網(wǎng)絡漏洞掃描系統(tǒng)的研究與設計

1、第19卷第10期文章編號:100325850(2006)1020027203電腦開發(fā)與應用(總641)27網(wǎng)絡漏洞掃描系統(tǒng)的研究與設計TheResearchandDesignofNetworkVulnerabilityScanningSystem康峰(太原理工大學太原030024)【摘要】網(wǎng)絡漏洞掃描系四類重要安全工具之一,介紹了其基本概念,并在此基礎上提出一個網(wǎng)絡漏洞掃描系統(tǒng)模型,該系統(tǒng)的客戶端采取遠程登錄、申請漏洞掃描,然后服務器端啟動掃描引擎對目標系統(tǒng)進行掃描。該系統(tǒng)高效、準確、可擴展。【關(guān)鍵詞】漏洞掃描,網(wǎng)絡安全,掃描插件中圖分類號:TP393.08文獻標識碼:A.Thebasicco

2、nceptionsofvulnerabilityandvulnerabilityABSTRACTNetworkVulnerabilityScanningisoneoffoursecuritytoolsscanningtechnologyareintroducedinthispaperatfirst.Andthenbasedonscanningtheory,akindofnetworkvulnerabilityscan2ningsystemmodelisputforward.Inthesystem,theclientterminalcanremotelylogintoapplyvulnerabi

3、litycanningandtheserv2erterminalstartsscanningenginetoscantheobjectsystem.Thissystemshowsthehighefficiency,accuracyandextensibilityofvulnerabilityscanning.KEYWORDSvulnerabilityscanning,networksecurity,scanningplug2in現(xiàn)階段,網(wǎng)絡信息系統(tǒng)日益復雜,網(wǎng)絡應用也越來越豐富,網(wǎng)絡安全方面暴露的問題也越來越多,引起世界各國的高度重視。計算機安全包括物理安全和邏輯安全,護以免被破壞或丟失,漏洞

4、肆意入侵系統(tǒng),輕易地進行網(wǎng)上攻擊1。1.2漏洞掃描技術(shù)分類,可以分為靜,根據(jù)安全漏洞數(shù)據(jù),信息。掃描程序在掃描過程中逐項于檢測表進行比較,以發(fā)現(xiàn)目標的系統(tǒng)類型,可能存在的漏洞情況。動態(tài)掃描,利用各種腳本或程序,去檢測目標系統(tǒng)和網(wǎng)絡是否存在漏洞。1漏洞掃描技術(shù)1.1漏洞及其分類漏洞是指在計算機系統(tǒng)中硬件、軟件及協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在安全方面的缺陷,從而使攻擊者可以非法入侵系統(tǒng)或未經(jīng)授權(quán)訪問或破壞系統(tǒng)2。漏洞可以按照其對受害主機的危險程度分為四個級別:一級漏洞能夠使遠程主機上的惡意入侵者獲得有限的訪問權(quán)限或root權(quán)限,從而控制整個系統(tǒng),對系統(tǒng)中的數(shù)據(jù)進行非法訪問、篡改和破壞。二級漏洞

5、是指允許本地用戶獲得增加的和非授權(quán)的訪問,如讀取、寫或執(zhí)行系統(tǒng)上的非根用戶文件。三級漏洞是指允許拒絕服務的漏洞,用戶不能對文件和程序進行訪問。四級漏洞是指允許遠程用戶獲取目標主機上的某些信息,但是不會對系統(tǒng)造成危害3。32006201211收到,2006208221改回33康峰,男,1980年生,在讀碩士,研究方向:網(wǎng)絡安全技術(shù)。一個端口就是一個潛在的通信通道,也是一個入侵通道。對目標主機進行端口掃描能得到許多有用的信息。TCPconnect()掃描;TCPSYN掃描;秘密掃描;間接掃描;28(總642)認證掃描;代理掃描;IP分段掃描;網(wǎng)絡漏洞掃描系統(tǒng)的研究與設計2006年OS識別是入侵或安

