基于网络的漏洞扫描器Word文档下载推荐.docx
《基于网络的漏洞扫描器Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《基于网络的漏洞扫描器Word文档下载推荐.docx(14页珍藏版)》请在冰点文库上搜索。
3基于网络的漏洞扫描技术的原理
漏洞扫描技术的基本原理是:
向远程计算机的特定端口发送特定的请求数据,根据从该端口返回数据的特征,来判断该主机是否存在某种漏洞。
工作原理
基于网络的漏洞扫描器根据漏洞库中不同漏洞的特性,构造网络数据包,发送给网络中的一个或多个目标服务器.远程检测目标主机TCP/UDP不同端口上提供的服务,并记录目标主机的应答。
通过这种方法搜集目标主机的各种信息(例如是否能匿名登陆、是否有可写的F1m目录等),并将这些信息与漏洞扫描系统提供的漏洞库进行匹配,匹配成功则判定系统存在相应的漏洞。
此外,通过模拟黑客的攻击方法,对目标主机进行攻击性的漏洞扫描,也是漏洞扫描的方法之一,但此种方法存在着使目标机崩溃的风险.应谨慎使用。
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。
通过使用漏洞扫描器,系统管理员能够发现所维护的服务器的各种TCP/UDP端口的分配、提供的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。
同时,漏洞扫描器还能从主机系统内部检测系统配置的缺陷,模拟系统管理员进行系统内部审核的全过程,发现能够被黑客利用的种种误配置。
漏洞扫描的结果实际上就是对系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为系统安全解决方案的一个重要组成部分。
5漏洞扫描器特点和类型
从底层技术上来划分,漏洞扫描可以分为基于网络的扫描和基于主机的扫描两类,二者体系结构不同。
基于网络的漏洞扫描器通过网络扫描远程目标主机的漏洞,但无法直接访问目标机的文件系统;
基于主机的漏洞扫描器在目标主机上安装一个代理,以便能够访问目标机所有的文件和进程。
由于基于网络的漏洞扫描器价格便宜、操作维护简便.目前被大多数中小型企事业单位或一般政府部门所使用。
6漏洞扫描的主要方法
主要通过以下两种方法来检查目标主机是否存在漏洞:
一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否存在满足条件的漏洞
二是通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。
7主要网络漏洞扫描的技术
主要网络扫描技术
1PING扫描
PING扫描用于漏洞扫描的第一阶段,通过使用多数操作系统自带的工具PING,用乏味PING+目标IP地址,通过是否能手到对方的ICMPechoreply,来帮助识别目标主机或系统是否处于活动状态,不过目前部分主机或系统为安全性考虑,其防火墙会把ICMP包屏蔽掉,导致PING扫描失败,这种情况下,可以采用IcMPErrorsweep方法,发送一个畸形的IP数据包,迫使目标主机回应一个IcMP出错信息包,来判断目标主机是否在线.
2操作系统探测(Operatingsystemidenli6c砒ion)
操作系统探测用于漏洞扫描的第二阶段,用于对目标主机运行的操作系统进行识别.一般有以下几种方式:
(1)获取标识信息,通过对二进制文件的收集和分析实现.
(2)IcMP响应分析,通过发送uDP或IcMP的请求报文,然后分析各种IcMP应答来判断目标主机操作系统,如。
缶Arkin的x—Pmbe就采用此技术.
(3)TcP分段响应分析,依靠不同操作系统对特定分段的不同反映来区分.比较流行的工具有savage的Queso和Fvodor的NMAP.它们产生一组TcP和uDP请求发送到远程目标主机的开放(未开放)端口,通过接收分析远程主机响应的有用信息,在较小的延迟内得到类型和版本之类的信息.Ques0第一个实现了使用分离的数据库于指纹.NMAP包含了很多的操作系统探测技术,定义了一个模板数据结构来描述指纹.由于新的指纹可以很容易地以模板的形式加入,NMAP可以通过指纹数据库的增长来识别更多的操作系统.
(4)初始化序列号分析,在TcP栈中不同的exploits随机产生,通过鉴别足够的测试结果来确定远程主机的操作系统.
(5)特殊的操作系统,在操作系统指纹的探测上采用拒绝服务方式.
