安全扫描技术原理与应用.ppt

第三篇网络防护篇 第11章安全扫描技术的原理与应用第12章操作系统安全防范第13章密码及认证技术第14章防火墙的技术原理与应用第15章入侵检测技术的原理与应用第16章蜜罐与蜜网技术第17章数据备份与灾难恢复技术第18章网络安全综合防范平台 第11章安全扫描技术的原理与应用 11 1安全扫描技术概述11 2端口扫描和漏洞扫描11 3安全扫描器的原理 结构及设计11 4安全扫描技术的应用11 5实验 综合扫描及安全性评估 11 1安全扫描技术概述 安全扫描技术也称为脆弱性评估 vulnerabilityassessment 其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测 可以对工作站 服务器 交换机 数据库等各种对象进行安全漏洞检测 发现漏洞 有两个不同的出发点 一方面 从攻击者的角度 他们会不断地去发现目标系统的安全漏洞 从而通过漏洞入侵系统 另一方面 从系统安全防护的角度来看 要尽可能发现可能存在的漏洞 在被攻击者发现 利用之前就将其修补好 这促使了安全扫描技术的进一步发展 11 1安全扫描技术概述 11 1 1发展历史11 2 2功能11 2 3分类 第一个扫描器 WarDialer早在20世纪80年代 当时网络还没有普及开来 上网的好奇心驱使很多的年轻人通过Modem拨号进入到Unix系统中 这时候的攻击手段需要大量的手工操作 这种纯粹的手工劳动不仅费时费力 而且对操作者的编程能力和经验提出了很高的要求 在这种情况下出现了第一个扫描器 WarDialer 它采用几种已知的扫描技术实现了自动扫描 并且以统一的格式记录下扫描的结果 11 1 1发展历史 传奇人物ChrisKlaus 一 1992年 计算机科学系学生ChrisKlaus在做Internet安全试验时编写了一个扫描工具ISS Internetsecurityscanner ISS是Internet上用来进行远程安全评估扫描的最早的工具之一 它能识别出几十种常见的安全漏洞 并将这些漏洞做上标记以便日后解决 虽然有些人担心该工具的强大功能可能会被用于非法目的 但多数管理员对这个工具却很欢迎 11 1 1发展历史 11 1 1发展历史 传奇人物ChrisKlaus 二 ChrisKlaus说 ISS项目使我开始对计算机安全产生了浓厚的兴趣 令我感到惊讶的是 许多机器的安全保护都做的很好 但有一个域内的机器却有明显的漏洞 任何人都可以通过这些漏洞入侵到这台计算机上 并进而访问这个域内的其他计算机 11 1 1发展历史 传奇人物ChrisKlaus 三 ChrisKlaus产品的原始版本 互联网安全扫瞄仪 还是以共享软件的形式出现的 由于一家意大利公司出1000美元买他的代码 使Klaus意识到了其中的商业价值 他花钱为ISS买了商业许可证 然后退了学 借助ChrisKlaus开发共享软件时的牛仔气 ISS的软件打了一个好底子 在这个基础上 ISS公司的努力得到了风险投资家的青睐 终于走上坦途 传奇人物ChrisKlaus 四 ChrisKlaus创办了互联网安全系统公司 ISS 是ASAP100的最年轻的一位亿万富翁 拥有1 87亿财富 有人这样描绘ISS 曾经是高明的黑客 转而研究黑客 研制出更高明的检测黑客入侵的系统漏洞产品是ISS公司创业者的经历 11 1 1发展历史 11 1 1发展历史 传奇人物ChrisKlaus 五 ISS公司据说至今仍与美国社会上的 黑客 有着广泛联系 黑客 向ISS公司透露他们新的攻击方法 ISS公司则向美国政府汇报 黑客 的动向 同时ISS公司根据协议将他们的研究情况通报有关公司 促使其系统安全的改进 据了解 ISS公司还与其它系统安全公司有密切合作 这些公司包括美国国家计算机安全协会 美国网络紧急事务响应小组以及以色列的RSA公司等 DanFarmer 一 1995年4月 DanFarmer 写过网络安全检查工具COPS 和WietseVenema TCP Wrapper的作者 