6、全檢測需要收集的重要信息,是分析漏洞和各種安全隱患的基礎。只有確定了遠程主機的操作系統(tǒng)類型、版本,才能夠?qū)ζ浒踩珷顩r作進一步的評估。主動協(xié)議棧指紋識別a.FIN探測;b.BOGUS標記探測;c.ISN采樣探測;d.TCP初始窗口的大小檢測;e.TCP可選項探測;f.ACK值探測;211客戶端客戶端主要有四個模塊:用戶界面模塊,用來向客戶提供人性化的服務界面,方便客戶使用本漏洞掃描系統(tǒng)。服務信息庫,用來記錄服務器端的主要信息,如:服務器地址,服務類型等?？蛻敉ㄟ^服務信息庫可以選擇適合自己需要的掃描。掃描結(jié)果庫,用來存放每一個近期掃描過的目標主機的掃描結(jié)果,以便在短時間內(nèi)重復掃描同一個目標時,與所

7、得結(jié)果進行比較,從而得到完整、可靠的掃描結(jié)果和生成權(quán)威的評估報告。同時。評估規(guī)則,以方便網(wǎng)絡管理員資深的管理員可以根據(jù)經(jīng)驗對,來滿足自己的需要。該庫具有良好的擴展性,管理員可以向其中增加評估規(guī)則,系統(tǒng)的評估能力將增強。212服務器端被動協(xié)議棧指紋識別被動協(xié)議棧指紋識別在原理上和主動協(xié)議棧指紋識別相似,但是它從不主動發(fā)送數(shù)據(jù)包,只是被動地捕獲遠程主機返回的包來分析其OS類型(),可以從4個方面著手:a.TTL值;b.WindowSize;c.DF可以查看操作系統(tǒng)是否設置了不準分片位;d.TOS操作系統(tǒng)是否設置了服務類型。服務器端也主要有四個模塊:掃描引擎,在客戶端發(fā)來掃描需求后,對目標主機進行漏

8、洞掃描,并將掃描結(jié)果返回到客戶端。用戶信息庫,服務器自動產(chǎn)生一個服務證書發(fā)給每個客戶,并為每個客戶建立一個用戶信息表,使客戶必須先連接到服務器端,系統(tǒng)才會為其進行掃描服務。為了保證連接的安全性,客戶信息庫可通過各種密鑰方法產(chǎn)生服務證書。掃描引擎接收到客戶端命令如表1。掃描結(jié)果庫,服務器端的掃描結(jié)果庫用來記錄每個用戶的每次掃描結(jié)果及其掃描過程的各種特征。系統(tǒng)可以調(diào)用掃描結(jié)果庫中的某些結(jié)果來為新的掃描過程進行鋪墊,避免了掃描服務的重復工作。同時,系統(tǒng)可以將結(jié)果發(fā)到其他漏洞掃描服務商處,實現(xiàn)資源共享。掃描插件庫,這是系統(tǒng)的主要部分,系統(tǒng)通過調(diào)用此庫中的漏洞掃描腳本,利用模擬攻擊的方式形成一個漏洞掃描

9、插件。部分腳本標記如表2。這些插件提供統(tǒng)一的接口,為掃描模塊調(diào)用提供方便,擴展性強。這些插件用C或者NASL語言編寫,在客戶端按照分類讓用戶進行選擇,并且每個插件的返回信息定義了其掃描漏洞的危害程度,以便提醒客戶。(下轉(zhuǎn)第40頁)另外,分布式掃描技術(shù)、擴展掃描技術(shù)、智能掃描(具有自學習能力的漸進式掃描)技術(shù)等也是比較常見的漏洞掃描技術(shù)4。2基于網(wǎng)絡的漏洞掃描系統(tǒng)設計網(wǎng)絡漏洞掃描就是掃描制定網(wǎng)絡內(nèi)的服務器、路由器、網(wǎng)橋、交換機、訪問服務器、防火墻等設備的安全漏洞,模擬黑客攻擊以測試系統(tǒng)的防御能力,并找出補救辦法,從而使系統(tǒng)更加安全可靠。鑒于網(wǎng)絡的發(fā)展及安全方面的考慮,本系統(tǒng)設計采用了Cϗ

