李秋銳

中國人民公安大學(xué) 北京 100038

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在給人們生產(chǎn)生活帶來巨大便利的同時(shí)，也存在著一系列的安全問題，給個(gè)人信息及財(cái)產(chǎn)造成了重大損失。網(wǎng)絡(luò)安全掃描技術(shù)，同防火墻技術(shù)，入侵檢測(cè)工具及防病毒工具一起構(gòu)成了保護(hù)網(wǎng)絡(luò)安全的重要手段。與其他被動(dòng)防護(hù)手段不同的是，網(wǎng)絡(luò)安全掃描是一種主動(dòng)的防護(hù)手段，通過網(wǎng)絡(luò)安全掃描，能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備的安全漏洞，從而提早采取防護(hù)手段，避免網(wǎng)絡(luò)被惡意攻擊者攻擊。

1 主機(jī)探測(cè)

主機(jī)探測(cè)是網(wǎng)絡(luò)管理員維護(hù)網(wǎng)絡(luò)安全的第一步，通過主機(jī)探測(cè)能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的在線主機(jī)，了解網(wǎng)絡(luò)中IP地址分配以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等一系列情況，為維護(hù)網(wǎng)絡(luò)安全提供的資料。主機(jī)探測(cè)利用ICMP協(xié)議，向目標(biāo)主機(jī)發(fā)送ICMP回聲請(qǐng)求數(shù)據(jù)包，然后等待響應(yīng)(也就是ping操作)。如果能收到目標(biāo)主機(jī)的應(yīng)答數(shù)據(jù)包，則說明主機(jī)在線，否則，目標(biāo)主機(jī)不在線。當(dāng)然，有些防火墻能夠阻止這樣的ICMP包通過。通過不斷的完善，主機(jī)探測(cè)發(fā)送的探測(cè)數(shù)據(jù)包還包括 ICMP時(shí)間戳數(shù)據(jù)包和ICMP地址掩碼請(qǐng)求數(shù)據(jù)包。

2 端口掃描

在TCP/IP通信中，相互通信的主機(jī)通過對(duì)方的IP地址識(shí)別目標(biāo)主機(jī)。然而，由于一臺(tái)主機(jī)上往往運(yùn)行了多個(gè)應(yīng)用程序，僅僅只靠IP地址并不能區(qū)別不同程序的信息流。端口的引入就很好的解決了這個(gè)問題。在網(wǎng)絡(luò)通信中，首先把端口號(hào)和相應(yīng)的應(yīng)用程序綁定在一起，然后在數(shù)據(jù)包中表明具體的IP地址和端口號(hào)，目標(biāo)主機(jī)就知道該把收到的數(shù)據(jù)包上傳給哪個(gè)應(yīng)用程序進(jìn)行處理了。在主機(jī)上，端口的開放說明了主機(jī)提供了相應(yīng)的服務(wù)，服務(wù)的存在也表明了漏洞的存在。因此，端口掃描常常是攻擊者和管理者活動(dòng)的重要手段。

2.1 TCP全連接掃描

TCP通信是一種面前連接的可靠通信方式，相互通信的主機(jī)通過“三次握手”建立連接之后進(jìn)行數(shù)據(jù)的傳輸。首先，客戶端主機(jī)向服務(wù)器發(fā)送 SYN數(shù)據(jù)包，數(shù)據(jù)包中給出了端口號(hào)，表明了所要請(qǐng)求的服務(wù)；接下來，服務(wù)器向客戶端主機(jī)發(fā)送SYN/ACK數(shù)據(jù)包，表示接受客戶端的請(qǐng)求；最后，客戶端主機(jī)向服務(wù)器發(fā)送 ACK數(shù)據(jù)包確認(rèn)連接。至此，連接建立成功，客戶端和服務(wù)器可以進(jìn)行正常通信。

