（计算机应用技术专业论文）基于web的安全测评技术研究.pdf

重庆邮电大学硕士论文 摘要 随着计算机网络和通讯技术的快速发展，网络为我们提供便利的共享资源 同时也带来了各种各样的安全风险系统的脆弱点就是引起安全问题的根源，通 常黑客和病毒是通过安全弱点渗入目标系统的安全测评技术就是针对这些弱 点，提供一整套的解决方案。包括有效的进行探测方案配置，找到安全弱点并提 供修补建议，进行系统的安全性能评估并分析安全趋势 该论文研究了安全测评的相关技术和发展方向，分析了网络安全评估软件 常用的体系结构。最后设计了一个基于w e b 的安全测评系统该系统采用改进的 三层b s 体系结构。客户端使用浏览器访问，w e b 服务端负责配置和调用管理， 服务后台负责具体的扫描探测工作前后台完全独立。通过数据库进行连接。该 系统以兼容c v e 的n a s l 漏洞库为基础，主要采用插件模拟攻击的方式进行弱点 检测，同时也建立了弱点匹配规则库，能够自动检测远程或本地设备的安全状况， 找出被检对象的安全弱点和系统缺陷，并根据一定的标准进行安全性评估，给出 清晰明了的评估报告。方便用户进行安全定位和系统安全性改进仿真实验表明 该系统在测试网络系统的脆弱性方面是有效的 对安全评估系统而言。在得到了目标网络的弱点信息之后。，采用何种方法 对目标网络的安全性能进行评估显得尤为重要本文提出一种基于马尔可夫模型 的评估方法，该方法认为系统安全度主要由系统脆弱性和入侵威胁两个因素决 定。分别采用合适的方法对这两个因素进行评估，从而得出系统安全度的量化结 果，能比较准确地反映目标系统的安全性能。 网络安全评估系统本身的安全性同样极为重要，本文分析了系统最可能出 现安全问题的五个环节，采用密码认证和用户权限分级管理，采用s s l 加密方 法对双方信息传输进行加密，从而有效地提高了系统本身的安全性同时，本文 采用了多种方法来提高系统的运行效率。 关键词：安全评估，b s 结构，弱点检测，马尔可夫模型 薹鉴坚皇盔兰堡主笙塞 塑墨 a b s t a r c t a l o n gw i t ht h er a p i dd e v e l o p m e n to fn e t w o r ka n dc o m m u n i c a t i o n , i t sa l s oar i s k t oc o n v e n i e n c eu s ef e s o 啪o f n e t w o r k v u l n e r a b i l i t yi ns y s t e mi st h em o to f s e c u r i t yp r o b l e mo c c u r r i n g ，u s u a l l yh a c k e r sa n dc o m p u t e rv i r u si n t r u d ec o m p u t e r s y s t e mb ys e c u r i t yv u l n e r a b i l i t y t h es e c u r i t ye v a l u a t i o nt e c h n o l o g i e ss u p p o r taw h o l e p r o j e c tt od e a lw i t ht h es e c u r i t yv u l n e r a b i l i t y i ti n c l u d e sp r o f i l es e t t i n g ，i n s p e c t i n g a n dp r e f i x i n gv u l n e r a b i l i t y , e v a l u a t i n gt h es e c u r i t yo fs y s t e ma n da n a l y s i st r e n do f v u l n e r a b i l i t y 一 t h et h e s i ss t u d i e st h em a i nt e c h n o l o g yo ns e c u r i t ye v a l u a t i o na n dt h ed e v e l o p i n g t r e n d so ft h e m , a n a l y s i st h ec o m m o ns t r u c t u r e st h a ti sc o m m o n l yu s e db yn e t w o r k s e c u r i t yt g ：a n n e r t h e ni td e v e l o p sam o d eo fs e c u r i t ye v a l u a t i o nb a s eo nw e b t h e s y s t e mu s et h r e el a y e r sb sm o d e l t h ec l i e n tu s ew e be x p l o r e rt oa c c e s st h ew e b s e r v e r w e bs e r v e r t sa n