发布了SATAN securityadministratortoolforanalyzingnetworks 安全管理员的网络分析工具 引起了轰动 11 1 1发展历史 DanFarmer 二 SATAN本质上与ISS相同 但更加成熟 并在界面上实现了突破 从命令行走向图形界面 使用HTML界面 SATAN基于Web的界面 并能进行分类检查 当时许多人甚至担心SATAN的发布会给internet带来混乱 11 1 1发展历史 11 1 1发展历史 DanFarmer 三 奇怪的是 Farmer因为SATAN丢掉了他在SGI的工作 然而Klaus却利用ISS创办了一个拥有几百万资产的网络安全公司 InternetSecuritySystems ISS 从那时起 安全评估技术就得了不断的发展并日趋成熟 今天 业界已经出现了十几种扫描器 每种都有其优点 也有其弱点 但自从ISS和SATAN问世以来 相关的基本理论和基本概念却没有改变多少 11 1 1发展历史 安全扫描器是一个对扫描技术进行软件化 自动化实现的工具 更确切地说 是一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序 11 1 2功能 扫描技术的主要体现在对安全扫描器的使用方面 安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查 通过使用安全扫描器 可以了解被检测端的大量信息 例如 开放端口 提供的服务 操作系统版本 软件版本等 安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告 11 1 2功能 11 1 2功能 一般来说 安全扫描器具备下面的功能 1 信息收集信息收集是安全扫描器的主要作用 也是安全扫描器的价值所在 信息收集包括远程操作系统识别 网络结构分析 端口开放情况以及其他敏感信息收集等 11 1 2功能 2 漏洞检测漏洞检测是漏洞安全扫描器的核心功能 包括已知安全漏洞的检测 错误的配置检测 弱口令检测 11 1 2功能 在网络安全体系的建设中 安全扫描工具具有花费低 效果好 见效快 使用方便等优点 一个优秀的安全扫描器能对检测到的数据进行分析 查找目标主机的安全漏洞并给出相应的建议 11 1 3分类 到目前为止 安全扫描技术已经发展到很成熟的地步 安全扫描技术主要分为两类 基于主机和基于网络的安全扫描技术 相应地对安全扫描器分为以下两类 1 主机型安全扫描器 2 网络型安全扫描器 11 1 3分类 1 主机型安全扫描器 主机型安全扫描器用于扫描本地主机 查找安全漏洞 查杀病毒 木马 蠕虫等危害系统安全的恶意程序 主要是针对操作系统的扫描检测 通常涉及系统的内核 文件的属性 操作系统的补丁等问题 还包括口令解密等 11 1 3分类 2 网络型安全扫描器 网络型安全扫描器通过网络来测试主机安全性 它检测主机当前可用的服务及其开放端口 查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞 隐患及安全脆弱点 11 1 3分类 安全扫描是一个比较综合的过程 包括以下几个方面 找到网络地址范围和关键的目标机器IP地址 发现因特网上的一个网络或者一台主机 找到开放端口和入口点 发现其上所运行的服务类型 能进行操作系统辨别 应用系统识别 通过对这些服务的测试 可以发现存在的已知漏洞 并给出修补建议 按照上面的扫描过程的不同方面 扫描技术又可分为4大类 1 ping扫描技术 2 端口扫描技术 3 操作系统探测扫描技术 4 已知漏洞的扫描技术 在上面的4种安全扫描技术中 端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术 目前许多安全扫描器都集成了端口和漏洞扫描的功能 11 1 3分类 11 2端口扫描和漏洞扫描 对目标计算机进行端口扫描 能得到许多有用的信息 从而发现系统的安全漏洞 它使系统用户了解系统目前向外界提供了哪些服务 