10、255;整個系S模型。統(tǒng)的邏輯關(guān)系如圖1所示。服務器與客戶端使用證書認證連接,系統(tǒng)對每個漏洞的掃描設計成一個掃描插件放在服務器端的掃描插件庫,可供掃描服務時使用?？蛻舳酥付ǚ掌鞯膾呙璨寮δ繕酥鳈C進行掃描,得到掃描報告可以通過加密數(shù)據(jù)包發(fā)送回目標主機,還可以配置相關(guān)的評估規(guī)則庫來完成對目標主機整體安全的風險評估。下面給出各個部件具體設計及執(zhí)行過程。40(總654)表1系統(tǒng)部分性能指標服務器NAT2PT1NAT2PT2一種適應于NAT2PT簇的負載平衡方法2006年接口CPU緩沖利用區(qū)利率用率33%37%63已使用的內(nèi)存(B)網(wǎng)絡I󰃗O(B)綁定丟包地址數(shù)數(shù)002420地實現(xiàn)了

11、NAT2PT簇的負載平衡,合理地解決了單一NAT2PT的負載過重的問題。1232424229122732173從表1可知兩個NAT2PT工作狀況基本相似,負載基本上被均衡地分配到兩個NAT2PT上,達到了負載平衡的目的。5結(jié)束語本文在解決單一NAT2PT存在的缺點時,首先,通過合理設計以DNS2ALG作為負載調(diào)度器的硬件體系結(jié)構(gòu);其次,根據(jù)各節(jié)點之間信息交換的結(jié)構(gòu)設計系統(tǒng)軟件結(jié)構(gòu);再次,根據(jù)NAT2PT簇的特性給出了負載平衡算法;最終,實驗表明本文設計得系統(tǒng)比較良好(上接第28頁)456參考文獻TsirtsisG.NetworkAddressTranslation2ProtocolTransl

12、ation(NAT2PT)S.RFC2766,2000.NordmarkE.StatelessIP󰃗ICMPtranslationalgo2rithm(SIIT)S.RFC2765,2000.SrisureshP,HoldregeM.IPnetworkaddresstransla2tor(NAT)terminologyandconsider2ationsS.RFC2663,1999.YanjunFeng.LoadbalanceandfaulttoleranceinNAT2PTJ.IEEE2003,12:195721961.HahmeEL,ChoudhuryAK.Dynamicq

13、ueuelength.IEEE󰃗thresholdformulitiplelossprioritiesACMTransNetworkingJ12002,10(3):3682380ShimonishiH,YoshidaM.AnimprovementofweightedroundrobincellschedulinginATMnet2woiksJ.IEEE1997(2),111921123.表1客戶端命令表命令字段SESSIONDELETESESSIONRESTOREFILSTOPDETACHEDATTACHED處理程序向客戶端發(fā)送會話信息刪除用戶指定的會話5。漏洞掃描,從而,。參

14、考文獻12345付博文.網(wǎng)絡漏洞掃描器的設計與實現(xiàn):碩士論文.華南理工大學,2003.(4):35239.腳本標記Scriptid()Scriptscantype()()()功能腳本掃描標記腳本掃描類型3總結(jié)與展望網(wǎng)絡漏洞掃描軟件與防火墻、入侵監(jiān)測系統(tǒng)和防(上接第37頁)DeviceIoControl(hDevice,PCIDRIVERNULL,NULL,bufOutput,512,&nOutput,NULL);CloseHandle(hDevice);IOCTLRead,線高速進入計算機,并可在高級編程語言中對獲取到的數(shù)據(jù)進行處理。當然也可將應用程序處理后的數(shù)據(jù)通過PCI總線設備輸出到計算機外部。而由于PCI總線的高速、資源自動配置等優(yōu)點,已在許多領(lǐng)域得到了廣泛的應用。12參考文獻李貴山,陳金鵬.PCI局部總線及其應用M.西安:西安電子科技大學出版社,2003.WalterOney.ProgrammingtheMicrosoftW