dm a n a g e st h ep r o f i l ea n de x e c u t es y s t e mc a l l b a c k g r o u n d p r o c e s st a k ec h a r g e st h et a s ko f i n s p e c tt h et a r g e t b a s et h en a s lv u l n e r a b i l i t yd a t a b a s e ， t h i s s y s t e ma d o p t sp l u g - i ns t r u c t u r ea n de x e c u t ea n a l o ga t t a c kt od e t e c tt 1 1 学 v u l n e r a b i l i t y t h es 础t i m e 。i tm a i n t a i n sar u l eb 船& f r o mt h ep o i n to fv i e wo f i n i t i a t i v ed e f e n s e ，t h i ss y s t e mc a n i n s p e c tt h es e c u r i t ys i t u a t i o no f t a r g e tn e t w o r k , a n d f i n do u tt h es e c u r i t yv u l n e r a b i l i t yo rs y s t e md e f e c ta u t o m a t i c a l l y i ta l s og i v e so u tt h e s e c u r i t yg r a d ea n da s s e s s m e u tr e p o r ta c c o r d i n gt ot h er e l a t e ds t a n d a r d s t h e nt h eu s e r c a nk n o wt h es e c u r i t ys t a t u sa n di m p r o v et h es y s t e m a n dt h e s et e s t si l l u m i u a t ei ti s e f f e c t i v ea n dc o m p r e h e m i v ei nd e t e c t i n gt h ev u l n e r a b i l i t yo f n e t w o r k s y s t e m i nas y s t e mo fs e c u r i t ye v a l u a t i o n , a f t e rr e c e i v i n gt h ev u i n e r a b i l i t i e si n f o r m a t i o n o f t h eg o a ln e t w o r k , w ea d o p tw h i c hk i n do f m e t h o dt oa s s e s ss e c u r i t yp e r f o r m a n c eo f t h eg o a ln e t w o r ks e e m sp a r t i c u l a r l yi m p o r t a n t t h i st h e s i sp r o p o s e sak i n do fm e t h o d b a s e do nm a r k o vm o d e l ，t h i sm e t h o dt h i n k s s y s t e ms a f e t yd e g r e ei sm a i n l y d e t e r m i n e db ys y s t e mv u l n e r a b i l i t ya n dl o s s e st h a tt h es a f ei n c i d e n tc a u s e d , i ta d o p t s s u i t a b l em e t h o dt oe v a l u a t et h e s et w of a c t o r ss e p a r a t e l y , t h u sd r a wt h eq u a n t i z a t i o n r e s u l to fs y s t e ms a f e t yd e g r e ew h i c hc a nr e f l e c tt h es e c u r i t yp e r f o r m a n c eo f g o a l n e t w o r k s c i e n t i f i c a l l ya n da c c u r a t e l y ， i nt h es y s t e mt h es e c u r i t yo fi t s e l fi se x t r e m e l yi m p o r t a n t t h i st h e s i sa n a l y s i s 。 