从而为系统用户管理网络提供了一种手段 11 2端口扫描和漏洞扫描 11 2 1端口扫描技术及原理11 2 2漏洞扫描技术及原理 网络中的每一台计算机如同一座城堡 在这些城堡中 有的对外完全开放 有的却是紧锁城门 入侵者们是如何找到 并打开它们的城门的呢 这些城门究竟通向城堡的何处呢 在网络技术中 把这些城堡的 城门 称之为计算机的 端口 端口扫描是入侵者搜集信息的几种常用手法之一 也正是这一过程最容易使入侵者暴露自己的身份和意图 一般来说 扫描端口有如下目的 判断目标主机上开放了哪些服务 判断目标主机的操作系统 如果入侵者掌握了目标主机开放了哪些服务 运行何种操作系统 他们就能够使用相应的手段实现入侵 11 2 1端口扫描技术及原理 11 2 1端口扫描技术及原理 1 端口的基本概念 端口 在计算机网络领域中是个非常重要的概念 它是专门为计算机通信而设计的 它不是硬件 不同于计算机中的 插槽 可以说是个 软插槽 如果有需要的话 一台计算机中可以有上万个端口 端口是由计算机的通信协议TCP IP协议定义的 其中规定 用IP地址和端口作为套接字 它代表TCP连接的一个连接端 一般称为Socket 具体来说 就是用 IP 端口 来定位一台主机中的进程 可以做这样的比喻 端口相当于两台计算机进程间的大门 可以随便定义 其目的只是为了让两台计算机能够找到对方的进程 11 2 1端口扫描技术及原理 计算机就像一座大楼 这个大楼有好多入口 端口 进到不同的入口中就可以找到不同的公司 进程 如果要和远程主机A的程序通信 那么只要把数据发向 A 端口 就可以实现通信了可见 端口与进程是一一对应的 如果某个进程正在等待连接 称之为该进程正在监听 那么就会出现与它相对应的端口 由此可见 入侵者通过扫描端口 便可以判断出目标计算机有哪些通信进程正在等待连接 11 2 1端口扫描技术及原理 2 端口的分类端口是一个16bit的地址 用端口号进行标识不同作用的端口 参见表2 2和表2 3 端口一般分为两类 熟知端口号 公认端口号 由因特网指派名字和号码公司ICANN负责分配给一些常用的应用层程序固定使用的熟知端口 其数值一般为0 1023 一般端口号 用来随时分配给请求通信的客户进程 11 2 1端口扫描技术及原理 常见的TCP端口 端口扫描技术及原理 常见UDP公认端口号 3 TCP IP协议基础知识 TCP IP 即传输控制协议 网际互连协议 它把整个计算机通信网划分为应用层 传输层 网际层 网络接口层 按照这种层次划分的通信模式如图2 44所示 TCP IP协议基础知识 Internet的网络通信大多是建立在这个协议之上的 各个主机遵循着TCP IP协议封装数据包进行通信 由图2 44可见 TCP IP在运输层包括两个协议TCP和UDP 并且TCP和UDP都使用相同的网际层IP TCP与UDP协议各自特点如下 TCP IP协议基础知识 用户数据报协议UDP UserDatagramProtocol UDP在传送数据之前不需要先建立连接 远地主机的运输层在收到UDP数据报后 不需要给出任何确认 广泛应用于只需一次的客户 服务器模式的请求 应答查询 或者要求提供高效率数据传输的场合 传输控制协议TCP TransmissionControlProtocol TCP提供可靠的 面向连接的运输服务 用于高可靠性数据的传输 TCP具有完善的错误检测与恢复 顺序控制和流量控制等功能 TCP IP协议基础知识 TCP和UDP协议说明如下 注重可靠性的场合一般使用TCP协议 例如FTP Telnet 而在那些更注重实时性 传输率 吞吐量的场合一般使用UDP 如QQ TCP报文分为首部和数据两部分 TCP报文段首部的前20个字节是固定的 后面有4n字节 n为整数 是可有可无的选项 因此TCP首部的最小长度是20字节 TCP IP协议基础知识 TCP报文结构如图2 45所示 SYN 该标志位用来建立连接 让连接双方同步序列号 如果SYN 1而ACK 0 则表示该数据包为连接请求 如果SYN 1而ACK 1则表示接受连接 FIN 