網絡安全漏洞檢測技術研究及應用

張昊 賀江敏 屈曄

摘 ? 要：網絡安全漏洞檢測在網絡信息系統保障中發揮著重要的基礎作用。文章首先對漏洞掃描器的原理和漏洞數據庫進行了分析，接著介紹了模擬攻擊腳本定制和插件技術兩種常見技術，最后給出了軟件實現和利用該工具對系統進行安全分析得到的檢測結果。實踐證明，在該工具軟件在已實現功能的基礎上，及時進行漏洞和插件更新，就可用于網絡系統安全檢測。

關鍵詞：網絡安全;漏洞;數據庫;測評工具

中圖分類號： TP309.2 ? ? ? ? ?文獻標識碼：A

Abstract： The cyberspace security vulnerability detection plays an important basic role in network information system guarantee. This paper first analyzes the principle of vulnerability scanner and vulnerability database， then introduces two common technologies， i.e. simulation attack script customization and plug-in technology， finally， the software implementation and the test results of the system security analysis by using the tool are given. It has been proved that， on the basis of the realized ?function of the tool software， the vulnerability and plug-in update in time can be used for network system security detection.

Key words： cyberspace security; vulnerability; database; evaluation tools

1 引言

進入新時代，全球迎來了新一輪信息技術革命，以互聯網為核心的信息通信技術及其應用和服務正在發生質變。人類社會的信息化、網絡化達到前所未有的程度，信息網絡成了整個國家和社會的“中樞神經”。然而網絡化趨勢卻帶來了兩個矛盾：一是攻擊技術永遠領先于防御技術;二是信息技術和應用越復雜、功能越全面，其脆弱性、漏洞和安全隱患就越大。從技術發展趨勢看，這兩個矛盾會越來越突出，網絡與信息安全形勢不容樂觀。保障網絡信息安全中非常重要的一項措施就是消除信息系統中已知的安全隱患。

網絡安全檢測評估，通過對信息網絡及其相關設施設備的安全風險進行檢測評估，及時發現安全隱患，提出防護措施，對確保信息網絡安全運行具有重要關口作用。研究網絡安全漏洞檢測技術，開發和使用漏洞掃描器，及時發現所維護的系統開放的各種TCP端口、提供的服務、軟件版本和這些服務及軟件呈現在網絡及信息系統中的安全漏洞，從而在計算機網絡系統安全保衛戰中做到“有的放矢”，及時修補漏洞，是網絡安全保障工作的關鍵步驟之一，為網絡安全保障工作提供技術支撐，具有現實意義。

2 網絡安全檢測工具

2.1 漏洞掃描器的原理

漏洞掃描器是常見的網絡安全檢測工具，漏洞掃描器分為主機漏洞掃描器和網絡漏洞掃描器。前者基于主機，通過在主機系統本地運行代理程序來檢測系統漏洞，例如操作系統掃描器和數據庫掃描器;后者基于網絡，通過請求/應答方式遠程檢測目標網絡和主機系統的安全漏洞。針對檢測對象的不同，漏洞掃描器還可分為網絡掃描器、操作系統掃描器、WWW服務掃描器、數據庫掃描器以及無線網絡掃描器。

漏洞掃描器通常以三種形式出現：（1）單一的掃描軟件，安裝在計算機或掌上電腦上，例如ISS Internet Scanner;（2）基于客戶機（管理端）/服務器（掃描引擎）模式或瀏覽器/服務器模式，通常為軟件，安裝在不同的計算機上，也有將掃描引擎做成硬件的，例如Nessus;（3）其他安全產品的組件，例如防御安全評估就是防火墻的一個組件。

網絡漏洞掃描可分為ARP掃描、ICMP掃描、端口掃描、OS探測、脆弱點探測等。按照TCP/IP協議分層模型，ARP掃描工作在數據鏈路層，可以基于ARP協議在局域網內對目標主機進行掃描，來判斷目標主機是否啟用。ICMP（Ping）掃描工作在互聯網絡層;端口掃描工作在傳輸層;0S探測、脆弱點探測工作在網絡層、傳輸層和應用層。通過ARP掃描、ICMP掃描確定目標主機的IP地址，利用ICMP掃描可以探測是否有防火墻或者其他過濾設備存在，可以獲得防火墻的ACL（access control list），甚至整個網絡拓撲結構。端口掃描分為TCP掃描和UDP掃描，通過遠程檢測目標主機不同端口的服務，記錄目標給予的應答，來搜集目標主機上的各種信息。基于端口掃描的結果，可以進行OS探測，然后根據系統的漏洞庫進行分析和匹配，進行脆弱點探測，如果滿足匹配條件，則認為安全漏洞存在;或者通過模擬黑客的攻擊手法對目標主機進行攻擊，如果模擬攻擊成功，則認為安全漏洞存在。