3如何探测访问控制规则(Firewalking)
如何探测访问控制规则用于获取被防火墙保护的远端网络的资料.这种技术采用类似于路由跟踪(tmc—er“te)的IP数据包分析方法,来测定一个特殊的数据包是否能够从攻击者的主机传送到位于数据包过滤设备后的主机,能够用于探测网关上打开或允许通过的端口.更进一步地,它能够测定带有各种控制信息的数据包是否能通过给定网关.另外,通过Firewalking,能够探测到位于数据包过滤设备后的路由器
4端口扫描技术
网络漏洞扫描是建立在端口扫描基础上的,支持TCP/IP协议的主机和设备通过开放端口来提供相应服务,安全漏洞也往往通过端口暴露出来,一般有以下几种端口扫描技术。
(1)TCPconnect()扫描这是最基本的TCP扫描,操作系统提供的额connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接,如果端口处于侦听状态,那么connect()就能成功,否则,这个端口是不能用的,即没有提供服务,这种扫描方式不需用户任何权限且速度快,但恨容易被目标系统检测到而被过滤掉。
(2)TCPSYN扫描通常称为“半开放”扫描,这是因为扫描程序不必打开一个完全的TCP连接。
扫描程序发送的是一个SYN数据包,好像准备打开一个实际连接并等待反应一样。
一个SYN/ACK的返回信息表示端口处于侦听状态。
一个RST返回,表示端口没有处于侦听状态。
SYN扫描的优点在于即使日志中队扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。
缺点是在打部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
3)秘密扫描跟SYN扫描类似,秘密扫描也需要自己构造IP包,但秘密扫描技术包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多,此技术适用FIN数据包来探听端口,此技术适用FIN数据包来探听端口,能够通过只检测SYN包的包过滤器,当一个FIN数据包到达一个关闭的端口,数据包被丢掉,并且会返回一个RST数据包,否则,当以个FIN数据包到达一个打开的端口,数据包只是简单的丢掉.Xmas和Null是密码扫描的两个变种,Xmus扫描打开FIN,URG和PUSH标记,通过向目标主机发送一个FIN、URG和PUSH分组,根基RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志,而Null扫描关闭所有标记,这些组合的目的是为了通过所谓的RIN标记检测器的过滤。
秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送resel信号的操作系统,在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都回复RST,但可以区分Unix和WindowsNT。
(4)认证扫描认证扫描技术利用认证协议,能够获取运行在某个端口上的进程的用户名。
。
认证扫描尝试与一个TCP端口建立连接,如果连接成功,扫描器发送认证请求到目的主机的113TCP端口,认证扫描同时也被称为反向认证扫描,因为即使最初的RFC建议了一种帮助服务器认证客户端的协议,然而在实际的实现中也考虑了反向应用(即客户端认证服务器)。
显式秘密行动映射技术
以下是经常使用的显式映射技术:
1)SYN/ACK扫描。
2)FIN扫描。
3)XMAS扫描。
4)NULL(空)扫描。
根据RFC793的规定,一个关闭的端口必须对我们的探测发出回应包,而一个打开的端口则一定要忽略我们的请求数据。
这一特点将应用在以下所要介绍的所有扫描技术中。
(1)SYN/ACK
SYN/ACK扫描故意违背TCP的三态握手过程。
我们直接从TCP的第二步开始,忽略第一步的SYN数据发送,发送SYN/ACK数据包到要扫描的目标主机。
TCP是一个状态相关的协议,对于一个关闭的TCP端口来讲,它没有SYN(第一步骤)被传送到,所以认为直接发来的SYN/ACK数据包一定是发生了某些错误,从而就会发送一个RESET数据来断开这个连接,而这个正是我们所想要的一一个将目标系统被探测端口是关闭的事实暴露出来。
如果我们向一个正在打开的端口发送同样的数据包的话,将不会有任何的响应信息。
(2)FIN