表示发送端已经没有数据要求传输了 希望释放连接 RST 用来复位一个连接 RST标志置位的数据包称为复位包 一般情况下 如果TCP收到的一个分段明显不是属于该主机上的任何一个连接 则向远端发送一个复位包 URG 为紧急数据标志 如果它为1 表示本数据包中包含紧急数据 此时紧急数据指针有效 ACK 为确认标志位 如果为1 表示包中的确认号时有效的 否则 包中的确认号无效 PSH 如果置位 接收端应尽快把数据传送给应用层 TCP IP协议基础知识 3 三次握手当使用TCP协议的时候 需要双方计算机建立TCP连接 把这个建立过程形象地称为 三次握手 第一次 主机A的TCP向主机B的TCP发出连接请求报文段 其首部中的同步比特SYN 1 ACK 0 同时选择一个序号x 表明在后面传送数据时的第一个数据字节的序号是x 第二次 主机B的TCP收到连接请求报文段后 如同意 则发回确认 在确认报文段中应将SYN 1 ACK 1 确认序号应为x 1 同时也为自己选择一个序号y 第三次 主机A的TCP收到此报文段后 还要向B给出确认ACK 1 其确认序号为y 1 TCP IP协议基础知识 三次握手后 主机A和主机B就可以相互进行数据传输 三次握手的功能 保证双方都相互知道对方已准备好进行数据传输 双方确认一个数据传输的初始序列号 例如 发送方的初始序列号为x 接收方初始序列号为y 均被对方确认 端口扫描原理 前面简要地介绍了计算机之间是如何通信的 从中可以看出 入侵者如果想要探测目标计算机都开放了哪些端口 提供了哪些服务 就需要先与目标端口建立TCP连接 这也就是 扫描 的出发点 端口扫描原理 1 端口扫描原理尝试与目标主机的某些端口建立连接 如果目标主机该端口有回复 见三次握手中的第二次 则说明该端口开放 即为 活动端口 2 扫描原理分类 1 全TCP连接这种扫描方法使用三次握手 与目标计算机建立标准的TCP连接 需要说明的是 这种古老的扫描方法很容易被目标主机记录 端口扫描原理 2 半打开式扫描 SYN扫描 在这种扫描技术中 扫描主机自动向目标计算机的指定端口发送SYN数据段 表示发送建立连接请求 a 如果目标计算机的回应TCP报文中SYN 1 ACK 1 则说明该端口是活动的 接着扫描主机传送一个RST给目标主机拒绝建立TCP连接 从而导致三次握手过程的失败 b 如果目标计算机的回应是RST 则表示该端口为 死端口 这种情况下 扫描主机不用做任何回应 由于扫描过程中 全连接尚未建立 所以大大降低了被目标计算机的记录的可能性 并且加快了扫描的速度 端口扫描原理 3 FIN扫描在前面介绍过的TCP报文中 有一个字段为FIN FIN扫描则依靠发送FIN来判断目标计算机的指定端口是否活动 发送一个FIN 1的TCP报文到一个关闭的端口时 该报文会被丢掉 并返回一个RST报文 但是 如果当FIN报文到一个活动的端口时 该报文只是简单的丢掉 不会返回任何回应 从FIN扫描可以看出 这种扫描没有涉及任何TCP连接部分 因此 这种扫描比前两种都安全 可以称之为秘密扫描 端口扫描原理 4 第三方扫描第三方扫描又称 代理扫描 这种扫描是利用第三方主机来代替入侵者进行扫描 这个第三方主机一般是入侵者通过入侵其他计算机而得到的 该 第三方 主机常被入侵者称之为 肉鸡 这些 肉鸡 一般为安全防御系数极低的个人计算机 全连接扫描是TCP端口扫描的基础 现有的全连接扫描有TCPconnect 扫描和TCP反向ident扫描等 全连接扫描的优点是扫描迅速 准确而且不需要任何权限 缺点是易被目标主机发觉而被过滤掉 11 2 1端口扫描技术及原理 半连接扫描指端口扫描没有完成一个完整的TCP连接 在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手 在第三步时 扫描主机中断了本次连接 使连接没有完全建立起来 这样的端口扫描称为半连接扫描 也称为间接扫描 现有的半连接扫描有TCPSYN扫描和IPID头dumb扫描等 半连接扫描优点是一般不会被目标主机记录连接 