TCP全連接是最典型最基本的一種端口掃描方式。掃描主機(jī)調(diào)用connect()連接，和目標(biāo)主機(jī)的相應(yīng)端口通過三次握手建立正常的 TCP連接。若被掃描主機(jī)的相應(yīng)端口是打開的，則返回一個(gè)ACK數(shù)據(jù)包，否則，返回RST數(shù)據(jù)包。這種方法簡(jiǎn)單快速，而且不需要具有管理員權(quán)限。但是，三次握手的建立過程容易被入侵檢測(cè)系統(tǒng)和防火墻發(fā)現(xiàn)，掃描過程不具有隱蔽性。

2.2 TCP SYN掃描

在TCP SYN掃描中，掃描主機(jī)向目標(biāo)主機(jī)相應(yīng)的端口發(fā)送SYN數(shù)據(jù)包。若目標(biāo)端口是打開的，則返回ACK數(shù)據(jù)包，否則，返回RST數(shù)據(jù)包。與TCP全連接掃描不同的是，掃描主機(jī)在收到目標(biāo)主機(jī)返回的SYN/ACK數(shù)據(jù)包后，并沒有繼續(xù)發(fā)送ACK數(shù)據(jù)包建立一個(gè)完整的TCP連接，而是發(fā)送一個(gè)RST數(shù)據(jù)包終止了連接。由于正常的TCP連接并沒有被建立起來，因此TCP SYN掃描又被稱為半連接掃描。TCP STN的掃描速度更快，同時(shí)更不容易被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)。但這種方式的缺點(diǎn)是需要掃描主機(jī)構(gòu)造用于掃描的數(shù)據(jù)包。

2.3 秘密掃描

根據(jù)發(fā)送探測(cè)數(shù)據(jù)包的不同，秘密掃描又被分為 TCP FIN掃描，TCP Null掃描，TCP Xmas掃描，TCP ACK掃描，TCP SYN/ACK掃描等。在TCP FIN掃描中，掃描主機(jī)發(fā)送的數(shù)據(jù)包中的FIN位被置位，若目標(biāo)端口是打開的，則探測(cè)數(shù)據(jù)包被丟掉(因?yàn)榇藬?shù)據(jù)包不是建立正常 TCP連接的三次握手所使用的數(shù)據(jù)包，對(duì)于端口而言沒有意義)，否則，探測(cè)數(shù)據(jù)包被丟掉，同時(shí)返回RST數(shù)據(jù)包。其他幾種秘密掃描技術(shù)的原理基本相似。

2.4 UDP ICMP不可達(dá)掃描

事實(shí)上，互聯(lián)網(wǎng)上運(yùn)行在UDP端口上的服務(wù)也有很多。UDP ICMP掃描向UDP端口發(fā)送UDP探測(cè)包，若目標(biāo)端口是關(guān)閉的，則返回ICMP端口不可達(dá)數(shù)據(jù)包。若經(jīng)過多次重發(fā)，掃描主機(jī)仍然沒有收到目標(biāo)端口響應(yīng)數(shù)據(jù)包，則說明目標(biāo)端口很可能是開放的(通常，開放的UDP端口對(duì)UDP探測(cè)數(shù)據(jù)包不做任何響應(yīng))。但是，由于UDP協(xié)議是非連接的，數(shù)據(jù)傳輸?shù)牟豢煽啃愿?，?jīng)常需要重傳數(shù)據(jù)包，影響了掃描的速度和準(zhǔn)確性。

3 操作系統(tǒng)探測(cè)

目前，操作系統(tǒng)識(shí)別的方式很多，但其原理都是將目的主機(jī)對(duì)某些探測(cè)數(shù)據(jù)包的響應(yīng)和已知的操作系統(tǒng)指紋庫進(jìn)行匹配識(shí)別來進(jìn)行的。首先，通過采樣不同操作系統(tǒng)對(duì)各種探測(cè)數(shù)據(jù)包的反應(yīng)建立操作系統(tǒng)的指紋識(shí)別庫。掃描時(shí)，向目標(biāo)主機(jī)發(fā)送探測(cè)數(shù)據(jù)包，將其響應(yīng)數(shù)據(jù)包和指紋數(shù)據(jù)庫進(jìn)行匹配，從而識(shí)別操作系統(tǒng)的類型。