m o s t l yf i v es a f ep r o b l e m s a n di ta d o p t sp a s s w o r d , g r a d eu s e r s ，s s le n c r y p t i o n m e t h o dt oi m p r o v et h es y s t e ms e c u r i t yp e r f o r m a n c ee f f e c t i v e l y t h es a m et i m et h i s s y s t e ma d o p t sm a n yk i n d so f m e t h o d st oi m p r o v es y s t e mo p e r a t i o n a le f f i c i e n c y k e yw o r d s ：s e c u r i t ye v a l u a t i o n , b ss t r u c t u r e , v u l n e r a b i l i t yi n s p e c t i o n , m a r k o vm o d e l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得重庆整皇太堂或其他教 育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 加吗年g 月i s 日 学位论文版权使用授权书 本学位论文作者完全了解 重庆邮电太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权 重庆邮电太堂可以将学位论文的全部或部分内容编入， 有关数据库进行检索，可以采用影印，缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：； 饿汉 导师签名r循l 杪 签字日期：力以年占月，卵签字日期：，年，月i 朋 重庆邮电大学硕士论文 第一章引言 1 1 安全测评技术简介 第一章引言 2 0 世纪9 0 年代以来，计算机网络技术得到了飞速发展。信息的处理和传递 突破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流，i n t e r n e t 己进入社会生活的各个领域和环节，并愈来愈成为人们关注的焦点随着网络的 普及。安全日益成为影响网络效能的重要问题。 在网络安全领域，安全测评技术、入侵检测技术、防火墙技术和病毒检测技 术构成网络安全防护的4 种主要技术伽后面的3 种技术都是在攻击进行中或者进 行后的被动检测，而安全测评技术则是在攻击进行前的主动检测。 网络安全测评技术又叫做脆弱性评估技术脆弱性就是导致破坏系统安全策 略的系统安全规程，系统设计实现、内部控制等方面的弱点，这就是我们评估的 对象而我们通常所说的安全漏洞是指在计算机通信的硬件、软件和协议的具体 实现或系统安全策略上存在的缺陷，它使攻击者能够在未授权认证的情况下访阊 系统或对系统造成破坏。更强调造成的后果可以认为安全漏洞是更深层次的脆 弱性 据统计。在互联网上，有超过9 5 的黑客会攻击那些配置不适当或安装不正 确的服务器，而这些服务器往往存在着许多可以被立刻攻击的安全漏洞吼。其实， 互联网上的很多黑客都只是通过一些简单的扫描程序寻找到存在安全漏洞的服 务器。登录并以此攻击更多的服务器因此，只要寻找并修补己知的安全漏洞， 就可以抵抗绝大部分的黑客攻击 ， 网络安全测评提供了一种对网络的安全性进行比较全面检测的手段通过网 络安全扫描和模拟攻击等手段，系统管理员能够及时发现所维护的网络设备或主 机的各种t c pii p 端口的分配开放的服务。各类服务软件版本和这些服务及软 件存在的脆弱性，最后进行等级评估和提供安全建议。网络安全测评技术与防火 墙、入侵检测系统的互相配合为网络提供了更高的安全性。； 1 2 论文的选题和主要工作 一 网络安全问题总是由一些管理或技术上的脆弱点引发的，攻击者抓住这些弱 点( 漏洞) 从而获取相应的权限或使系统崩溃用户最关心的问题也就是：主 机或网络上是否存在漏洞? 存在哪些漏洞? 对系统的危害有多大? 怎么解决? 这就需要通过安全评估，在不同阶段对信息系统进行安全方面的分析，主动发现、 重庆邮电大学硕士论文 第一章引言 定期检测，防范于未然，起到未雨绸缪得作用因此，研究安全评估的内容、技 术、方法，开发实用的安全评估系统具有重大的理论和实践意义 随着大家安全意识的提高，对系统漏洞的检测工作也得到了广泛的关注。目 前国内外涌现出了不少优秀的漏洞检测系统，比如x s c a n ，s t r o b e ，s a t a n 、； n e s s u s t 3 j ，n m a p 4 1 等，他们在漏洞探测上都各有优势，但是并不能很好的解决用 户所关心的问题。漏洞检测是测评系统中一个很重要的部分，但是安全测评不仅 仅只是对漏洞的探测，一个安全测评过程包括的是一整套完整的安全解决方案， 用户的使用情况，测评系统提供的配置策略等等很大程度上影响了安全测评的效 果。