有利于不被扫描方发现 缺点是在大部分操作系统下 扫描主机需要构造适用于这种扫描的IP包 而通常情况下 构造自己的SYN数据包必须要有root权限 11 2 1端口扫描技术及原理 秘密扫描指端口扫描容易被在端口处所监听的服务日志记录 这些服务看到一个没有任何数据的连接进端口 就记录一个日志错误 而秘密扫描是一种不被审计工具所检测的扫描技术 现有的秘密扫描有TCPFIN扫描 TCPACK扫描 NULL扫描 XMAS扫描 TCP分段扫描和SYN ACK扫描等 秘密扫描优点是能躲避IDS 防火墙 包过滤器和日志审计 从而获取目标端口的开放或关闭的信息 由于它不包含TCP三次握手协议的任何部分 所以无法被记录下来 比半连接扫描要更为隐蔽 缺点是扫描结果的不可靠性增加 而且扫描主机也需要自己构造IP包 11 2 1端口扫描技术及原理 其他扫描主要指对FTP反弹攻击和UDPICMP端口不可到达扫描 FTP反弹攻击优点是能穿透防火墙 难以跟踪 缺点是速度慢且易被代理服务器发现并关闭代理功能 UDPICMP端口不可到达扫描的优点是可以扫描非TCP端口 避免了TCP的IDS 缺点是因基于简单的UDP协议 扫描相对困难 速度很慢而且需要root权限 11 2 1端口扫描技术及原理 端口扫描实验 工具三 SuperScan 1 简介SuperScan是一个集 端口扫描 ping 主机名解析 于一体的扫描器 2 功能检测主机是否在线 IP和主机名之间的相互转换 通过TCP连接试探目标主机运行的服务 扫描指定范围的主机端口 支持使用文件列表来指定扫描主机范围 其界面如图2 50所示 端口扫描技术及原理 操作系统识别每种操作系统都开放有不同的端口供系统间通信使用 因此从端口号上也可以大致判断目标主机的操作系统 一般认为开有135 139端口的主机为Windows系统 如果除了135 139外 还开放了5000端口 则该主机为WindowsXP操作系统 端口扫描技术及原理 常见问题与解答问 使用端口扫描器为何扫不出QQ端口 答 QQ通信时候使用的是UDP协议 前面介绍过 UDP协议在通信的时候是不建立连接的 而端口扫描器是基于TCP协议的 通过 连接 或 半连接 测试方式来确定端口是否开放 所以 端口扫描器扫不出QQ开放的端口 漏洞扫描技术的原理是主要通过以下两种方法来检查目标主机是否存在漏洞 一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务 将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配 查看是否有满足匹配条件的漏洞存在 二是通过模拟黑客的攻击手法 对目标主机系统进行攻击性的安全漏洞扫描 如测试弱势口令等 若模拟攻击成功 则表明目标主机系统存在安全漏洞 11 2 2漏洞扫描技术及原理 基于网络系统漏洞库 漏洞扫描大体包括CGI漏洞扫描 POP3漏洞扫描 FTP漏洞扫描 SSH漏洞扫描 HTTP漏洞扫描等 这些漏洞扫描是基于漏洞库 将扫描结果与漏洞库相关数据匹配比较得到漏洞信息 漏洞扫描还包括没有相应漏洞库的各种扫描 比如Unicode遍历目录漏洞探测 FTP弱势密码探测 OPENreply邮件转发漏洞探测等 这些扫描通过使用插件 功能模块技术 进行模拟攻击 测试出目标主机的漏洞信息 11 2 2漏洞扫描技术及原理 基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库 通过采用基于规则的匹配技术 即根据安全专家对网络系统安全漏洞 黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验 可以形成一套标准的网络系统漏洞库 然后再在此基础之上构成相应的匹配规则 由扫描程序自动地进行漏洞扫描的工作 11 2 2漏洞扫描技术及原理 插件是由脚本语言编写的子程序 扫描程序可以通过调用它来执行漏洞扫描 检测出系统中存在的一个或多个漏洞 添加新的插件就可以使漏洞扫描软件增加新的功能 