計算機網絡安全掃描技術研究

李秋銳

中國人民公安大學 北京 100038

0 引言

計算機網絡技術在給人們生產生活帶來巨大便利的同時，也存在著一系列的安全問題，給個人信息及財產造成了重大損失。網絡安全掃描技術，同防火墻技術，入侵檢測工具及防病毒工具一起構成了保護網絡安全的重要手段。與其他被動防護手段不同的是，網絡安全掃描是一種主動的防護手段，通過網絡安全掃描，能及時發現網絡中各種設備的安全漏洞，從而提早采取防護手段，避免網絡被惡意攻擊者攻擊。

1 主機探測

主機探測是網絡管理員維護網絡安全的第一步，通過主機探測能夠發現網絡中的在線主機，了解網絡中IP地址分配以及網絡拓撲結構等一系列情況，為維護網絡安全提供的資料。主機探測利用ICMP協議，向目標主機發送ICMP回聲請求數據包，然后等待響應(也就是ping操作)。如果能收到目標主機的應答數據包，則說明主機在線，否則，目標主機不在線。當然，有些防火墻能夠阻止這樣的ICMP包通過。通過不斷的完善，主機探測發送的探測數據包還包括 ICMP時間戳數據包和ICMP地址掩碼請求數據包。

2 端口掃描

在TCP/IP通信中，相互通信的主機通過對方的IP地址識別目標主機。然而，由于一臺主機上往往運行了多個應用程序，僅僅只靠IP地址并不能區別不同程序的信息流。端口的引入就很好的解決了這個問題。在網絡通信中，首先把端口號和相應的應用程序綁定在一起，然后在數據包中表明具體的IP地址和端口號，目標主機就知道該把收到的數據包上傳給哪個應用程序進行處理了。在主機上，端口的開放說明了主機提供了相應的服務，服務的存在也表明了漏洞的存在。因此，端口掃描常常是攻擊者和管理者活動的重要手段。

2.1 TCP全連接掃描

TCP通信是一種面前連接的可靠通信方式，相互通信的主機通過“三次握手”建立連接之后進行數據的傳輸。首先，客戶端主機向服務器發送 SYN數據包，數據包中給出了端口號，表明了所要請求的服務；接下來，服務器向客戶端主機發送SYN/ACK數據包，表示接受客戶端的請求；最后，客戶端主機向服務器發送 ACK數據包確認連接。至此，連接建立成功，客戶端和服務器可以進行正常通信。

TCP全連接是最典型最基本的一種端口掃描方式。掃描主機調用connect()連接，和目標主機的相應端口通過三次握手建立正常的 TCP連接。若被掃描主機的相應端口是打開的，則返回一個ACK數據包，否則，返回RST數據包。這種方法簡單快速，而且不需要具有管理員權限。但是，三次握手的建立過程容易被入侵檢測系統和防火墻發現，掃描過程不具有隱蔽性。

2.2 TCP SYN掃描

在TCP SYN掃描中，掃描主機向目標主機相應的端口發送SYN數據包。若目標端口是打開的，則返回ACK數據包，否則，返回RST數據包。與TCP全連接掃描不同的是，掃描主機在收到目標主機返回的SYN/ACK數據包后，并沒有繼續發送ACK數據包建立一個完整的TCP連接，而是發送一個RST數據包終止了連接。由于正常的TCP連接并沒有被建立起來，因此TCP SYN掃描又被稱為半連接掃描。TCP STN的掃描速度更快，同時更不容易被入侵檢測系統發現。但這種方式的缺點是需要掃描主機構造用于掃描的數據包。

2.3 秘密掃描

根據發送探測數據包的不同，秘密掃描又被分為 TCP FIN掃描，TCP Null掃描，TCP Xmas掃描，TCP ACK掃描，TCP SYN/ACK掃描等。在TCP FIN掃描中，掃描主機發送的數據包中的FIN位被置位，若目標端口是打開的，則探測數據包被丟掉(因為此數據包不是建立正常 TCP連接的三次握手所使用的數據包，對于端口而言沒有意義)，否則，探測數據包被丟掉，同時返回RST數據包。其他幾種秘密掃描技術的原理基本相似。

2.4 UDP ICMP不可達掃描

事實上，互聯網上運行在UDP端口上的服務也有很多。UDP ICMP掃描向UDP端口發送UDP探測包，若目標端口是關閉的，則返回ICMP端口不可達數據包。若經過多次重發，掃描主機仍然沒有收到目標端口響應數據包，則說明目標端口很可能是開放的(通常，開放的UDP端口對UDP探測數據包不做任何響應)。但是，由于UDP協議是非連接的，數據傳輸的不可靠性更大，經常需要重傳數據包，影響了掃描的速度和準確性。

3 操作系統探測

目前，操作系統識別的方式很多，但其原理都是將目的主機對某些探測數據包的響應和已知的操作系統指紋庫進行匹配識別來進行的。首先，通過采樣不同操作系統對各種探測數據包的反應建立操作系統的指紋識別庫。掃描時，向目標主機發送探測數據包，將其響應數據包和指紋數據庫進行匹配，從而識別操作系統的類型。