而漏洞探测之后的安全性评估和可靠的报告更直接的给予用户安全的定位， 解决用户最终的安全问题【习【6 1 本文研究工作是本实验室项目“网络安全评估系统”的一部分，而本文所设 计的“基于w e b 的安全测评系统”是评估系统的重要部分。改论文重点从测评 的配置方案和控制策略数据的管理，安全性评估等方面来开展研究工作。以提 高测评系统的可用性和效率，而对于漏洞存在性判断和探测执行速度方面的研究 请参看本小组杨炯建同学的论文工作本论文主要完成了以下研究工作； ( 1 ) 全面地研究了信息安全评估的标准和模型。 ( 2 ) 研究了系统脆弱点探测的主要技术 ( 3 ) 研究了马尔可夫理论和其在信息安全中的应用。 ( 4 ) 研究了结合漏洞和入侵分析对主机进行安全量化评估的方法。 ( 5 ) 研究并设计了一个基于w e b 的安全测评系统对系统的设计目标，体系 结构，基本的功能模块、各模块的逻辑关系和程序流程，以及实现需要 的关键技术等进行了详细的设计。 ( 6 ) 通过对该测评系统进行的试验。表明该系统的设计和实现方案是可 行的。 、 1 3 论文的组织结构 第一章介绍了本文的研究背景和主要工作以及论文内容的安排。 第二章研究了安全测评的相关技术包括系统体系结构的选择，安全扫描主要 技术。信息安全评估的一些标准的介绍 第三章详细阐述了以马尔可夫模型为基础，从漏洞可利用性和入侵威胁两个因 素进行系统安全性评估的方法 第四章研究了如何设计一个基于w e b 的安全测评系统。分别从w e b 服务前端。 数据管理、后台安全扫描阐述了详细的实现技术和流程同时也对提高测评系统 自身安全性能和安全检测效率的措施进行了阐述 望星苎塑型苎! ! ! 主芝奎一 茎二童! 堕 ： 第五章对基于曹e b 的安全测评系统进行测试，通过实验证明该系统是有效的 第六章是结束语，总结了论文的研究成果并展望后续的研究工作 1 4 本章小结 本章首先介绍了安全测评技术的基本概念和当前研究状况，然后阐述了选题思 路和本论文的主要工作，并概述了论文的组织结构。 妒怠，一 重庆邮电大学硕士论文第二章安全测评的相关技术 第二章安全测评的相关技术 2 1 安全测评的定义和构成 2 0 0 1 年5 月，a c s a ( a p p l i e dc o m p u t e r s e c u r i t ya s s o c i a t e s ) 与m i t r e c o r p o r a t i o n 联合组织了对安全度量的讨论，并对其做出了如下定义：信息系统 安全度量是通过一些评估过程从一个偏序集中选择的一个值。它表示了信息系统 的信息安全相关的质量，它提供或用于产生一种关于信任程度的描述、预言或比 较， 这个定义比较全面的涵括了信息系统安全评估的概念，本文所涉及的内容主 要是面向信息系统技术性的安全问题。即把信息技术产品和由各种产品构成的信 息系统的技术性安全作为主要的讨论内容而具体实施安全评估时，又衍生出众 多的评估方法比如可以对安全风险的后果及可能性进行赋值，然后通过一定的 算术或逻辑计算得出评估风险数值或者等级大小。也可以对资产、漏洞和威胁采 用各种分析手段进行定量赋值。半定量赋值或者定性分析从而评估得出安全风 险的大小，这就是我们进行安全评估的理论基础 假如从入侵者的角度来考察目标的安全状况，我们可以看到黑客的一般步骤 鲫如下： 第一步：收集信息； 第二步：收集足够的信息后，扫描目标网络，并且分析其中的安全弱点： 第三步：在探测到这些安全弱点的基础上，进攻目标网络； 第四步：取得足够的权限、窃取数据或者对系统进行破坏； 第五步：打扫战场，把入侵痕迹全部抹去，使被入侵机器的系统无法追查。 针对入侵过程，可以得到以系统脆弱性评估为基础的网络安全铡评通常包括 以下三个部分的内容：整体的构架和配置策略，安全扫描，数据的分析和安全性评 估。 ( 1 ) 整体构架：就是指整个系统按什么样的方式进行系统构架，怎么控制我们 的安全扫描程序进行高效的运转这决定了安全测评的适用性和整体效果 ( 2 ) 安全扫描：就是指具体的弱点探测过程，即是通过合适的技术来确认系统 存在什么样的弱点，通常包括操作系统识别。端口扫描，漏洞探测等一系列的内 容 。 ( 3 ) 数据分析和安全性评估：包括对大量的弱点( 漏洞) 数据，扫描结果等进 行分类管理结合数学工具对数据进行分析处理，预测漏洞趋势，对目标系统安 全性定位和评估，提供解决方案等。这也是我们进行安全扫描的目的所在 重庆邮电大学硕士论文 第二章安全测评的相关技术 2 2 系统体系结构的选择 。 安全评估的构架方式在很大程度上就制约了系统的执行效果和适用范围，不 同的构架方式都有其利弊，下面对网络安全评估软件常用的几种体系结构进行了 概述。 2 2 1 单机模式 单机模式是一种最简单的构架方式，它基本构成如图2 2 所示 图2 1 单机模式安全测评系统体系结构 单机模式一般不具有安全性分析的能力。通常由扫描引擎，漏洞库，结果报 告三部分组成，以漏洞库匹配的方式进行探测，扫描效率不高，特别对较大网络 时，但是由于其使用和设计方面较容易，能检测出部分常见漏洞，在2 0 世纪9 0 年代得到较广泛应用。 