扫描出更多的漏洞 插件编写规范化后 甚至用户自己都可以用perl c或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能 这种技术使漏洞扫描软件的升级维护变得相对简单 而专用脚本语言的使用也简化了编写新插件的编程工作 使漏洞扫描软件具有强的扩展性 11 2 2漏洞扫描技术及原理 现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描 但是这两种方法在不同程度上也各有不足之处 一是关于系统配置规则库问题 二是关于漏洞库信息的要求 11 2 2漏洞扫描技术及原理 系统配置规则库问题网络系统漏洞库是基于漏洞库的漏洞扫描的核心所在 但是 如果规则库设计得不准确 预报的准确度就无从谈起 它是根据已知的安全漏洞进行安排和策划的 而对网络系统的很多危险的威胁却是来自未知的漏洞 这样 如果规则库更新不及时 预报准确度也会逐渐降低 受漏洞库覆盖范围的限制 部分系统漏洞也可能不会触发任何一个规则 从而不被检测到 系统配置规则库应能不断地被扩充和修正 这也是对系统漏洞库的扩充和修正 11 2 2漏洞扫描技术及原理 漏洞库信息的要求漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据 如果漏洞库信息不全面或得不到即时的更新 不但不能发挥漏洞扫描的作用 还会给系统管理员以错误的引导 从而对系统的安全隐患不能采取有效措施并及时消除 所以 漏洞库信息不但应具备完整性和有效性 也应具有简易性的特点 这样即使是用户自己也易于对漏洞库进行添加配置 从而实现对漏洞库的即时更新 有利于以后对漏洞库的更新升级 11 2 2漏洞扫描技术及原理 11 3 1安全扫描器的原理11 3 2安全扫描器的结构11 3 3安全扫描器的开发 11 3安全扫描器的原理 结构及设计 安全扫描器发展到现在 已经从初期的功能单一 结构简单的系统 发展到目前功能众多 结构良好的综合系统 虽然不同的扫描器功能和结构差别比较大 但是其核心原理是相同的 下面分别就主机型安全扫描器和网络型安全扫描器介绍其原理 11 3 1安全扫描器的原理 一 主机型安全扫描器主要是针对操作系统的扫描检测 通常涉及系统的内核 文件的属性 操作系统的补丁等问题 还包括口令解密等 主机型安全扫描器通过扫描引擎以root身份登录目标主机 也就是本扫描引擎所在的主机 记录系统配置的各项主要参数 在获得目标主机配置信息的情况下 一方面可以知道目标主机开放的端口以及主机名等信息 另一方面将获得的漏洞信息与漏洞特征库进行比较 如果能够匹配则说明存在相应的漏洞 11 3 1安全扫描器的原理 二 网络型安全扫描器网络型安全扫描器是针对远程网络或者主机的端口 开放的服务以及已知漏洞等 主控台可以对网络中的服务器 路由器以及交换机等网络设备进行安全扫描 对检测的数据进行处理后 主控台以报表形式呈现扫描结果 网络型安全扫描器利用TCP IP UDP以及ICMP协议的原理和缺点 扫描引擎首先向远端目标发送特殊的数据包 记录返回的响应信息 然后与已知漏洞的特征库进行比较 如果能够匹配 则说明存在相应的开放端口或者漏洞 此外 还可以通过模拟黑客的攻击手法 对目标主机系统发送攻击性的数据包 11 3 1安全扫描器的原理 目前许多安全扫描器都集成了端口和漏洞扫描的功能 下面首先从体系结构上看主机型安全扫描器和网络型安全扫描器两类安全扫描器的结构特点 11 3 2安全扫描器的结构 11 3 2安全扫描器的结构 1 主机型安全扫描器主机型安全扫描器主要是由两部分组成 即管理端和代理端 其中管理端 manager 管理各个代理端 具备向各个代理端发送扫描任务指令和处理扫描结果的功能 而代理端 agent 是采用主机扫描技术对所在的被扫描目标进行检测 收集可能存在的安全状况 2 网络型安全扫描器网络型安全扫描器也主要由两部分组成 即扫描服务端和管理端 其中服务端是整个扫描器的核心 所有的检测和分析操作都是它发起的 而管理端的功能是提供管理的作用以及方便用户查看扫描结果 