FIN扫描使用FIN数据包作为探测工具,探测者向目标主机发送FIN数据包并观察所得到的响应。
(3)XMAS(ChriStmasTrees)
XMAS是一种扫描类型,它发送TCP数据包时,将URG、ACK、PST、RST、SYN和FIN标志位都设置上。
(4)NULL方式
NULL扫描也是一种扫描的类型,与XMAS相反,它将所有的TCP标志位都关闭,被探测的系统上所有关闭的端口会发送回RESET信号。
根据RFC793这种工作机制将会在任何启动TCP应用的系统上实现,然而事实并不如此,Windows、CISCO、BSDI、HP/UX、MVS&
IRIX都是有缺陷的TCP实现,它们同样会在打开的端口上对NULL探测回送RESET数据响应。
NMAP的作者Fyodor介绍了一种方法:
如果你使用FIN,XMAS或NULL方法发现目标主机的所有端口都是关闭的时候,再使用SYN工具发现某个开启的端口时,则说明目标主机是有缺陷操作系统中的一个。
(5)反转映射
当使用某些手段无法收集到目标主机的信息时,我们可以通过某些现象不出现的线索来得知某些事情有可能存在。
(6)RESET扫描
路由器会抛弃网络的内在结构信息,即使这些信息不是那样的敏感,路由器查看IP地址时就是基于此。
但是RESET信号例外,路由器会对主机不可达,超时发送地址信息。
所以我们可以向一个路由器发送一系列的IP地址询问,根据路由器的回答信息,可以帮助我们构造目标网络的基础结构,我们没有收到HOSTUnreachable或TIMEExceeded响应的主机IP均可以认为是存在的。
过去RESET扫描使用固定的ACK序号,所以比较容易被目标检测到,现在使用了随机的ACK序号,如果再使用诱骗技术,RESET扫描更加不容易被发现了。
(7)域查询响应
5.代理扫描/FTP跳跃扫描
FTP协议支持以下的机制:
如果一个攻击者登录到一个具有可写权限的FTP主机上,并且建立了控制传输的连接时,攻击者可以请求FTP服务器,建立一个向网络中任何一个数据传送进程发送文件。
Hobbit在1995年7月12日写给Bugtrack的信中的“其他的可能”章节中,提到了这种攻击方式,他认为这种协议缺陷将会用于传送来源不可捉摸的新闻和邮件,加重服务、某些站点或存储空间的压力,可能会跳过防火墙,并且会增加追踪的难度。
这种方法常被用来扫描来自代理FTP的TCP扫描。
一个简单的例子是我们可以扫描防火墙内部的网络,只要可以登录到防火墙内的FTP服务器上。
当我们登录到一个FTP服务器上时,如果FTP服务器允许我们在服务器目录种写入,我们就可以向已知的开放的目标端口发送数据。
NMAP提供了这样的一种扫描工具:
使用PORTFTP命令声明我们的数据传送服务在某一个目标的指定端口上监听,然后使用LISTFTP尝试列出FTP服务器的当前目录,命令的结果将会发送到刚才建立起来的传送通道中,如果传送成功的话(返回响应150或226),那么目标主机就会在刚才指定的PORT端口上监听了;
否则一个“425Can’tbuilddataconnection:
Connectionrefused”消息将会收到。
通过使用这种方法,我们可以扫描目标主机上的所有端口,只是这种扫描相当慢。
现在相当多的FTP服务器关闭了“Proxy”属性,但是仍然还有相当多的服务器使用这种属性,所以这种扫描方式依旧存在。
8漏洞扫描步骤
漏洞扫描步骤
第一阶段,判断主机或网络是否助于活动状态
第二阶段,发现目标后继一步搜集目标信息,包括操作系统类型,运行的服务以及服务软件的版本等,如果是一个目标网络,还可以进一步探测该网络的拓扑结构,路由和主机的信息
第三阶段,根据搜集到的信息判断或者进一步测试该系统是否存在安全漏洞
漏洞扫描模块
组成部分:
基于网络的漏洞扫描器,一般由以下几部分组成:
(1)漏洞数据库:
漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。
由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
(2)用户配置控制台:
用户配置控制台与安全管理员进行交互,用来设置要扫描的目标主机,以及扫描哪些漏洞。
(3)扫描引擎:
扫描引擎是扫描器的主要部件。
根据用户配置控制台的相关设置,扫描引擎构造相应的数据包,发送到目标主机。
将接收到的目标主机的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