2 2 2c s 模式 c s 模式是现在主流测评系统中用得最多的一种构架。典型的c s 模式安全 评估软件的体系结构如图2 3 所示。 客户端服务器 安全评估模块 l 扫描引擎l l 八 胡 扫描配置模块 ny 结果报表管理 l 插件库j j 模块 图2 2c s 模式安全测评系统体系结构 它主要由客户端和服务器端组成，其中客户端通常主要由扫描配簧模块、安 5 重庆邮电大学硕士论文第二章安全测评的相关技术 全评估模块与结果报表管理模块等组成，服务器端则主要由扫描引擎，漏洞库与 插件库等组成这种模式由客户端的扫描配置模块进行扫描配置，将扫描请求文 件发送到服务器端，服务器端的扫描引擎根据扫描配置文件调用相应的插件对目 标网络进行扫描，将从目标网络返回的结果与漏洞库中的信息进行匹配以确定是 否存在相应漏洞，然后将扫描结果返回给客户端，客户端由漏洞评估模块对返回 的扫描结果进行分析，完成对被扫描网络的安全评估土作，最后由结果报表管理 模块对扫描结果进行处理采用c s 模式的主要代表产品是n e s s u s 漏洞扫描工 具 、。一 一 。 2 2 3b s 模式 。 b s 结构，即b r o w s e r s e r v e r ( 浏览器服务器) 结构，就是只安装维护一个 服务器( s e r v e r ) 。而客户端采用浏览器( b r o w s e ) 运行软件主要利用了不断成熟 的w w w 浏览器技术，结合多种s c r i p t 语言( v b s c r i p t 、j a v a s c r i p t ) 和a c t i v e x 技术，是一种全新的软件系统构造技术w e b 方式管理的实施，使得用户使用浏 览器就可以配置所要进行的扫描任务，向服务器发送扫描请求，不需要为每一台 的客户端主机安装扫描系统的客户端软件，从而克服了c s 模式体系结构的不足， 之处采用b s 模式的主要代表产品是国内绿盟科技公司开发的极光远程安全评 估系统 由于b s 两层结构中绝大部分工作在服务器端进行。当要检测的目标网络范 围较大时服务器端资源有限，可能无法快速的完成扫描与安全评估工作。因此 b s 结构是更好的选择。b s 三层体系结构，即是在数据管理层( s e r v e r ) 和用户4 界面层( c l i e n t ) 增加了一层结构，称为中间件( m i d d l e w a r e ) ，使整个体系结构成 为三层，三个层次的划分是从逻辑上分的，根据所研究的侧重点不同，所构建的 b s 三层体系结构也会有所不同目前这类安全评估系统尚无代表性的商业产 品 本论文中所构建的三层b s 模式的网络安全评估系统体系结构如图2 5 所 示包括系统服务器端、中间件( w e b 服务器+ 系统客户端) 以及瘦客户端。瘦客 户端通过w e b 服务器直接定义扫描参数文件，系统的客户端根据w e b 服务器提交 的扫描参数文件执行扫描工作然后将汇总的弱点( 漏洞) 信息传送给系统的服 务器，由它来进行最后的安全评估工作这种模式对协调整个系统的资源平衡， 提高扫描与评估速度和效率有明显的改进作用 6 重庆邮电大学硕士论文 第二章安全测评的相关技术 图2 3 本论文使用的三层b s 模式的安全评估系统体系结构 2 3 安全扫描技术 为了探测目标主机或网络的安全状况，找出系统中存在的漏洞；我们将一次 完整的网络安全扫描分为3 个阶段n 町： ( 1 ) 第1 阶段”发现目标主机或网络。 ( 2 ) 第2 阶段：发现目标后进一步搜集目标信息。包括操作系统类型、运 行的服务以及服务软件的版本等如果目标是一个网络，还可以进一步发现该网 络的拓扑结构、路由设备以及各主机的信息。 ( 3 ) 第3 阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全 漏洞。 网络安全扫描技术包括有p i n g 扫射( p i n gs w e e p ) 、操作系统探测( o p e r a t i n g s y s t e mi d e n t i f i c a t i o n ) 、如何探测访问控制规则( f i r e w a l k i n g ) 、端口扫描 ( p o r ts c a n ) 以及漏洞扫描( v u l n e r a b i l i t ys c a n ) 等这些技术在网络安全 扫描的3 个阶段中各有体现。 p i n g 扫射用于网络安全扫描的第l 阶段，可以帮助我们识别系统是否处于活 动状态操作系统探测，如何探测访问控制规则和端口扫描用于网络安全扫描的 第2 阶段。其中操作系统探测顾名思义就是对目标主机运行的操作系统进行识 别：如何探测访问控制规则用于获取被防火墙保护的远端网络的资料；而端口扫 描是通过与目标系统的t c i p 端口连接，并查看该系统处于监听或运行状态的 服务网络安全扫描第3 阶段采用的漏洞扫描通常是在端口扫描的基础上，对得 到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。 7 重庆邮电大学硕士论文 第二章安全测评的相关技术 2 2 。