Key words： local area network; leak scanning;patch updating； campus network

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，幾乎所有的企事業(yè)單位都擁有局域網(wǎng)，局域網(wǎng)的安全問(wèn)題變得更加突出.由于局域網(wǎng)的終端用戶普遍缺乏安全意識(shí)，不能及時(shí)為操作系統(tǒng)安裝最新的補(bǔ)丁包，使得用戶主機(jī)存在嚴(yán)重的操作系統(tǒng)漏洞，經(jīng)常被蠕蟲(chóng)病毒［1-3］利用緩沖區(qū)溢出等方式遠(yuǎn)程入侵并在局域網(wǎng)范圍內(nèi)廣泛傳播，造成大量局域網(wǎng)主機(jī)無(wú)法正常使用以及網(wǎng)絡(luò)服務(wù)無(wú)法正常進(jìn)行的情況.如何保證客戶端主機(jī)補(bǔ)丁包及時(shí)升級(jí)、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞主機(jī)，對(duì)保證局域網(wǎng)的安全非常重要.

1 網(wǎng)絡(luò)級(jí)漏洞掃描技術(shù)的原理

網(wǎng)絡(luò)級(jí)漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的核心技術(shù)，與防火墻、入侵檢測(cè)等技術(shù)不同，其從另一個(gè)角度解決網(wǎng)絡(luò)安全問(wèn)題.標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)是根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)所形成.相應(yīng)的匹配規(guī)則在此基礎(chǔ)上構(gòu)成，由掃描程序自動(dòng)進(jìn)行漏洞掃描.該方法可用來(lái)檢查網(wǎng)絡(luò)中的目標(biāo)主機(jī)是否存在漏洞（通過(guò)端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)），并將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在.這種技術(shù)效率較高、誤警率較低，符合局域網(wǎng)的安全需要.

2 病毒警告技術(shù)的整體規(guī)劃

除將子網(wǎng)更加細(xì)化以降低蠕蟲(chóng)病毒的危害范圍外，使用微軟公司的SUS服務(wù)器，并且與校園網(wǎng)做聯(lián)動(dòng)：在核心交換機(jī)與防火墻之間加入計(jì)費(fèi)網(wǎng)關(guān)；核心交換機(jī)采用端口鏡像技術(shù)，并將鏡像端口與流量監(jiān)控主機(jī)相連；安裝微軟的自動(dòng)升級(jí)服務(wù)器，保證校園網(wǎng)服務(wù)器的操作系統(tǒng)每天升級(jí)；利用編寫(xiě)的Perl代碼以及微軟的kb工具對(duì)校園網(wǎng)的各個(gè)客戶端每天進(jìn)行補(bǔ)丁掃描，防止蠕蟲(chóng)病毒的入侵與蔓延.通過(guò)在核心交換機(jī)網(wǎng)絡(luò)出口處布置的入侵檢測(cè)系統(tǒng)（或者sniffer），可以檢測(cè)出中了蠕蟲(chóng)病毒并且對(duì)網(wǎng)絡(luò)性能有極大影響的機(jī)器，然后通知用戶及時(shí)處理.如果中毒主機(jī)的用戶對(duì)通知不予理會(huì)，那么這臺(tái)中毒主機(jī)將不能訪問(wèn)因特網(wǎng).通過(guò)該方案，可以使用戶在最短的時(shí)間內(nèi)發(fā)現(xiàn)病毒，并在計(jì)費(fèi)網(wǎng)關(guān)登錄頁(yè)面處進(jìn)行頁(yè)面跳轉(zhuǎn)，暫時(shí)中止用戶上網(wǎng)，直至用戶按照網(wǎng)絡(luò)中心提供的方法將病毒清除干凈為止.圖1為拓?fù)浣Y(jié)構(gòu).

為提醒校園網(wǎng)用戶能及時(shí)安裝補(bǔ)丁，利用微軟提供的1個(gè)安全補(bǔ)丁掃描程序，在每天更新這個(gè)掃描程序的前提下，編制代碼使之定時(shí)（每天12：00）

掃描校園網(wǎng)全網(wǎng)的機(jī)器，檢查其是否安裝安全補(bǔ)丁，把掃描結(jié)果保存到數(shù)據(jù)庫(kù)packip的machine表單中.然后在校園網(wǎng)幾個(gè)訪問(wèn)最頻繁的網(wǎng)頁(yè)上，通過(guò)后臺(tái)腳本讀取訪問(wèn)網(wǎng)站的用戶IP，根據(jù)保存在數(shù)據(jù)庫(kù)中的數(shù)據(jù),判斷是否安裝安全補(bǔ)丁.如果沒(méi)有安裝，則在醒目位置提醒用戶到升級(jí)服務(wù)器上及時(shí)安裝補(bǔ)丁.首先將通知程序和漏洞掃描的數(shù)據(jù)庫(kù)連接在一起.通知程序可以改變計(jì)算機(jī)IP的狀態(tài)（如中毒或流量異常等），漏洞掃描可以判斷IP所對(duì)應(yīng)的計(jì)算機(jī)是否有漏洞.當(dāng)用戶需要訪問(wèn)因特網(wǎng)上的站點(diǎn)時(shí)，首先登錄計(jì)費(fèi)網(wǎng)關(guān).計(jì)費(fèi)網(wǎng)關(guān)是否允許訪問(wèn)需要1個(gè)判斷程序，即從剛才的machine表單中提取數(shù)據(jù).如果此IP所對(duì)應(yīng)的主機(jī)有漏洞，提示安裝補(bǔ)丁，但可訪問(wèn)因特網(wǎng)；如果該IP所對(duì)應(yīng)的主機(jī)中毒，則跳轉(zhuǎn)到相關(guān)頁(yè)面，告訴用戶如何處理，等清除病毒后再次進(jìn)行判斷，直至病毒被清除干凈為止；如果此IP不在數(shù)據(jù)庫(kù)表單里或者此IP對(duì)應(yīng)的主機(jī)沒(méi)有中毒，則可正常訪問(wèn)因特網(wǎng).

