論保障網(wǎng)絡(luò)安全之漏洞掃描技術(shù)

王麗 西華師范大學(xué) 網(wǎng)絡(luò)中心

1 漏洞掃描技術(shù)的概述及重要性

一個(gè)系統(tǒng)再“安全”，但它都存在漏洞，大多數(shù)的入侵者利用的都是常見(jiàn)的漏洞。通過(guò)一般的掃描手段容易找出我們發(fā)現(xiàn)過(guò)的漏洞，對(duì)于一些未知漏洞可能一般的掃描技術(shù)就可能漏報(bào)。應(yīng)用軟件漏洞和操作系統(tǒng)漏洞是服務(wù)器漏洞的兩大類。萬(wàn)維網(wǎng)服務(wù)漏洞、文件傳輸協(xié)議服務(wù)漏洞、簡(jiǎn)單郵件傳輸協(xié)議服務(wù)漏洞、遠(yuǎn)程連接服務(wù)漏洞等，是應(yīng)用軟件漏洞。由于不同的服務(wù)程序可為相同的網(wǎng)絡(luò)服務(wù)提供服務(wù)，因此，它們可能存在相同的漏洞，由于程序不同，可能漏洞有差異。操作系統(tǒng)漏洞包含是LINUX漏洞、 UNIX漏洞、 Windows漏洞等。系統(tǒng)中的一些常見(jiàn)的程序調(diào)用協(xié)議漏洞、網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)協(xié)議漏洞等。對(duì)于一些常見(jiàn)的漏洞，管理員可以應(yīng)用一些掃描工具掃描系統(tǒng)，可以檢查出正在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全網(wǎng)絡(luò)服務(wù)，查看操作系統(tǒng)上存在的可能會(huì)導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢查出主機(jī)中是否被安裝了木馬程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤。發(fā)現(xiàn)這些常見(jiàn)漏洞，并及時(shí)將漏洞修復(fù)、更新入侵者就沒(méi)有機(jī)會(huì)利用這些漏洞。

入侵者要發(fā)起攻擊不是說(shuō)任意系統(tǒng)都要發(fā)起攻擊，對(duì)于存在漏洞的系統(tǒng)才能發(fā)起攻擊。但攻擊者是如何知道系統(tǒng)漏洞的，他們是利用掃描工具對(duì)要入侵的主機(jī)進(jìn)行掃描，找到主機(jī)系統(tǒng)的漏洞或脆弱點(diǎn)，然后進(jìn)行攻擊。因此，對(duì)于系統(tǒng)管理員來(lái)說(shuō)，定期對(duì)系統(tǒng)掃描，修復(fù)漏洞是很關(guān)鍵的。

2 漏洞掃描技術(shù)的步驟及分類

2.1 那么下面我們就來(lái)介紹一下漏洞掃描的步驟：

第一步：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)；

第二步：用相應(yīng)的嗅探器或傳感器搜索目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。對(duì)于一個(gè)網(wǎng)絡(luò)而言，需要發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浼敖粨Q機(jī)、路由的相關(guān)信息；

第三步：利用搜索的資源判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。

2.2 漏洞掃描技術(shù)分類?？梢园磼呙鑼?duì)象來(lái)分：可以分為基于網(wǎng)絡(luò)的掃描和基于主機(jī)的掃描。按掃描方式來(lái)分：可以分為主動(dòng)掃描與被動(dòng)掃描?；诰W(wǎng)絡(luò)的漏洞掃描，主要針對(duì)系統(tǒng)中存在的弱口令或與安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查。通過(guò)遠(yuǎn)程檢測(cè)掃描主機(jī)不同端口的服務(wù)，掃描系統(tǒng)會(huì)根據(jù)掃描主機(jī)的反應(yīng)，并記錄下來(lái)。通過(guò)基于網(wǎng)絡(luò)的掃描方法，可以搜集到很多目標(biāo)主機(jī)的各種信息，與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞規(guī)則庫(kù)進(jìn)行比對(duì)，比對(duì)成功，網(wǎng)絡(luò)掃描系統(tǒng)則認(rèn)為系統(tǒng)存在漏洞。還有種方式就是通過(guò)模擬入侵者進(jìn)攻，再對(duì)系統(tǒng)進(jìn)行安全漏洞掃描，如果入侵者攻擊成功，則漏洞掃描系統(tǒng)認(rèn)為目的主機(jī)存在漏洞。

基于網(wǎng)絡(luò)的漏洞掃描器有以下優(yōu)點(diǎn)：

一、性價(jià)比高；

二、不涉及主機(jī)系統(tǒng)管理員，不需要在目標(biāo)系統(tǒng)上安裝程序；

三、維護(hù)簡(jiǎn)便。網(wǎng)絡(luò)拓?fù)浒l(fā)生變化，只要掃描某個(gè)節(jié)點(diǎn)，就能夠掃描網(wǎng)絡(luò)中的全部系統(tǒng)。

我校使用的就是銥迅漏洞掃描系統(tǒng)，只需要部署在網(wǎng)絡(luò)可達(dá)的環(huán)境中就可以正常工作。

但基于網(wǎng)絡(luò)的漏洞掃描器也存在一些缺點(diǎn)：

一、基于網(wǎng)絡(luò)的漏洞掃描器對(duì)于系統(tǒng)文件的一些漏洞可能存在漏報(bào)的情況。對(duì)于系統(tǒng)文件設(shè)置了權(quán)限許可，也無(wú)法檢測(cè)。