在匹配原理上，目前漏洞掃描器大都采用基于規則的匹配技術，即通過對網絡系統安全漏洞、黑客攻擊案例和網絡系統安全配置的分析，形成一套標準安全漏洞的特征庫，在此基礎上進一步形成相應的匹配規則，由掃描器自動完成掃描分析工作。

2.2 安全漏洞數據庫

目前，漏洞掃描器多數采用基于特征的匹配技術，與基于誤用檢測技術的入侵檢測系統相類似。掃描器首先通過請求/應答，或通過執行檢測腳本，來搜集目標主機上的信息，然后在獲取的信息中尋找漏洞特征庫定義的安全漏洞，如果有，則認為安全漏洞存在。可以看到，安全漏洞能否發現很大程度上取決于漏洞特征的定義。

漏洞特征庫的多少決定了漏洞掃描器能夠發現安全漏洞的數量，所以這是衡量一個漏洞掃描產品功能強弱的重要因素，這需要引出漏洞特征庫升級（即產品升級）問題。由于每天都有可能出現新的安全漏洞，而基于特征匹配的漏洞掃描技術不可能發現未知的安全漏洞，所以特征庫的及時升級就顯得尤為重要。

MITRE公司建立的CVE（Common Vulnerabilities and Exposures，公共弱點/風險）列表解決了這個問題。CVE是一個行業標準，為每個弱點/風險（漏洞）確定了唯一的名稱和標準化的描述，可以成為評價相應入侵檢測和漏洞掃描等工具產品和數據庫的基準。

當MITRE發現一個潛在的新的安全漏洞后，MITRE的CVE編輯審查部門將授予這個新問題一個候選名稱以及一個號碼（CAN編號）。然后審查小組將對這個問題進行審查，以確定它是全新的問題，而不是CVE列表中已有的問題，也不是另一個正在等待審查的問題，然后投票決定是否接受這個問題為一個正式的CVE項。MITRE的審查小組由計算機安全問題專家組成，這些專家不僅僅來自MITRE公司，有些來自其他的安全技術組織或者安全問題咨詢公司。通過收集和分析安全漏洞，開發相應漏洞檢測插件或腳本，可以擴展漏洞掃描器可發現的漏洞掃描類型和數量，一個網絡安全漏洞數據庫的維護系統如圖1所示。

3 網絡安全檢測工具開發

3.1 模擬攻擊腳本定制

模擬攻擊腳本的定制對于安全掃描和安全漏洞的驗證都十分關鍵，也是掃描器的關鍵技術之一。模擬攻擊腳本與漏洞特征庫緊密相關，需要獲取包含漏洞特征的信息。事實上，模擬攻擊腳本是實際攻擊的一個簡化版或弱化版，達到獲取信息的目的即可，而不需要把目標攻癱或獲取根權限。例如，模擬的拒絕服務攻擊腳本，一旦發現系統出現異常時就會立刻停止攻擊。探測弱口令之類安全漏洞的腳本，則會利用賬戶名稱簡單變換、長度較短和易猜解的口令進行嘗試，而不會像口令破解程序那樣會去窮盡整個搜索空間。通常，模擬攻擊腳本越多，掃描器能夠發現的安全漏洞種類就越多，功能也就越強大。

3.2 插件技術

插件就是信息收集或模擬攻擊的腳本，每個插件都封裝著一個或者多個漏洞的測試手段。通常，漏洞掃描器是借助于主掃描程序通過用插件的方法來執行掃描，通過添加新的插件就可以使掃描器增加新的功能，掃描更多的漏洞。如果能夠格式化插件的編寫規范并予以公布，用戶或者第三方就可以自己編寫插件來擴展掃描器的功能。插件技術可使掃描器的結構清晰，升級維護變的相對簡單，并具有非常強的擴展性。