3 計(jì)費(fèi)網(wǎng)關(guān)與漏洞掃描相結(jié)合的技術(shù)設(shè)計(jì)技術(shù)設(shè)計(jì)流程見(jiàn)圖2.

判斷是否中毒，可選擇使用sniffer或snort等流量監(jiān)測(cè)技術(shù)在核心交換機(jī)的鏡像端口處對(duì)所有進(jìn)出核心交換機(jī)的網(wǎng)絡(luò)流量進(jìn)行查看：當(dāng)網(wǎng)絡(luò)中存在大量使用蠕蟲(chóng)端口的數(shù)據(jù)包時(shí)，可認(rèn)為網(wǎng)絡(luò)中有主機(jī)中了蠕蟲(chóng)病毒（網(wǎng)絡(luò)安全管理人員手工將machine表單中問(wèn)題主機(jī)的virus字段設(shè)為非空的其他值）.

使用計(jì)費(fèi)網(wǎng)關(guān)后，用戶訪問(wèn)因特網(wǎng)會(huì)有個(gè)登錄頁(yè)面，在這個(gè)登錄頁(yè)面的代碼中有個(gè)判斷該IP所對(duì)應(yīng)的主機(jī)是否中毒的語(yǔ)句，即判斷machine表單中該主機(jī)的virus字段是否為空.如果為空，則正常訪問(wèn)因特網(wǎng)，否則將進(jìn)行頁(yè)面跳轉(zhuǎn)直至病毒被清除（病毒被清除后，該主機(jī)用戶聯(lián)系校園網(wǎng)安全管理人員，由其對(duì)該主機(jī)再次進(jìn)行監(jiān)控，確保其清除病毒后手工將machine表單中該主機(jī)的virus字段設(shè)置為空，該用戶可重新訪問(wèn)因特網(wǎng)）.由于在核心交換機(jī)的各端口處已經(jīng)做端口與MAC地址的綁定，因此即使中毒主機(jī)用戶手工改動(dòng)本機(jī)的IP地址或MAC地址也無(wú)濟(jì)于事.4 詳細(xì)設(shè)計(jì)

（1）建立數(shù)據(jù)庫(kù)、表單.先建立數(shù)據(jù)庫(kù)packip，在這個(gè)數(shù)據(jù)庫(kù)中建立event和machine 2個(gè)表單.event表單存放掃描的時(shí)間和掃描過(guò)的主機(jī)，machine表單存放用kb.exe進(jìn)行漏洞掃描時(shí)發(fā)現(xiàn)的主機(jī).在machine表單中,state字段表示是否安裝補(bǔ)丁;manualstate字段表示若沒(méi)有安裝補(bǔ)丁，則在計(jì)費(fèi)網(wǎng)關(guān)的登錄頁(yè)面有提示;forceurl字段表示頁(yè)面跳轉(zhuǎn)標(biāo)記;virus字段表示病毒標(biāo)記，為空時(shí)表示無(wú)病毒.

（2）編寫(xiě)代碼.使用perl編寫(xiě)securitypack代碼.［4］利用微軟提供的軟件對(duì)全網(wǎng)進(jìn)行掃描，把發(fā)現(xiàn)漏洞的結(jié)果存放至數(shù)據(jù)庫(kù)中.圖3是漏洞掃描程序設(shè)計(jì)流程.

在18臺(tái)實(shí)驗(yàn)機(jī)器上用securitypack掃描后的結(jié)果見(jiàn)圖4.表明10.161.0.6，10.161.0.112，10.161.0.92，10.161.0.44，10.161.0.73，10.161.0.28，10.161.0.7和10.161.0.59這幾臺(tái)主機(jī)沒(méi)有及時(shí)安裝補(bǔ)丁包（state字段為open），存在嚴(yán)重安全漏洞.

5 結(jié)束語(yǔ)

通過(guò)將計(jì)費(fèi)網(wǎng)關(guān)與漏洞掃描技術(shù)相結(jié)合的方法，解決網(wǎng)絡(luò)級(jí)漏洞掃描以及對(duì)未將補(bǔ)丁包更新的用戶進(jìn)行提示的問(wèn)題，收到良好效果，對(duì)其他中小型規(guī)模的局域網(wǎng)具有一定的參考意義.

參考文獻(xiàn)：

［1］譚毓安. 網(wǎng)絡(luò)攻擊防護(hù)編碼設(shè)計(jì)［M］. 北京: 北京希望電子出版社, 2002: 20-35.

［2］ROCKY K, CHANG C. Defending against flooding-based distributed denial-of-service attacks: a tutorial［J］. IEEE Commun Mag, 2002(10): 42-51.

［3］ZHENG H. Internet worm research［R］. Tianjin: College of Information Technologies Science in Nankai University. 2003: 12-15.

［4］RANDAL L， OLSON S E, CHRISTIANSEN T. Learning PERL for WIN32［M］. 北京: 中國(guó)電力出版社, 2000: 22-45.

(編輯 陳鋒杰)