二、不能穿過(guò)防火墻。

三、這種掃描器和主機(jī)之間的通訊數(shù)據(jù)是沒(méi)有加密的，可以通過(guò)被動(dòng)攻擊竊取網(wǎng)絡(luò)中的數(shù)據(jù)包，那么漏洞信息就暴露給攻擊者。

2.3 基于主機(jī)的漏洞掃描

以根身份登錄需要掃描的主機(jī)，通過(guò)分析系統(tǒng)配置的各項(xiàng)主要參數(shù)配置的漏洞，從而實(shí)現(xiàn)主機(jī)掃描。將收集到目標(biāo)主機(jī)配置信息與正確、安全系統(tǒng)配置的標(biāo)準(zhǔn)庫(kù)進(jìn)行比對(duì)，只要比對(duì)不成功，掃描系統(tǒng)就會(huì)認(rèn)為系統(tǒng)存在漏洞。

基于主機(jī)的漏洞掃描器是C /S模式。它具有三層體系結(jié)構(gòu)，分別為：控制臺(tái)、管理器和代理。其工作原理為：系統(tǒng)管理員的計(jì)算機(jī)安裝漏洞掃描控制臺(tái)，網(wǎng)絡(luò)中安裝漏洞掃描器管理器，整個(gè)網(wǎng)絡(luò)中需要掃描的系統(tǒng)都需要安裝漏洞掃描器代理。掃描代理安裝成功后，向管理器注冊(cè)。管理器向代理發(fā)出的掃描指令，代理獨(dú)自對(duì)系統(tǒng)進(jìn)行漏洞掃描。代理將掃描結(jié)果傳給管理器。管理員只需在控制臺(tái)上查看掃描報(bào)告，可以導(dǎo)出報(bào)告，依據(jù)報(bào)告修復(fù)漏洞。

基于主機(jī)的漏洞掃描器存具有以下優(yōu)點(diǎn)：

一、管理員只需要在控制臺(tái)上查看漏洞報(bào)告，方便管理集中化管理。

二、流量負(fù)載小，對(duì)網(wǎng)絡(luò)不會(huì)造成負(fù)擔(dān)。網(wǎng)絡(luò)的流量負(fù)載小是由于管理器與代理互相通信的只有數(shù)據(jù)包，掃描漏洞都是由代理獨(dú)自執(zhí)行，代理將掃描結(jié)果發(fā)送給管理器。

三、比基于網(wǎng)絡(luò)掃描更安全，因?yàn)橥ㄓ嵤羌恿嗣艿摹?/p>

四、能夠穿過(guò)防火墻。由于漏洞掃描都在本地完成，在漏洞掃描之前和掃描結(jié)束之后代理和管理器之間才進(jìn)行通訊，所以只需在防火墻上開(kāi)放必要端口即可實(shí)現(xiàn)（5600和5601端口）。

但基于主機(jī)的漏洞掃描器同時(shí)也存在一些缺點(diǎn)：

一、價(jià)格隨掃描目標(biāo)主機(jī)的數(shù)量遞增；

二、如果主機(jī)是涉密或很重要的，在目標(biāo)主機(jī)上安裝一個(gè)代理或服務(wù)軟件，對(duì)于管理員來(lái)說(shuō)是不想這樣的；

三、如果網(wǎng)絡(luò)拓?fù)浞秶鷶U(kuò)大，掃描工作量就增加，效率減低。

2.4 主動(dòng)掃描

主動(dòng)掃描方式是很早就出現(xiàn)的一種掃描技術(shù)。這種掃描方式是給目標(biāo)主機(jī)發(fā)送測(cè)試包，回收目標(biāo)主機(jī)的響應(yīng)包。從而能夠快速準(zhǔn)確的通過(guò)收集到的信息來(lái)判斷系統(tǒng)是否存在漏洞。而這種方式也具有不足之處：主動(dòng)掃描會(huì)在系統(tǒng)中留下痕跡，容易被攻擊者利用還有不能通過(guò)防火墻，其他節(jié)點(diǎn)沒(méi)法掃描。

2.5 被動(dòng)掃描

被動(dòng)掃描克服了主動(dòng)掃描的一些缺點(diǎn)，這種方式不需要向目標(biāo)主機(jī)發(fā)送測(cè)試包，只需要收集網(wǎng)絡(luò)上的數(shù)據(jù)包，對(duì)目的主機(jī)和網(wǎng)絡(luò)都不會(huì)造成影響。還有一個(gè)最大的特點(diǎn)就是不受防火墻影響。但其也具有不足之處在于速度較慢而且漏報(bào)和錯(cuò)報(bào)的幾率高。還有如果主機(jī)不產(chǎn)生網(wǎng)絡(luò)流量就沒(méi)法獲取主機(jī)系統(tǒng)的任何信息。即使是被動(dòng)掃描存在弱點(diǎn)，但任然受到青睞。但可以改進(jìn)掃描算法便可以增進(jìn)被動(dòng)掃描的速度和準(zhǔn)確性，或通過(guò)正常方式使得被掃描的主機(jī)產(chǎn)生流量。

3 結(jié)束語(yǔ)

確保網(wǎng)絡(luò)安全的技術(shù)有多種，漏洞掃描技術(shù)是一門自身主動(dòng)進(jìn)行安全檢測(cè)的技術(shù)。又由于漏洞可能隨時(shí)產(chǎn)生，所以漏洞掃描技術(shù)無(wú)論是規(guī)則庫(kù)還是算法都是要隨時(shí)更新。