目前，根據(jù)探測(cè)數(shù)據(jù)包的構(gòu)造方式不同，比較流行操作系統(tǒng)探測(cè)有以下幾種。

3.1 TCP/IP協(xié)議棧的指紋探測(cè)技術(shù)

由于操作系統(tǒng)系統(tǒng)架構(gòu)及不同版本之間的差異，不同的操作系統(tǒng)在實(shí)現(xiàn) TCP/IP協(xié)議時(shí)是不一樣的，可以利用這種差異來區(qū)別不同的操作系統(tǒng)類型。此種方法主要用到以下技術(shù)手段：FIN探測(cè)，BOGUS標(biāo)記探測(cè)，TCP SYN取樣，TCP時(shí)間戳，TCP初始化窗口，ACK值等。

這種方法實(shí)現(xiàn)簡(jiǎn)單，可供選擇的探測(cè)技術(shù)較多，易擴(kuò)充。不過探測(cè)數(shù)據(jù)包易受實(shí)際網(wǎng)路情況的影響，穩(wěn)定性不高，常常需要綜合運(yùn)用多種方式。

3.2 基于RTO采樣的指紋識(shí)別

TCP協(xié)議通過對(duì)傳輸數(shù)據(jù)進(jìn)行確認(rèn)來實(shí)現(xiàn)可靠的數(shù)據(jù)傳輸。然而在實(shí)際網(wǎng)絡(luò)環(huán)境中，傳輸?shù)臄?shù)據(jù)和確認(rèn)都可能發(fā)生丟失。TCP在傳輸數(shù)據(jù)時(shí)會(huì)設(shè)置一個(gè)重發(fā)定時(shí)器，當(dāng)定時(shí)器溢出之后，還沒有收到確認(rèn)，就進(jìn)行數(shù)據(jù)的重傳。該重發(fā)定時(shí)器的時(shí)間間隔就被稱為RTO(Retransmission Timeout)。

不同操作系統(tǒng)在計(jì)算RTO時(shí)使用的方法是不同的。因此，可以利用這一點(diǎn)來實(shí)現(xiàn)對(duì)遠(yuǎn)程主機(jī)操作系統(tǒng)的探測(cè)。首先向目標(biāo)主機(jī)選定的開放端口發(fā)送TCP SYN包，然后使用堵塞模塊阻止目標(biāo)端口響應(yīng)的SYN/ACK包到達(dá)掃描主機(jī)，迫使目標(biāo)主機(jī)不斷超時(shí)重發(fā)SYN/ACK包。得到每次的超時(shí)重傳時(shí)間，再和數(shù)據(jù)庫中的特征進(jìn)行匹配計(jì)算識(shí)別出操作系統(tǒng)類型。

這種方法的優(yōu)點(diǎn)是只需要得到目標(biāo)主機(jī)的一個(gè)開放的端口就可以進(jìn)行對(duì)操作系統(tǒng)進(jìn)行準(zhǔn)確的識(shí)別。同時(shí)，不會(huì)在網(wǎng)絡(luò)中產(chǎn)生很多畸形的數(shù)據(jù)包，不會(huì)對(duì)目標(biāo)主機(jī)產(chǎn)生很多不良影響。但是，由于需要等待目標(biāo)主機(jī)的大量超時(shí)重傳，會(huì)花費(fèi)更多的掃描時(shí)間。

3.3 基于ICMP響應(yīng)的指紋辨識(shí)

ICMP是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在主機(jī)與路由器之間傳遞控制信息，包括報(bào)告錯(cuò)誤、交換受限控制和狀態(tài)信息等。當(dāng)遇到IP數(shù)據(jù)無法訪問目標(biāo)、IP路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時(shí)，會(huì)自動(dòng)發(fā)送ICMP消息。