(4)报告生成工具:
报告生成工具接收扫描引擎返回的扫描结果。
生成扫描报告。
扫描报告将列出用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。
9.基于网络的漏洞扫描模型
扫描部分
sensor(扫描部分)网络漏洞扫描主题
网络漏洞扫描器,它包含控制端(Console)和执行端(Sensor)两个部分,运行环境均为Windows2000或WindowsXP。
Sensor是执行扫描的部件,它以监听方式等待Console连接,Sensor接收Console发送的扫描的配置信息和扫描请求,然后对目标系统(单个主机或多个主机)进行扫描。
在扫描过程中向Console发送扫描进度,扫描结束后将扫描结果返回给Console。
Console是本地使用的控制台程序,用户通过友好的图形化界面与Console交互,配置系统的主要参数和扫描参数。
Console连接处于监听的Sensor,经过认证建立连接后,向Sensor发送扫描信息和扫描请求,扫描结束后接收Sensor返回的扫描结果,根据返回结果给出漏洞的详细信息和修补建议。
Sensor与Console的扫描模型如上图所示,从图中可以看出一个Sensor可以同时连接多个Console,一个Console与可以同时连接多个Sensor。
Sensor采用多线程技术同时可以扫描多个目标主机。
NVSSensor核心
Sensor是NVS的核心部分
Sensor是NVS的核心部分,以插件的形式实现对目标系统的漏洞扫描功能,以加密通信与Console交换扫描配置和扫描结果信息。
Sensor的体系结构如图2所示。
从上图中可以看到,NVSSensor可以分为两大部分:
核心部分和插件部分。
核心部分是Sensor的主体,包括三个模块:
通信模块(COMM)、控制调度模块(SCHD)和通用库与插件库函数模块(UTIL);
插件部分包括三类插件:
端口扫描插件、漏洞扫描插件和字典攻击插件。
下面对各部分分别进行讨论。
(1)核心部分
①通信模块:
负责与Console之间的连接处理,包括认证、加密通信、接收扫描请求、返回执行结果等。
Console与Sensor通信数据包的格式,上一行是数据域名称,下一行是对应域的长度(bit数)。
OP为操作码,为整型数,指明本数据包的用途和类型;
LEN域为整型,表示后面DATA域的长度(以字节为单位);
STAT域为整型的数值,可在发送过程中发送整型信息;
DATA域为发送的信息字符串,长度可以为0-2^LEN字节。
为了防止通信的数据被监听,Console与Sensor之间的通信数据都采用加密方式。
同时,考虑到隐蔽性与安全性,需要对连接请求进行认证处理,防止非信任连接的建立。
系统在发起连接之处,使用Console和sensor皆知的密钥进行通信,然后进一步交换密钥,之后的通信使用新的会话密钥进行加密。
当console与sensor的见面认证完成后,sensor进入处理console请求的过程。
sensor使用了一个状态机来实现对console请求的处理。
②控制调度模块:
是Sensor核心主框架,负责系统的初始化、通用通信模块进行通信、调用各种插件执行扫描、以及为其他各个模块提供输入输出接口等。
它主要包括程序的主框架和调用插件执行扫描功能两部分。
程序的主框架完成如下功能:
在系统开始运行时需要作一些必要的初始化——检查插件、检查文件、初始化Winsock等操作。
根据COMM模块中接收Console请求,根据请求类型分别执行参数的接收、插件上传或删除、文件上传或删除、目标主机地址的接收、以及扫描的执行、结果信息的返回等操作。
NVS端口扫描、漏洞扫描和字典攻击的功能都是通过插件形式实现的。
插件是WindowsDLL文件,而每个DLL文件中包含若干个功能函数。
每个函数表示一种扫描方法,而每个插件则包含一类扫描方法。
NVS通常要对多个目标主机进行扫描,而每个目标主机要执行多个插件中多个扫描函数。
如果采用单线程方法依次单个调用执行的话,效率非常低。
由于Windows对多线程的支持比较好,因此在NVS中采用多线程的方式对各个目标主机同时执行扫描,而对每个目标主机又同时使用多个线程执行插件中不同的扫描函数。
这样系统采用了“两级”的多线程方式来调用插件执行扫描。
描述多线程执行对多个主机扫描的流程。
这是“第一级”为主机分配线程执行扫描。