目前，根據探測數據包的構造方式不同，比較流行操作系統探測有以下幾種。

3.1 TCP/IP協議棧的指紋探測技術

由于操作系統系統架構及不同版本之間的差異，不同的操作系統在實現 TCP/IP協議時是不一樣的，可以利用這種差異來區別不同的操作系統類型。此種方法主要用到以下技術手段：FIN探測，BOGUS標記探測，TCP SYN取樣，TCP時間戳，TCP初始化窗口，ACK值等。

這種方法實現簡單，可供選擇的探測技術較多，易擴充。不過探測數據包易受實際網路情況的影響，穩定性不高，常常需要綜合運用多種方式。

3.2 基于RTO采樣的指紋識別

TCP協議通過對傳輸數據進行確認來實現可靠的數據傳輸。然而在實際網絡環境中，傳輸的數據和確認都可能發生丟失。TCP在傳輸數據時會設置一個重發定時器，當定時器溢出之后，還沒有收到確認，就進行數據的重傳。該重發定時器的時間間隔就被稱為RTO(Retransmission Timeout)。

不同操作系統在計算RTO時使用的方法是不同的。因此，可以利用這一點來實現對遠程主機操作系統的探測。首先向目標主機選定的開放端口發送TCP SYN包，然后使用堵塞模塊阻止目標端口響應的SYN/ACK包到達掃描主機，迫使目標主機不斷超時重發SYN/ACK包。得到每次的超時重傳時間，再和數據庫中的特征進行匹配計算識別出操作系統類型。

這種方法的優點是只需要得到目標主機的一個開放的端口就可以進行對操作系統進行準確的識別。同時，不會在網絡中產生很多畸形的數據包，不會對目標主機產生很多不良影響。但是，由于需要等待目標主機的大量超時重傳，會花費更多的掃描時間。

3.3 基于ICMP響應的指紋辨識

ICMP是TCP/IP協議族的一個子協議，用于在主機與路由器之間傳遞控制信息，包括報告錯誤、交換受限控制和狀態信息等。當遇到IP數據無法訪問目標、IP路由器無法按當前的傳輸速率轉發數據包等情況時，會自動發送ICMP消息。

ICMP報文總體上分為兩種：ICMP查詢報文和ICMP差錯報文。利用ICMP進行操作系統探測的方式有兩種。一種是可以向目標主機發送多種類型的查詢報文捕獲響應數據包進行分析；另一種是 TCP/IP數據包使目標主機觸發差錯報文，從響應的差別中對操作系統進行辨識。

由于只發送ICMP數據包，基于ICMP響應的指紋識別算法速度很快，并且不會對目標主機產生不良影響。另外，由于匹配算法得以改進，操作系統簽名數據庫容易建立和更新。這種方法的缺點是探測技術單一，只依賴一種類型的數據包，穩定性不足，更難進行技術上的更新。

4 漏洞掃描

對于網絡管理員而言，保護網絡安全的關鍵是要及時發現目標網絡/主機上存在的各種安全漏洞，并采取有效的修補措施，使得系統免受惡意攻擊。安全漏洞往往是針對某一特定操作系統的某一具體服務的，也就是說，是針對某一具體端口存在的，因此，在網絡安全掃描中，漏洞掃描常常是建立在端口掃描和操作系統探測基礎上的。從實現原理上講，漏洞掃描又分為基于漏洞庫的匹配技術和插件技術。

4.1 基于漏洞庫的匹配技術

在這種漏洞掃描方式中，網絡掃描系統首先根據已知的各種安全漏洞建立一個漏洞特征信息庫。然后，向目標主機發送各種數據包，根據對響應數據包的分析，基于規則匹配原則與漏洞庫中的特征值進行匹配，從而確定主機的安全漏洞。因此，漏洞特征信息庫中特征信息的完整性和可信性就決定了掃描的效率和準確性，同時信息庫信息的更新和修訂也會影響掃描系統的時間。

4.2 插件技術

這種方法就是模擬黑客的各種攻擊行為，將每一種攻擊方法都用腳本語言進行編寫得到插件。當進行掃描時，掃描工具自動調用插件對系統或主機進行攻擊。若攻擊成功，則表明存在相應的漏洞。插件程序獨立于主程序，編寫方便易行，因此，掃描系統的功能擴展更加的方便，只需要在系統中增加新出現的安全漏洞的插件模塊即可。

5 結論

隨著互聯網技術的發展，網絡安全掃描技術也在不斷的成熟更新中。但是，新的問題和新的挑戰總會不斷的涌現出來，給網絡安全掃描技術帶來了不少的難題，需要不斷的努力研究。

[1] 洪宏,張玉清,胡予濮,戴祖峰.網絡安全掃描技術研究[J].計算機工程.2004.

[2] 周峰.一種網絡漏洞探測系統的設計與實現[D].武漢科技大學.2006.

[3] 趙妙軍.淺析網絡安全掃描技術[J].信息技術.2010.