1 操作系统识别 由于许多安全漏洞是与操作系统紧密相关的因此对入侵者来说，识别操作 系统是成功攻击的前提，而对安全漏洞检测工作也同样有特殊的意义如果能够 正确识别目标操作系统，那么可以大大提高安全检测的效率有三种主要的手段 可以用来检测系统类型，即获取系统标识( b a n n e rg r a b b i n g ) 、利用主动协议栈指 纹技术以及被动协议栈指纹鉴别技术 1 、利用系统旗标识别 许多制造商交付带有这类标志的系统而且管理员没有关闭它很多时候利用 系统服务给出的信息，就可以立刻知道该系统的相关版本信息。这些服务包括 t e l n e t ，f t p 、w 啊、m a i l 等等，最简单的检测方法就是直接登录到该系统提供 的服务上。检查系统给出的内容下面是一个t e l n e t 服务登录的例子： 图2 4 利用t e l n e t 获取系统信息 不过系统管理人员的安全意识越来越高很多管理员把该标志关闭，不给出 更多信息。甚至还有少数修改标识信息，给出错误的提示。 2 、主动协议栈指纹鉴别 不同厂商在编写自己的t c p i p 协议栈时，通常对特定的r f c 指南做出不同 的解释，通过探测这些差异，我们能够对目标系统所用的操作系统加以猜测。这 就是协议栈指纹鉴别技术( s t a c kf i n g e r p r i n t i n g ) i c m pu s a g ei ns c a n n i n g m 讨论了如何利用i c 咿数据包来定位操作系统，而( r e m o t eo sd e t e c t i o nv i a t c p i ps t a c kf i n g e r p r i n t i n g “”详细描述了如何利用t c p 数据包来识别各种 操作系统。 ， 主动协议栈指纹鉴别是指直接发送出有助于区别各种不同的操作系统类型 的分组，然后根据返回的信息判断，下面的一些分组是比较常用的探测选择： f i n 探测器发送一个f i n 包( 或任何其他不带a c k 或s y n 标记包) 给 一个打开的端口并等待回应。正确的r f c 7 9 3 行为是不响应，但许多有问题的 实现如m sw i n d o w s 。b s d i ，c i s c o , l p u x ，m v s 和i r i x 发回一个r e s e t 。 t c p 初始化窗日检查返回包的窗口大小这个测试给出许多信息， 有些甚至可以被唯一确定( 例如a i x 是所知唯一用o x 3 f 2 5 的) 在它们“完全 重写。的n t 5t c p 栈中。m i c r o s o f t 用的是o x 4 0 2 e 1 重庆邮电大学硕士论文 第二章安全测评的相关技术 t c p 选项该选项通常是可选的，若一个实现发出设置了选项的请求， 目标通过设置它在回应中表示支持。可以在一个数据包中设置多个选项， i c w p 出错消息抑止有些操作系统会遵循r f c l 8 1 2 限制发送i c m p 出 错消息的速率通过往某个随机高位端口发送u d p 分组，有可能统计出在某 个给定时间段内接收的不可达出错消息的数目 i c w p 消息引用当碰到需发送i c m p 出错消息的情况时，。不同系统在 引用网络分组的信息量上存在差异通过检查所引用的消息，有可能就目标 操作系统做出一些假设 3 、，被动协议栈指纹鉴别 与主动协议栈指纹相似，但被动模式不是向目标系统发送分组，而只是被动 地监听网络通信，通过监控不同系统之闻的网络包的情况，就可以确定网络上的 操作系统l a n c es p i t z n e r 在此领域做出了很多研究。并写了一篇技术白皮书 p a s s i v ef i n g e r p r i n t i n g “”来讲解他的发现。而p a s s i v es y s t e m f i n g e r p r i n t i n gu s i n gn e t w o r kc l i n ta p p l i c a t i o n s “”描述了他的具体实现。 有各种不同的签名( s i g n a t u r e ) 可用于标识一个操作系统，例如l 一 盯l 操作系统对外出包的t t l ( t i m e - t o - l i v e ) 设置 窗口大小：操作系统设置的窗口大小 d f ：操作系统是否设置了d o n tf r a g m e n t ( 不分片 ； t o s - 操心题是否设置了服务类型 通过被动的分析每种属性，并将结果与已知的属性库进行比较。就可以判定 远程操作系统当然这种方法并不保证结果正确。 2 2 2 端口扫描 端口扫描向目标主机的t c p i p 服务端口发送探测数据包，并记录目标主机 的响应通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的 服务或信息端口扫描也可以通过捕获本地主机或服务器的流入流出i p 数据包 来监视本地主机的运行情况，它仅能对接收到的数据进行分析。