在该图中“为主机创建扫描线程”这一步骤,是系统“第二级”线程,该部分也使用类似图3的方式分别使用多线程依次调用端口扫描插件、漏洞扫描插件和字典攻击插件中的扫描函数执行扫描。
③通用库与插件库函数模块:
为NVS其它模块提供的公用函数库,这些函数库包括为Sensor核心部分的COMM模块和SCHD模块提供公用函数,并为插件模块提供插件中使用的函数库。
COMM模块和SCHD模块使用的公用函数包括对各种变量的访问、加密、文件操作、多线程处理、通信读写和对通信协议中字符串的解析构造等函数。
为插件模块提供的函数库主要是对建立TCP和UDP连接、发送接收TCP和UDP数据等过程的封装,为编写插件提供方便。
(2)插件部分
Sensor的只包括系统主框架,而扫描功能封装在插件中,只要增加插件就可以扩充系统功能。
端口扫描插件和字典攻击插件各自为一个单独的插件,而漏洞扫描插件按照漏洞的分类,每一类漏洞对应一个插件,插件内包含了该漏洞类的各种漏洞的扫描函数。
每个插件都有一个唯一的插件ID号,插件的存在形式是编译过的WindowsDLL。
插件中包含插件ID号、本类插件漏洞数、每个漏洞的扫描函数以及本类插件中使用到的一些公用函数。
为了方便对插件函数的调用,每个漏洞扫描函数的函数名是由插件ID加上该漏洞在本插件中的索引值,并以符号“_”为前缀,这样函数名实类似“_16001”的形式。
同时为了尽可能减小插件文件的大小,每个漏洞的描述信息存放在Console的漏洞信息库中。
控制部分
console作为控制部分,与Sensor部分交互
sensor作为nvs的主体,是执行扫描的部分。
而console则是与用户的接口,用户通过console配置扫描参数并对扫描进行控制。
nvsconsole主要有以下功能:
1.作为客户端,连接处于监听状态的(有实ip地址)sensor,并对sensor进行管理。
2.与sensor的加密通信。
首先利用一个和sensor皆知的默认密钥与sensor交换随机的心密钥。
然后利用该心密钥与sensor进行加密通信
3.与sensor通过认证建立连接。
4.向sensor上传和删除插件(端口扫描插件、漏洞扫描插件和字典攻击插件)。
5.向sensor上传和删除文件(端口服务对照表文件和字典攻击的字典文件)。
6.管理扫描认为,包括新建、修改和删除等操作。
扫描任务的内容包括扫描目标主机、端口扫描是否选择、漏洞扫描是否选择、字典攻击是否选择、端口扫描参数、漏洞扫描参数、字典攻击参数和其他全局参数与插件参数。
7.向sensor发送扫描请求,扫描请求有两种方式:
扫描过程中保持连接,sensor不断将扫描过程信息传到console端;
sensor接收到请求后立即断开连接,在扫描完成以后重新连接console将结果传回
8.对扫描结果的管理,并能将扫描结果以直观方式显示。
9.维护连接过的sensor、扫描任务、扫描结果、插件信息和漏洞信息等的一个数据库。
10漏洞扫描的发展趋势
1漏洞扫描的对策
目前对网络服务器的攻击越来越多,攻击者大部分利用端口扫描软件结合TCP/IP协议固有漏洞,来攻击联网的计算机。
最常采用拒绝服务攻击,当被攻击时,一般会出现如下现象:
被攻击主机上有大量的TCP连接,网络中充斥源地址为假的数据包,高流量数据包,网络堵塞无法为正常用户提供服务。
作为网络管理员,我们应该设置好路由器,以应付并最大限度减缓可能出现的拥堵。
如在cisco路由器使用IPVERIFYUNICASTREVERSEPATH网络接口命令,ACL过滤列出的所有地址,参照rfc2267用acl过滤进出报文,使用car限制icmp数据包流量速率。
设置syn数据包流量速率等措施,同时,为安全起见建议去掉操作系统和提供网络服务的信息显示。
漏洞扫描的发展趋势
通过以上分析,我们认为,漏洞扫描发展趋势应涉及以下几个问题:
1.分析扫描,集中管理,能够通过扫描引擎的分布部署对多个网络同时进行网络脆弱性扫描,并能集中管理,配置各扫描引擎,将扫描结果集中分析。
2.加强隐患扫描更加强调侧重于发生安全事故前一阶段的扫描防护,防患于未然。
通过及时收集建立黑客攻击信息库,分析预测黑客攻击行为,模拟黑客进攻,对被检查系统进行攻击性的安全漏洞和隐患扫描,提交风险评估和相应整改措施。
3.提高友善度克服地网络拓扑中带宽的制约。
扫描时信息流不会触发两个区域之间设置的IDS.
4.向安全评估智能专家系统过渡由于目前的
升级会员 