4 網絡系統安全檢測工具軟件實現

4.1 存活主機探測

在漏洞掃描之前，首先要進行存活主機的探測，特別是大范圍的網絡漏洞掃描，若進行全IP段的盲掃，將耗費大量的無用時間。進行存活主機探測目前主要有兩種方法：（1）Ping探測。是向特定的目的主機發送ICMP（Internet Control Message Protocol 因特網報文控制協議）Echo請求報文，測試目的主機是否可達及了解其有關狀態。如果收到了目標主機類型字段為0的應答數據包，說明目標主機是存活的，接下來就可以針對存活的目標主機進行下一步的掃描，如果在規定的時間內，源主機沒有接收到ICMP的應答包，則說明目標主機不可達。（2）開放端口探測。由于安全的原因，目前很多主機或者防火墻都禁用了Ping，這導致即使是存活的主機也沒法連通，因此使用Ping方法沒法百分百判斷主機的存活狀態，這就要結合開放端口判定主機的存活狀態。一般通過掃描常見的端口，如Web服務80、8080、443端口，FTP21端口，Windows常見的135、139、445端口、Linux常見的22端口等。

4.2 端口掃描技術

網絡漏洞掃描是建立在端口掃描的基礎上的，支持TCP/IP協議的主機和設備，都是以開放端口來提供服務，端口可以說是系統對外的窗口，安全漏洞也一般通過端口暴露出來。因此，網絡漏洞掃描器為了提高掃描效率，首先需要判斷系統的哪些端口是開放的，然后對開放的端口執行某些掃描腳本，以進一步尋找安全漏洞。掃描器一般集成了六種主要的端口掃描技術。

（1）TCP SYN掃描：掃描器向目標主機的一個端口發送請求連接的SYN包，掃描器在收到SYN/ACK后，不發送ACK應答而是發送RST包請求斷開連接。這樣“三次握手”就沒有完成，無法建立正常的TCP連接，因此，這次掃描就不會被記錄到系統日志中。

（2）TCP FIN掃描：掃描器發送一個設置了FIN位的數據包，若響應RST數據包，則表示端口關閉，沒有響應則表示開放。

（3）TCP connect掃描：掃描器試圖與每一個TCP端口進行“三次握手”通信。如果能夠成功建立接連，則證明端口開放，否則為關閉。準確度很高，但是最容易被防火墻和IDS檢測到，并且在目標主機的日志中會記錄大量的連接請求以及錯誤信息。

（4）FIN+URG+PUSH掃描：也叫TCP Xmas Tree掃描，掃描器向目標主機發送一個FIN+URG+PUSH分組，根據RFC793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標志。

（5）NULL掃描：將一個沒有設置任何標志位的數據包發送給TCP端口，在正常的通信中至少要設置一個標志位，根據FRC 793的要求，在端口關閉的情況下，若收到一個沒有設置標志位的數據字段，那么主機應該舍棄這個分段并發送一個RST數據包，否則不會響應發起掃描的客戶端計算機。也就是說，如果TCP端口處于關閉狀態則響應一個RST數據包，若處于開放狀態則無響應。

（6）UDP ICMP端口不能到達掃描：掃描器向一個未打開的UDP端口發送一個數據包時，會返回一個ICMP_PORT_UNREACH錯誤，這樣就能發現哪個端口是關閉的。

4.3 指紋探測技術

所謂指紋探測就是為了精確收集掃描目標的各種信息，如探測操作系統、數據庫、中間件等的類型和具體版本，為下一步的漏洞探測提供準確信息，提高漏洞掃描結果的準確率。很多應用軟件都會在其banner中返回其軟件名稱、版本號等關鍵信息。圖2是一個連接FTP服務器時，服務器返回相關信息的一個例子。

HTTP訪問返回數據的HTTP頭中通常也會包括HTTP服務器軟件相關信息，如通過圖3的返回信息可以知道服務器為“Apache-Coyote”，版本為1.1。

針對軟件banner信息泄露的情況，有的系統管理員會修改banner以迷惑惡意攻擊者或掃描軟件。另外一個相對簡單的指紋探測方法就是通過主機開放的端口號進行判斷。互聯網上知名的服務都有對應的端口號，如HTTP服務對應80、FTP服務對應21、SSH服務對應22等，當然這個規范也不是強制要求的。一些早期的漏洞掃描軟件直接通過端口號判斷目標主機開放的服務并進行下一步的漏洞掃描，比如oracle默認的端口號是1521，當oracle以默認端口部署時，漏洞掃描軟件會通過oracle漏洞庫匹配發現數據庫的相關漏洞，當oracle的端口號修改為非1521端口后，漏洞掃描軟件就會認為目標主機沒有安裝oracle數據庫，不會進行相關漏洞掃描，修改服務的默認端口也是系統安全配置的基線之一。