帮助我们发现目 标主机的某些内在的弱点而不会提供进入一个系统的详细步骤， 端口扫描 t s l ( 1 6 1 按照采用的策略可以分为慢扫描( s l o ws c 髓) 、，随机扫描 ( r a n d o ms c a n ) 、片断扫描( f r a g m e n t a t i o ns c a n ) ，欺骗扫描( d e c o ys c a n ) ，这是从 绕过检测系统考虑的分类而按其使用的技术通常分为五类：全开扫描，半开扫描， 秘密扫描，区段扫描，其他( 如f t p 反弹扫描，认证扫描等) j 他们的关系如下图2 7 所示， 9 重庆邮电大学硕士论文 第二章安全测评的相关技术 图2 5 端口扫描技术及分类1 1 4 1 l 、全开扫描( o p e ns c a n ) 这是最基本的一种扫描方式它通过直接同目标主机进行一次完整的三次握 手过程( s y n ，s y n a c k 和a c k ) 来检查目标主机相应端口是否打开。t c p c o n n e c t ( ) 扫描就是一例，它的特点是不需要特权，任何用户都可以使用这个系统 调用：另外扫描速度快。除了串行的使用单个系统调用来连接目标，还可以同时 使用多个s o c k e t ，来加快扫描速度使用一个非阻塞f o 调用，同时监视多个 s o c k e t 。但是这种扫描方式很容易被检测到。并且容易被过滤。目标主机的f 1 志 文件将会记录下这些连接信息和错误信息，然后立即关闭连接 2 、半开扫描( h a l f - o p e n l 术语”半开”的意思是指c l i e n t 端在t c p 三次握手尚未完成时单方面终止连接 过程例如t c ps y n 扫描，通过发送一个s y n 数据包，就好像准备打开一个真 正的连接，然后等待响应一个s y n a c k 表明该端口正在监听，一个r s t 响， 应表明该端口没有被监听如果收到一个s 姚c k ，通过立即发一个r s t 来关 闭连接s y n 扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的 l o 重庆邮电大学硕士论文 第二章安全测评的相关技术 记录也要比全扫描少得多缺点是在大部分操作系统下t 发送主机需要构造适用 于这种扫描的i p 包，通常情况下，构造s y n 数据包需要超级用户或者授权用户 一 访问专门的系统调用， 3 、秘密扫描( s t e a l t h ) “秘密扫描”最初是指避开i d s 日志记录的扫描，实际上就是“半开扫描”， 不过随着技术的发展，出现了多种绕开检测的扫描方法，现在它包括符合下面这 些特征的扫描技术： n u l l 标志位( 不设任何标志位) 。 a l l 标志位( 设置所有的标志位) 又名x m a s 树扫描 绕开过滤规则、防火墙、路由器 表现为偶然的网络数据流 。变化的数据包发散率 例如t c pf i n 扫描，其基本的思想是：往目标端口发送一个f i n 分组，按 照1 玎c 7 9 2 ，目标系统应该给所有关闭的端口发回一个r s t 分组来应答发送的 f i n 数据包，而相反，打开的端口将会忽略这些请求。但不是所有的系统都遵循 这条规则，在程序的实现过程中我们发现，w i n d o w s 系列的操作系统没有这样做。 因此并不是对所有的系统都有效。 4 、u d p 扫描( u d ps c a n ) 这种方法检测u d p 端口开放情况由于打开的端口对u d p 探测并不发送确 认，关闭的也并不发送出错数据包，这就增加了检测的难度。不过，许多主机接 收到对未打开端口发送的u d p 包时，会返回一个i c m p - p o r t - i n 娘e a c h 错误。 这样就能发现哪个端口是关闭的因此它也被称为i c m p 包不可达扫描 ( i c m p _ p o r t _ l r n r e a c h a b l e a , m i n g ) 。u d p 和i c m p 错误都不保证能到达。 因此还需实现在包丢失的时候重发的机制。这种扫描方法很慢，因为r f c 对 i c m p 错误消息的产生速率做了规定。同样，这种扫描方法也需要具有r o o t 权限。 5 、f r p 代理扫描 f t p 协议一个有趣的特点是它支持p r o x y ( 代理) f t p 连接，即和目标f t p s e r v e r p i ( 协议解释器) 连接，建立一个控制通信连接。然后请求这个s e r v e r p i 激活一个有效的s e r v e r d r r p ( 数据传输进程) 来给i n t e r n e t 上任何地方发送文 件尽管r f c 明确地定义请求一个服务器发送文件到另一个服务器是可以的但 现在这个方法大多不行了。因为它。能用来发送不能跟踪的邮件和新闻，给许多 服务器造成打击，用尽磁盘，企图越过防火墙 我们利用这个特征从一个f t p 服务器来扫描端口。这样能在一个防火墙后面 。 扫描那些原本被阻塞的端口这个技术使用p o r t 命令来表示被动的u s e rd t p 重庆邮电大学硕士论文 第二章安全测评的相关技术 正在目标主机上监听某个端口然后用l i s t 命令列出目录，结果通过s e r v e r d t p 发送出去如果目标主机正在某个端口监听，传输就会成功( 产生一个1 5 0 或2 2 6 的回应) 否则会出现。