从逻辑结构上来说 不管是主机型还是网络型安全扫描器 都可以看成是由以下5个主要组成部分 1 策略分析2 获取检测工具3 获取数据4 事实分析5 报告分析 11 3 2安全扫描器的结构 其中策略分析部分用于决定检测哪些主机并进行哪些检测 对于给定的目标系统 获取检测工具部分就可以根据策略分析部分得出的测试级别类 确定需要应用的检测工具 对于给定的检测工具 获取数据部分运行对应的检测过程 收集数据信息并产生新的事实记录 11 3 2安全扫描器的结构 对于给定的事实记录 事实分析部分能产生出新的目标系统 新的检测工具和新的事实记录 新生成的目标系统作为获取检测工具部分的输入 新生成的检测工具又作为获取数据部分的输入 新的事实记录再作为事实分析部分的输入 如此循环直至不再产生新的事实记录为止 报告分析部分则将有用的信息进行整理 便于用户查看扫描结果 11 3 2安全扫描器的结构 系统设计是将需求最终转化为软件系统的最重要的环节 系统设计的优劣在根本上决定了软件系统的质量 包括4方面的内容 体系结构设计 模块设计 数据结构与算法设计以及用户界面设计 11 3 3安全扫描器的设计 1 体系结构设计主机型安全扫描器的设计采用manage agent结构 整个体系由3部分组成 管理端 代理端以及数据库端 网络型安全扫描器的设计采用client server结构 整个系统分为 服务器端 客户端以及数据库端 11 3 3安全扫描器的设计 2 模块设计主机型安全扫描器模块设计分为5模块 即扫描引擎模块 通信模块 任务安排模块 数据库接口模块以及结果处理模块等 网络型安全扫描器模块被设计为6大模块 即扫描引擎模块 数据库接口模块 进程和线程处理模块 通信模块 任务安排模块以及结果处理模块 11 3 3安全扫描器的设计 3 数据结构与算法设计在设计主机型安全扫描器的数据结构与算法时 需要考虑主机型安全扫描器的特殊性 采用更大的时间开销来换取空间收益的原则来进行 网络型安全扫描器的设计也要考虑自身的特殊性 由于服务器端相对固定且一般情况下一个服务器端可以连接多个客户端 因此对服务器端而言 可以采用更大的空间开销来换取时间收益的原则来进行 设计高效率的程序要基于良好的数据结构与算法 应充分使用各种数据结构和算法 避免重复设计工作 提高效率 11 3 3安全扫描器的设计 4 用户界面设计由于主机型安全扫描器的用户界面是在管理端 代理端并不涉及到用户界面的问题 所以设计主机型安全扫描器时就必须注意管理端使用的方便性这一要求 由于网络型安全扫描器的用户界面是在客户端 服务器端对用户界面要求不高或者不需要 因此设计网络型安全扫描器时就必须保证客户端具备使用方便性的特点以满足人机交互要求 在完成系统设计后 进入系统实施阶段实现系统设计 包括系统实施计划 实施步骤 系统软件 硬件 网络的获取 系统安装 调试 测试 系统试运行和验收 最后是系统运行及维护 并通过评价结果进行改进 11 3 3安全扫描器的设计 11 4安全扫描技术的应用 11 4 1安全扫描器产品11 4 2安全扫描器的选择11 4 3安全扫描技术的发展趋势 11 4 1安全扫描器产品 一 SATAN SecurityAdministratorToolForAnalyzingNetworks 1995年4月SATAN发布到Internet上 是一个分析网络的安全管理和测试 报告工具 它用来搜集网络上主机的许多信息 并可以识别且自动报告与网络相关的安全问题 对所发现的每种问题类型 SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成影响的程度 并且 通过所附的资料 它还解释如何处理这些问题 SATAN是一个软件包 是为UNIX环境编写的 SATAN是一个功能非常强大的工具 它可以自动扫描一段子网 二 Nmap networkmapper 它是由Fyodor制作的扫描工具 除了提供基本的UDP和TCP端口扫描功能外 还综合集成了众多扫描技术 现在的端口扫描类型很大程度上根据Nmap的功能设置来划分的 