基于网络的漏洞器.docVIP

基于网络的漏洞扫描器 信息管理学院 小组成员：孟金龙 杜博欣 杨博龙 宋雅超 1引言 随着计算机技术、网络技术的飞速发展和普及应用，网络安全已日渐成为人们关注的焦点问题之一。近几年来．安全技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是，单个安全技术或者安全产品的功能和性能都有其局限性．只能满足系统与网络特定的安全需求。目前使用较多的安全产品有防火墙和入侵检测系统(IDS)。但是它们都有其局限性．如防火墙不能解决来自内部网络的攻击和安全问题，IDS无法抵挡碎片攻击和拒绝服务攻击。因此，如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一。而目前一种实用的方法就是在建立比较容易实现的安全系统的 同时，按照一定的安全策略建立相应的安全辅助系统，漏涧扫描器就是这样一类系统。 2 漏洞扫描器的策略 漏洞扫描通常采用两种策略，第一种是被动的，第二种是主动的 所谓被动式策略就是基于主机之上，是从一个内部用户的角度来检测操作系统的漏洞 主要用于检测注册表和用户配置中的漏洞 主动式策略是基于网络的，是从外部攻击者的角度通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反映，主要用于查找网络服务和协议中的漏洞，利用被动式策略扫描称为系统安全扫描，利用主董式策略扫描成为网络安全扫描 由于基于主机的扫描能直接获取主机的底层细节，如特殊服务和配置的细节等，基于网络的扫描能有效地发现那些基于主机的扫描不能发现的网络设备漏洞，如路游器,交换机和防火墙等存在的漏洞，所以在实际应用中，把两者结合起来，可以取长补短，优势互补，尽可能多的发现网络的漏洞 3 基于网络的漏洞扫描技术的原理 漏洞扫描技术的基本原理是：向远程计算机的特定端口发送特定的请求数据，根据从该端口返回数据的特征，来判断该主机是否存在某种漏洞。 工作原理 基于网络的漏洞扫描器根据漏洞库中不同漏洞的特性，构造网络数据包，发送给网络中的一个或多个目标服务器．远程检测目标主机TCP／UDP不同端口上提供的服务，并记录目标主机的应答。通过这种方法搜集目标主机的各种信息(例如是否能匿名登陆、是否有可写的F1m目录等)，并将这些信息与漏洞扫描系统提供的漏洞库进行匹配，匹配成功则判定系统存在相应的漏洞。此外，通过模拟黑客的攻击方法，对目标主机进行攻击性的漏洞扫描，也是漏洞扫描的方法之一，但此种方法存在着使目标机崩溃的风险．应谨慎使用。 漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的服务器的各种TCP／UDP端口的分配、提供的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。同时，漏洞扫描器还能从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系统内部审核的全过程，发现能够被黑客利用的种种误配置。漏洞扫描的结果实际上就是对系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为系统安全解决方案的一个重要组成部分。 5 漏洞扫描器特点和类型 从底层技术上来划分，漏洞扫描可以分为基于网络的扫描和基于主机的扫描两类，二者体系结构不同。基于网络的漏洞扫描器通过网络扫描远程目标主机的漏洞，但无法直接访问目标机的文件系统；基于主机的漏洞扫描器在目标主机上安装一个代理，以便能够访问目标机所有的文件和进程。由于基于网络的漏洞扫描器价格便宜、操作维护简便．目前被大多数中小型企事业单位或一般政府部门所使用。 6 漏洞扫描的主要方法 主要通过以下两种方法来检查目标主机是否存在漏洞： 一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否存在满足条件的漏洞 二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。 7 主要网络漏洞扫描的技术 主要网络扫描技术 1 PING扫描 PING扫描用于漏洞扫描的第一阶段，通过使用多数操作系统自带的工具PING，用乏味PING+目标IP地址，通过是否能手到对方的ICMP echo reply，来帮助识别目标主机或系统是否处于活动状态，不过目前部分主机或系统为安全性考虑，其防火墙会把ICMP包屏蔽掉，导致PING扫描失败，这种情况下，可以采用IcMP Error sweep方法，发送一个