基于邊界網關的自我掃描模型設計

黎波

[摘 要]利用掃描技術對邊界網關的各端口進行掃描從而獲得對方所開放的服務及系統信息，然后分析得到對應的BUG，根據這些BUG制定相應的攻擊策略和攻擊手段。所以，掃描是進行網絡攻擊前必不可少的準備。掃描本身的特點導致其不能直接防御，在本文中介紹的自我掃描方法是從間接的角度防御掃描，從而有效的抵御后繼的網絡攻擊。

[關鍵詞]掃描 邊界網關 網絡攻擊 自我掃描

一、引言

面對網絡中的各種掃描技術，尤其是針對邊界網關的掃描需要特別注意，因為邊界作為互聯網的基礎設施，主要負責各AS之間的數據通信。一旦邊界網關的系統薄弱的環節被掃描出來，將會成為攻擊者攻擊邊界網關的首要資料，那么邊界網關就面臨著巨大的網絡安全威脅。如果邊界網關被攻擊成功，那么AS內計算機的通信癱瘓，他難怪是，AS內的計算機資源的安全得不到保證。所以，在邊界網關上，必須采取一定的策略和辦法來抵制對網關的掃描。在下面的介紹中，我們將構建一種“自我掃描”模型來抵抗針對邊界網關的掃描攻擊。

二、自我掃描策略介紹

由于邊界網關要維護網絡的正常通信，必須開發一些必要的端口，提供必要的服務。而掃描技術基本上是利用TCP協議本身在安全防御方面的先天不足。模擬和邊界網關建立連接等方式獲得網關端口的基本情況，所以，從掃描本身來說，是很難檢測到該連接時合法連接還是掃描器的模擬連接。因此，要直接抵抗掃描難度很大。

自我掃描本質上是一種實時的掃描策略，其核心在于自我掃描，基本思想是：利用掃描技術對邊界網關自身進行掃描，從而反饋出本網關在提供的端口信息、服務信息、系統漏洞、管理缺陷等方面的信息，然后對這些信息進行分析，找出當前網關的不足和漏洞，即：BUG，針對這些BUG，及時采取補救措施和制定進一步的完善策略，從自身的角度來分析自身的缺陷所在。

該策略不直接過濾和抵抗網絡對邊界網關的掃描，而是通過自我掃描的方式發現網關的系統問題。也就是一種典型的“自我批評、自我剖析”的方式。

三、自我掃描模型的結構

該系統由5部分構成，各部分各司其職，根據執行的先后順序，統一協調的完成自我掃描任務，發現邊界網關的漏洞和不足，為下一步的自我完善提供信息和材料。它由掃描實例集、掃描工具集、信息中心、信息分析中心和完善處理單元組成，他的功能結果如下圖所示：

（圖1）

1.掃描實例集。這個模塊負責收集針對網關系統各掃描指標，比如各端口、服務、系統等。這是一個很重要的部分，因為如果某些敏感的指標沒有考慮到，那么該指標導致的安全問題就不易被發現，而該指標很可能被攻擊者掃描到，成了自我掃描中的一個盲點，而被攻擊者利用了。

2.掃描工具集。這是執行掃描任務的軟件的集合，可能不止一種掃描工具。在選擇掃描工具的時候一定要根據掃描對象的情況選擇合適的掃描工具，才能有效的掃描出邊界網關的漏洞和不足。

3.信息中心。該模塊主要的任務在于接收掃描后收集起來的各種掃描結果，即：信息，將這些信息組織管理起來，及時的提供給分析中心的分析使用。

4.信息分析中心。顧名思義，該模塊的主要職能在于對信息中心收集到的信息進行檢查分析，然后得出分析結果，即：當前網關存在的不安全因素，比如：系統的漏洞、缺陷、管理上的盲區等。

5.完善處理單元。這是自掃描模型的核心，該模塊的職能在于根據信息分析中心找到的系統漏洞，經過有效的驗證和核實，找到解決問題的辦法，對系統進行完善和修復，使之暴露的問題能被解決而防止網絡中對邊界網關的攻擊。這個模塊的執行過程就是邊界網關系統不斷完善、升級、增強的過程。

四、自我掃描模型的工作原理

自我掃描模型的5個模塊經過嚴密的合作，便能有效的防止攻擊者對邊界網關的掃描，從而避免對邊界網關造成威脅。它的工作原理如圖2所示：

從圖2可以看出，自我掃描策略工作過程如下所述：

（1）首先應該確定掃描實例集，也就是要確定對系統的那些指標進行掃描，從而得出的一個掃描集合。

（2）確立執行掃描的工具，掃描工具一定要針對目標系統的不同而有所調整。（1）、（2）準備好后轉入（3）。

（3）開始掃描，將掃描后的結果送入信息中心保存，然后轉入（4）。

（4）信息分析中心根據信息中心所提供的信息開始分析、比對，檢測。如果發現有新信息，就說明出現了新的BUG，那么就對新出現的BUG尋求解決辦法.然后轉入（5）。

（5）找到新的解決辦法后，立即完善邊界網關系統，不留任何機會給攻擊者。轉入（1），循環實時的對邊界網關進行掃描。

五、總結

自我掃描模型在本質上和其他掃描技術是相同的，唯一的不同在于，攻擊者掃描的目的是為了獲得基礎信息為下一步攻擊做準備；而自我掃描模型執行掃描的目的在于獲得這些基礎信息，發現自身系統的BUG，從而不斷的對系統進行完善和加強，更有效的防御攻擊。

參考文獻：

[1].張千里，陳光英《網絡安全新技術》人民郵電出版社

[2].楊義先，鈕心忻《網絡安全理論與技術》人民郵電出版社

[3]高永強，郭世澤《網絡安全技術與應用大典》人民郵電出版社

[4]劉熙，淺談黑客攻防.硅谷.2009.1671—7597

[5]王峰.淺析入侵檢測.電腦知識與技術.2009 005（002）.1009—3044

[6] Lisa Vaas. Tying the network access knot. eWeek. 2007. 1530—6283

[7] Gibson， T. Securing large—scale military networks： homogenous protection for disparate environments . IEEE Network. 2002 0890—8044

[8] Chi—Hung Kelvin Chu； Ming Chu. An Integrated Framework for the Assessment of Network Operations， Reliability， and Security. Bell Labs Technical Journal. 2004. 1089—7089