ICMP報(bào)文總體上分為兩種：ICMP查詢報(bào)文和ICMP差錯(cuò)報(bào)文。利用ICMP進(jìn)行操作系統(tǒng)探測(cè)的方式有兩種。一種是可以向目標(biāo)主機(jī)發(fā)送多種類型的查詢報(bào)文捕獲響應(yīng)數(shù)據(jù)包進(jìn)行分析；另一種是 TCP/IP數(shù)據(jù)包使目標(biāo)主機(jī)觸發(fā)差錯(cuò)報(bào)文，從響應(yīng)的差別中對(duì)操作系統(tǒng)進(jìn)行辨識(shí)。

由于只發(fā)送ICMP數(shù)據(jù)包，基于ICMP響應(yīng)的指紋識(shí)別算法速度很快，并且不會(huì)對(duì)目標(biāo)主機(jī)產(chǎn)生不良影響。另外，由于匹配算法得以改進(jìn)，操作系統(tǒng)簽名數(shù)據(jù)庫容易建立和更新。這種方法的缺點(diǎn)是探測(cè)技術(shù)單一，只依賴一種類型的數(shù)據(jù)包，穩(wěn)定性不足，更難進(jìn)行技術(shù)上的更新。

4 漏洞掃描

對(duì)于網(wǎng)絡(luò)管理員而言，保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵是要及時(shí)發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)/主機(jī)上存在的各種安全漏洞，并采取有效的修補(bǔ)措施，使得系統(tǒng)免受惡意攻擊。安全漏洞往往是針對(duì)某一特定操作系統(tǒng)的某一具體服務(wù)的，也就是說，是針對(duì)某一具體端口存在的，因此，在網(wǎng)絡(luò)安全掃描中，漏洞掃描常常是建立在端口掃描和操作系統(tǒng)探測(cè)基礎(chǔ)上的。從實(shí)現(xiàn)原理上講，漏洞掃描又分為基于漏洞庫的匹配技術(shù)和插件技術(shù)。

4.1 基于漏洞庫的匹配技術(shù)

在這種漏洞掃描方式中，網(wǎng)絡(luò)掃描系統(tǒng)首先根據(jù)已知的各種安全漏洞建立一個(gè)漏洞特征信息庫。然后，向目標(biāo)主機(jī)發(fā)送各種數(shù)據(jù)包，根據(jù)對(duì)響應(yīng)數(shù)據(jù)包的分析，基于規(guī)則匹配原則與漏洞庫中的特征值進(jìn)行匹配，從而確定主機(jī)的安全漏洞。因此，漏洞特征信息庫中特征信息的完整性和可信性就決定了掃描的效率和準(zhǔn)確性，同時(shí)信息庫信息的更新和修訂也會(huì)影響掃描系統(tǒng)的時(shí)間。

4.2 插件技術(shù)

這種方法就是模擬黑客的各種攻擊行為，將每一種攻擊方法都用腳本語言進(jìn)行編寫得到插件。當(dāng)進(jìn)行掃描時(shí)，掃描工具自動(dòng)調(diào)用插件對(duì)系統(tǒng)或主機(jī)進(jìn)行攻擊。若攻擊成功，則表明存在相應(yīng)的漏洞。插件程序獨(dú)立于主程序，編寫方便易行，因此，掃描系統(tǒng)的功能擴(kuò)展更加的方便，只需要在系統(tǒng)中增加新出現(xiàn)的安全漏洞的插件模塊即可。

5 結(jié)論

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全掃描技術(shù)也在不斷的成熟更新中。但是，新的問題和新的挑戰(zhàn)總會(huì)不斷的涌現(xiàn)出來，給網(wǎng)絡(luò)安全掃描技術(shù)帶來了不少的難題，需要不斷的努力研究。

[1] 洪宏,張玉清,胡予濮,戴祖峰.網(wǎng)絡(luò)安全掃描技術(shù)研究[J].計(jì)算機(jī)工程.2004.

[2] 周峰.一種網(wǎng)絡(luò)漏洞探測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].武漢科技大學(xué).2006.

[3] 趙妙軍.淺析網(wǎng)絡(luò)安全掃描技術(shù)[J].信息技術(shù).2010.