基于网络的漏洞扫描器设计与实现.docVIP

基于网络的漏洞扫描器设计与实现 　　摘要：近年来扫描器在计算机系统安全方面担当着重要的角色。扫描器的主要功能是检测系统有没有安全漏洞，进而生成安全漏洞报告给使用者。本文首先分析了基于网络的漏洞扫描器的概念和工作原理，然后给出了一个具体的漏洞扫描器的设计及实现技术。 　　关键词：计算机系统安全；漏洞；扫描器 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)11-20235-02 　　 　　1 引言 　　 　　随着计算机技术、网络技术的飞速发展和普及应用，网络安全已日渐成为人们关注的焦点问题之一。近几年来，安全技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是，单个安全技术或者安全产品的功能和性能都有其局限性，只能满足系统与网络特定的安全需求。目前使用较多的安全产品有防火墙和入侵检测系统（IDS），但是它们都有其局限性，如防火墙不能解决来自内部网络的攻击和安全问题，IDS无法抵挡碎片攻击和拒绝服务攻击。因此，如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一。而目前一种实用的方法就是在建立比较容易实现的安全系统的同时，按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类系统。 　　 　　2 漏洞扫描器 　　 　　2.1 概念 　　漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的服务器的各种TCP/UDP端口的分配、提供的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。同时，漏洞扫描器还能从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系统内部审核的全过程，发现能够被黑客利用的种种误配置。漏洞扫描的结果实际上就是对系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为系统安全解决方案的一个重要组成部分。 　　从底层技术上来划分，漏洞扫描可以分为基于网络的扫描和基于主机的扫描两类，二者体系结构不同。基于网络的漏洞扫描器通过网络扫描远程目标主机的漏洞，但无法直接访问目标机的文件系统；基于主机的漏洞扫描器在目标主机上安装一个代理，以便能够访问目标机所有的文件和进程。由于基于网络的漏洞扫描器价格便宜、操作维护简便，目前被大多数中小型企事业单位或一般政府部门所使用。本文只限于讨论基于网络的漏洞扫描器的工作原理及实现技术。 　　2.2 工作原理 　　基于网络的漏洞扫描器根据漏洞库中不同漏洞的特性，构造网络数据包，发送给网络中的一个或多个目标服务器，远程检测目标主机TCP/UDP不同端口上提供的服务，并记录目标主机的应答。通过这种方法搜集目标主机的各种信息（例如是否能匿名登陆、是否有可写的FTP目录等），并将这些信息与漏洞扫描系统提供的漏洞库进行匹配，匹配成功则判定系统存在相应的漏洞。此外，通过模拟黑客的攻击方法，对目标主机进行攻击性的漏洞扫描，也是漏洞扫描的方法之一，但此种方法存在着使目标机崩溃的风险，应谨慎使用。 　　基于网络的漏洞扫描器，一般由以下几部分组成： 　　(1)漏洞数据库：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。 　　(2)用户配置控制台：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标主机，以及扫描哪些漏洞。 　　(3)扫描引擎：扫描引擎是扫描器的主要部件。根据用户配置控制台的相关设置，扫描引擎构造相应的数据包，发送到目标主机，将接收到的目标主机的应答数据包，与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。 　　(4)报告生成工具：报告生成工具接收扫描引擎返回的扫描结果，生成扫描报告。扫描报告将列出用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上发现了哪些漏洞。 　　 　　3 漏洞扫描器设计和实现 　　 　　3.1 总体设计 　　本系统基于Windows NT网络操作系统设计实现了漏洞扫描器，主要是通过对Windows操作系统中的弱口令用户帐号、Web漏洞、FTP漏洞等一些常见漏洞进行检测，实现对系统和网络的漏洞扫描，并采用网页的形式提交扫描报告。整个扫描器实现在Windows系统的TCP/IP网络环境中，其总体结构如图1所示。其中运行Windows的工作站为发起扫描的主机（称为扫描主机），在其上运行扫描模块和用户配置控制平台。扫描模块直接从扫描主机上通过网络以其它机器为对象（称为目标机）进行扫描，而控制平台则提供一个人机交互的界面。整个扫描器的功能是基于VC++6.0集成开发环境来实现的。 　　基于网络的漏洞扫描器的工作过程是当用户通过配置控制平台