网络安全工具的分析与比较（.docVIP

网络安全扫描工具的分析与比较( 谈进 李涛 伍良富 宋渊** （四川大学(西区)计算机系 成都 610065） 摘 要：文章主要分析、比较和介绍了当前流行的端口扫描和网络弱点扫描技术及工具，并针对不同类型的扫描工具进行了测试比较工作。 关键字：网络安全、端口扫描、扫描工具 中图分类号：TP393 文献标识码：A The Discussion of Network Security Scanners Tan Jin Li Tao Wu Liangfu Song Yuan (Dept. of Computer, Sichuan Univ., Chengdu 610065,China) Abstract: In this paper, the prevailing technices and tools of port scanners and network vulnerability scanners are analyzed and compared, and all kinds of these tools are tested. Keywords: Network Security，Port-Scan，Scanner  1 引言 Internet的飞速发展给人们的生活、工作带来了巨大的方便，但同时，也带来了一些不容忽视的问题，网络信息的安全保密问题就是其中之一。研究分析指出，网络的开放性以及黑客的攻击是造成网络不安全的主要原因。 黑客入侵网络的过程一般是首先利用扫描工具搜集目标主机或网络的详细信息，进而发现目标系统的漏洞或脆弱点，然后根据脆弱点的位置、详细说明展开攻击。安全管理员可以利用扫描工具的扫描结果信息及时发现系统漏洞并采取相应的补救措施，免受入侵者攻击。因此检测和消除系统中存在的弱点成为安全研究人员的重要课题。 2 扫描工具的分析及比较 从扫描过程来看，网络安全扫描工具大体上可分为网络ping扫射，端口扫描，弱点扫描几种类型。本文分别对它们进行分析比较及测试。测试工作主要围绕以下指标来进行。 ◆准确性：扫描结果准确率达到95%以上。 ◆高速性：扫描工具能快速完成对中大规模目标网络的扫描。 ◆健壮性：扫描工具能绕过目标网络的边界路由 器或防火墙的检测。 ◆彻底性：扫描工具具备扫描任意端口任意服务的能力。 ◆易扩展性：扫描代码与漏洞数据分离，便于用户自行对扫描工具进行更新。 2．1网络ping扫射 映射出一个真实网络的最基本步骤之一是在某个IP地址和网络块范围内执行一轮自动的ping扫射，以此确定某个具体的系统是否存活着。 2.1.1 工作原理 传统意义上ping用于向目标系统发送ICMP回射请求分组（ICMP类型为8），并期待表明目标系统存活着的回射应答分组（ICMP类型为0）。对于大型网络这种方式的效率是极其低下的。ping扫射工具以并行的轮转形式发出大量的ping请求来提高扫描速度。 2.1.2 工具比较 通过分析并在linux下测试fping、gping、icmpenum几种ping扫射工具，发现icmpenum具有如下优势：完成对一个目标网络的扫射速度更快；在ICMP ECHO分组被阻塞时，可以通过发送ICMP TIME STAMP REQUEST 或ICMP INFO分组绕过边界路由器或防火墙；使用伪装分组绕过检测以确认系统是否存活。 2．2 端口扫描 端口扫描器在目标系统一系列端口上运行以了解TCP端口的分配及提供的服务和它们的软件版本，这使安全管理员能间接地或直观地了解到远程主机所存在的安全问题。 2.2.1 工作原理 端口扫描是连接到目标系统的TCP和UDP端口上以确定哪些服务正在运行即处于监听状态的过程。使用端口扫描器对目标系统执行端口扫描时至少能达到以下目的：标识运行在目标系统上的TCP和UDP服务；标识目标系统的操作系统类型；标识特定应用程序或特定服务的版本。常见的扫描方法有TCP Connect（）、TCP SYN、TCP FIN、TCP ACK及UDP扫描等等。 2.2.2 工具比较 ●Strobe：strobe是最快最可靠的TCP扫描程序之一。strobe的关键特性包括优化系统和网络资源以及按照一种高效的方式扫描目标系统的能力。另外它还能获得所连接的每个端口的关联旗标，这有助于标识操作系统和运行着的服务。但是strobe依然存在以下不足之处：不提供UDP扫描能力；strobe只采用TCP connect扫描技巧，这尽管增加了strobe的可靠性，但也使端口扫描活动易于被目标系统检测到。 ●Netcat：Netcat提供了基本的TCP和UDP端口扫描能力，并且可以产生详细的输出报告。但Netcat不具有隐蔽扫描的能力。 ●Nmap：提供基本的TCP和UDP扫描能力，集成了