1 网络漏洞扫描
黑客在攻击之前习描个系统是绝对不可缺少的黑客袭击就和战争一样知己知被方能百战不殆入。侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统存在的安全问题,并采取相应的措施来提高系统的安全性
1.1 网络漏洞扫描技术的分类
从不同角度可以对扫描技术进行不同分类。从扫描对象来分,可以分为基于网络的扫描(Network—based Scanning)和基于主机的扫描(Host—basedScanning)。从扫描方式来分,可以分为主动扫描(Active Scanning)与被动扫描(Passive Scanning)。1.1.1 基于网络和基于主机的扫描
(1)基于网络的扫描是从外部攻击者的角度对网络及系统架构进行的扫描,主要用于查找网络服务和协议中的漏洞,如可以查找网络中运行的SNMP服务的漏洞。基于网络的扫描可以及时获取网络漏洞信息,有效的发现那些网络服务和协议的漏洞,如DNS服务和底层协议的漏洞;同时能够有效的发现那些基于主机的扫描不能发现的网络设备漏洞,如路由器、交换机、远程访问服务和防火墙等存在的漏洞。
(2)基于主机的扫描是从一个内部用户的角度来检测操作系统级的漏洞,主要用于检测注册表和用户配置中的漏洞。基于主机的扫描的优势在于它能直接获取主机操作系统的底层细节,如特殊服务和配置的细节等。
基于主机的漏洞扫描有如下优点:①集中化管理:基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。所有扫描的指令,均从服务器进行控制这一点与基于网络的扫描器类似。服务器从下载到最新的代理程序后.过敏反应舒发给各个代理,这种集中化管理模式使得基于主机的漏洞,同扫描器部署上能够快速实现。②网络流量负载小:由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包漏洞扫描部分部有漏洞扫描器代理单独完成,这就大大减少了网络的流量负载。当扫描结束后,漏洞扫描器代理再攻与满淘扫描器管理器进行通讯,将扫描结果传送给漏洞扫描器管理器。③扫描的漏洞数量多:由于通常在目标系统上安装了代理或者是服务以便能够访问所有的文件与进程。这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。④通讯过程中的加密机制:所有的通讯过程中的敬据包都经过加密.由于漏洞扫描都在本地完成.漏洞扫描器代理和漏阋扫描器管理器之间只需要在扫描之前和扫描结束之后建立必要的通讯链路,因此,对于配置了防火墙的网络,只需要在防火墙上开放漏洞扫描器所需的5600和5601这两个端漏洞扫描器即可完成漏洞扫描的工作.
基于主机的漏洞扫描工具也存在不足之处:首先是价格方面基于主机的漏洞扫描工具的价格通常由一个营理器的许可证价格加上目标系境的数量来决定,当一个企业网络中的目标主机较多时,扫描工具的价格就非常高。通常,只有实力强太的公司和政府部门才有能力购买这种漏嗣扫描工具,不适台个人用户使用。其次,基于主机的漏洞扫插工具。需要在目标主机上安装一个代理或服务而管理员的角度来说,并不希望在重要的机器上安装自己不确定的软件。第三随着所要扫描范围的扩大在部署基于主机的漏洞扫描工具的代理软件时需要与每个目标系统的用户打交道必然延长了酋发部署的工作周期。
由分析可知,基于网络的扫描和基于主机的扫描各有优势,也各自存在了一定
的局限性。只有把二者结合起来,才能尽可能多的获取漏洞信息,为系统管理员评估系统的安全风险提供有力的保证。
1.1.2 主动扫描和被动扫描
主动扫描是传统的扫描方式,拥有较长的发展历史,它是通过给目标主机发送特定的包并收集回应包来取得相关信息的,当然,无响应本身也是信息,它表明可能存在过滤设备将探测包或探测回应包过滤了。
主动扫描的优势在于通常能较快获取信息,准确性也比较高。缺点在于:①易于被发现,很难掩盖扫描痕迹;②要成功实施主动扫描通常需要突破防火墙,但突破防火墙是很困难的。
被动扫描是通过监听网络包来取得信息。由于被动扫描具有很多优点,近来倍受重视,其主要优点是对它的检测几乎是不可能的。被动扫描一般只需要监听网络流量而不需要主动发送网络包,也不易受防火墙影响。而其主要缺点在于速度较慢而且准确性较差,当目标不产生网络流量时,就无法得知目标的任何信息。
虽然被动扫描存在弱点,但依旧被认为是大有可为的,近来出现了一些算法可以增进被动扫描的速度和准确性,如使用正常方式让目标系统产生流量。
1.2 漏洞扫描器
1.2.1 网络漏洞扫描器的概述
(1) 网络扫描器的系统结构特点
网络扫描器基于B/S结构,运行在Linx平台,工作于一个L i n u x 、UN I X 和Windows操作系统相混合的T C P/I P网络环境中。在网络扫描器中建有一个网络漏洞库。网络扫描器的控制台用于提供人机交互的界面。
(2) 网络扫描器的主要功能
采用众多的扫描和隐蔽技术,扫描目标主机和端口,识别其工作状态:
①识别目标主机系统及服务程序的类型和版本;
②根据漏洞库信息,分析系统脆弱点;
③提供漏洞产生背景、影响、攻击方式、修补措施等信息;
④以网页形式生成扫描结果报告;
⑤具有可扩展性,提供用户动态加载和扩充系统的接口。
1.2.2网络漏洞扫描器的工作原理
网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(例如:是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet,http是否是用root在运行)。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
在匹配原理上,该网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。例如,在对TCP 80端口的扫描中,如果发现/cgi-bin/phf或/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。同时应当说明的是,基于规则的匹配系统也有其局限性,因为作为这类系统的基础的推