Nmap是在免费软件基金会的GNUGeneralPublicLicense GPL 下发布的 目前的最新版本是 有支持UNIX平台的版本 也有支持Windows平台的版本 但提供下载的是源程序包 需要自行编译 下载的地址为 http www insecure org nmap nmap domnloag html 11 4 1安全扫描器产品 三 SSS ShadowSecurityScanner 它是在安全扫描市场中享有速度最快 功效最好的盛名 其功能远远超过了其它众多的扫描分析工具 SSS可以对很大范围内的系统漏洞进行安全 高效 可靠的安全检测 对系统全部扫描之后 SSS可以对收集的信息进行分析 发现系统设置中容易被攻击的地方和可能的错误 得出对发现问题的可能的解决方法 SSS使用了完整的系统安全分析算法 intellectualcore SSS不仅可以扫描Windows系列平台 如95 98 ME NT 2000 XP NET 而且还可以应用在UNIX及其分支上 如Linux FreeBSD OpenBSD NetBSD Solaris 由于采用了独特的架构 SSS是世界上唯一的可以检测出思科 惠普及其他网络设备错误的软件 而且它在所有的商用软件中还是唯一能在每个系统中跟踪超过2000个审核的软件 11 4 1安全扫描器产品 四 NessusNessus是一个功能强大而又易于使用的远程安全扫描器 它不仅免费而且更新快 Nessus扫描器是C S模式结构 服务器端负责进行安全检查 客户端用来配置管理服务器端 Nessus的优点在于 其采用了基于多种安全漏洞的扫描 避免了扫描不完整的情况 Nessus扩展性强 容易使用 功能强大 可以扫描出多种安全漏洞 在客户端 用户可以指定运行Nessus服务的机器 使用的端口扫描器及测试的内容及测试的IP地址范围 Nessus本身是工作在多线程基础上的 所以用户还可以设置系统同时工作的线程数 这样用户在远端就可以设置Nessus的工作配置了 安全检测完成后 服务端将检测结果返回到客户端 客户端生成直观的报告 可以到http www nessus org download html下载Nessus的最新版本 11 4 1安全扫描器产品 五 ISS InternetSecurityScanner 它是1992年计算机科学系学生ChrisKlaus在做Internet安全试验时 编写的一种扫描工具 该工具可以远程探测UNIX系统的各种通用漏洞 Klaus却利用ISS创办了一个拥有几百万资产的网络安全公司 InternetSecuritySystems ISS 使ISS InternetSecuritySystems 是最早生产扫描程序的公司 并拥有多种安全产品 ISSInternetScanner是一个用于分析企业网络上的设备安全性的弱点评估产品 它针对操作系统 路由器 电子邮件 Web服务器 防火墙 业务服务器和应用程序进行检测 从而识别能被入侵者利用来进入网络的漏洞 扫描后生成的报告非常之详细 详细内容参见 11 4 1安全扫描器产品 六 SuperScanSuperScan是由Foundstone公司出品的一款功能强大的基于连接的TCP端口扫描工具 支持PING和主机名解析 多线程和异步技术使得扫描速度大大加快 并且有强大的端口管理器 内置了大部分常见的端口以及端口说明 并且支持自定义端口 11 4 1安全扫描器产品 在选择安全扫描器时应注意以下因素 1 漏洞检测的完整性 一个扫描器所能扫描的漏洞数目是非常重要的 但在选择扫描器也不能绝对按漏洞数目排序 更重要的是 一个好的扫描器至少应该能够查找出root administrator级有危险的已知漏洞 11 4 2安全扫描器的选择 2 漏洞检测的精确性扫描器除了要有一个好的漏洞检测集外 能否精确地识别这些漏洞同样重要 错过真正的漏洞 与识别到很多不存在的漏洞一样令人难以接受 有些扫描器产品仍然有检测的精确性不好的问题 11 4 2安全扫描器的选择 3 漏洞检测的范