4.4 軟件主要功能

掃描模塊在工作時，首先進行初始化，在初始化階段，主要是讀取所需的參數。比如從基本信息探測子模塊得到操作系統類型，由此來決定在掃描中需要使用的漏洞庫，還有一些用戶自己配置的參數。除了讀取參數外，還要建立一些文件以供以后使用。初始化后，建立非阻塞socket并連接，然后根據得到的相關端口及對應的服務，來調用相應的漏洞掃描子模塊。

Windows下網絡編程規范Windows Sockets規范以U.C. Berkeley大學BSD UNIX中流行的Socket接口為范例定義了一套Micosoft Windows下網絡編程接口。它不僅包含了人們所熟悉的Berkeley Socket風格的庫函數，也包含了一組針對Windows的擴展庫函數，以使程序員能充分地利用Windows消息驅動機制進行編程。Windows Sockets規范本意在于提供應用程序開發者一套簡單的API，并讓各家網絡軟件供應商共同遵守。

網絡安全檢測工具使用VC++ 6.0進行開發，在實現中采用了插件技術和多線程編程技術，由于CSocket類封裝了大量網絡基礎應用低層語句，可以很方便地進行網絡編程，而無需對底層進行直接操作。圖4給出了軟件實現界面，圖5給出了使用該工具進行檢測得到的安全分析結果。

4.5 小結

針對目前TCP/IP網絡和各種網絡主機的安全現狀，設計并實現了一個網絡漏洞掃描檢測工具，可以掃描分析Linux、UNIX、Windows 2000/NT/7/2008等多種操作系統，以及Sql Server、Oracle等主流數據庫、Web應用系統等多種對象的安全漏洞。該網絡安全漏洞掃描器具有五個特點。

（1）能夠多方位、多角度對處于網絡環境中的重要網絡主機進行安全掃描;

（2）掃描覆蓋面廣：能對多種操作系統、數據庫進行隱患掃描;

（3）掃描速度快：利用多進程并發和TCP的非阻塞連接等技術加快了掃描的速度;

（4）可配置性好：通過友好的圖形化界面，用戶可以十分方便地配置本系統的主要參數，以便于靈活的適應各種各樣的實際網絡應用環境;

（5）可擴展性好：采用插件技術，并可以對漏洞庫進行升級。

5 結束語

網絡安全工作是防守和進攻的博弈，及時和準確地識別網絡信息系統弱點和漏洞，才能在網絡安全保障工作中處于先機，立于不敗之地。網絡安全漏洞檢測技術對網絡信息系統的保障有著非常重要的作用，不僅可以借此提高整體技術水平、質量水平，還可以加強安全性能。降低網絡信息系統出現安全問題的概率，已經成為網絡安全領域的關注重點。網絡漏洞檢測的目的在于發現漏洞、修補漏洞，進而從根本上提高信息系統的安全性，減少安全事件的發生。加強網絡安全漏洞檢測技術研究，開發漏洞檢測掃描分析軟件工具，對于保障網絡安全，提高整體網絡安全防護能力具有十分重要的意義。

參考文獻

[1] 屈曄，張昊. Bugscam自動化靜態漏洞檢測的分析[J]. 信息安全與通信保密，2007.3.

[2] 付靈麗，柴欣.Visual C++程序設計基礎[M].北京：中國鐵道出版社，2004.

[3] David Simon. Visual C++ 6 編程寶典[M].北京：電子工業出版社，2005.

[4] 張昊，屈曄，楊春暉. Web應用系統軟件信息安全技術研究[J]. 電子產品可靠性與環境試驗，2008，26（1） ：P45-475.

[5] 張昊，黃曉昆. 信息安全等級保護測評工作實踐與探討[C]. 公安部第三研究所.第二屆全國信息安全等級保護測評體系建設會議論文集.公安部第三研究所：《信息網絡安全》北京編輯部，2012：32-33.

[6] GB/T 22239-2019，信息安全技術 網絡安全等級保護基本要求[S]. 北京：中國質檢準出版社，2019.

[7] 賀江敏，相里鵬. 代碼安全性審查方法研究[J]. 信息安全研究，2018，11（4）：p977-986.

[8] 張昊，賀江敏. 網絡安全測評機構能力建設研究[J]. 網絡空間安全，2020，11（3）：P18-23.