4 2 5c a n tb u i l dd a t ac o n n e c t i o n ：c o n n e c t i o n r e f u s e d ”然后。使用另一个p o r t 命令，尝试目标计算机的下一个端口这 种方法的优点是难以跟踪，并能穿过防火墙主要缺点是速度很慢，并需要f t p 账号。 2 2 3 服务探测 j 一 #t ， 。 按照前面所述。要对一台机器进行一次完整的安全评测。必须要尽可能多的 识别出该机器开设的服务对于一个自动化的评测软件，更要做到这点而非标 准端口服务的识别，是实现该目标的关键【1 7 1 。 根据r f c l 7 0 0 嘲的规定。周知端口( w e l lk n o w np o r t s ) 与网络服务是一一对应 的比如2 l 端口通常是f t p 服务。而2 5 端口是s m t p 服务但对于高位端口 ，却没有被定义，另外某些安全意识较强的系统管理员，有可能故意将私用或临时 服务开设到非标准端口。比如将f t p 服务开设到2 1 0 0 0 端口，将测试w e b 开设 到8 8 0 0 等等。这样”一般入侵者就不能找到这些服务。，也无法利用其漏洞。但 安全测评应该具备识别开设在非标准端口的服务类型的能力。 每个服务都有自己唯一的特征标志，否则客户端无法与服务器完成握手和进 。一步的信息交换。可利用这点来识别服务。客户端与服务器建立连接后，服务端 的行为通常有两种模式；主动发出握手信息，我们称之为“主动式服务器”；等 一 待客户端发来命令直到超时，相应的称之为“被动式服务器”。 主动式服务器，在建立连接后，将主动发过来b a n n e r 信息，对它进行处理就 能大致识别出服务类型，甚至软件的名称和版本。常见的主动式服务有t e l n e t ， f 1 甲，s m t p ，p o p 3 等等。， 1 、t e l n e t 服务识别 t e l n e t 客户端和服务器建立连接后，服务器就会发出连续的一串字符。其中 第一个字符为a s c i i 码f f 在r f c 8 5 4 中定义了握手字符的含义所有的握手信 息都是由i a c ( f f ) 开始下面是一个t e l n e t 握手过程的例子( 1 6 进制) ：， 服务器发送ff f f d l 8 f ff d i f f ff d 2 3f ff d 2 7 f f f d 2 4 客户端回复：f ff b l 8f f f c i f f f f c 2 3 f f f c 2 7 f f f c 2 4 服务器发送；f ff e l f f f f e 2 3f f f e 2 7 f f f e 2 4f f f a l 8 0 lf ff 0 客户端回复：f ff c l f f f f c 2 3f ff c 2 7 f f f c 2 4 f f f a l 8 们f ff 0 t e l n e t 的控制命令混杂在字节流中，；以i a c ( f f ) 表明三元协商队列，后跟 重庆邮电大学硕士论文第二章安全测评的相关技术“ v e r b 和o p t i o n v e r b 有四种类型w i l l ( f b ) ，w o n t ( f c ) ，d o ( f d ) 。d o n t ( f e ) 。 一方用w i l l 指定自己意图( o f f e r ) ，另一方用d o 作答或者一方用d 0 向对方发 出请求( r e q u e s t ) ，另一方用w i l l 作答最后的子协商队列以f f f a 开头f f f o 结 束根据这样的定义，判断服务器的握手信息就可以确定t e l n e t 服务了 2 、f r p 服务的识别 f t p 服务器端软件和客户端软件建立连接后，发来一个b a n n e r 通常b a n n e r 可能是下面的样子： 2 2 0 - w e l c o m et of t p c q u p t e d u c n 2 2 0 - s e r v o u 兀- p s e r v e r v 6 0 f o r w i n s o c kr e a d y 。， b a n n e r 都以2 2 0 开始，其中还包含“f t pf l e r v e r ”字样连接之后。服务器 主动送来b a n n e r ，在其中包含了服务器端软件的名称和版本号判断目标端口是 否是f t p 服务，只要对b a n n e r 信息进行过滤和处理就行了。 3 、邮件服务的识别 s f r p 、p o p 3 服务器软件和f t p 类似他们都有一个b a n n e r s m t p 的接入 过程如下“ 服务器： 客户端：0 p e nc o n n e x i o nt o 靼r l 服务器：2 2 0o kr s p r o x ) d j e r v e rr e a d y p o p 3 的b a n n e r 通常是 + o kp o p 3r e a d y 只要仿照f t p 服务的识别方法就行了总之，对于。主动式服务器”的识别， 只要过滤和处理它发来的b a n