【正文】 每個插件都封裝一個或者多個漏洞的測試手段，主掃描程序通過調(diào)用插件的方法來執(zhí)行掃描。僅僅是添加新的插件就可以使軟件增加新功能，掃描更多漏洞。在插件編寫規(guī)范公布的情況下，用戶或者第三方公司甚至可以自己編寫插件來擴(kuò)充軟件的功能。同時這種技術(shù)使軟件的升級維護(hù)都變得相對簡單，并具有非常強(qiáng)的擴(kuò)展性。 ● 使用專用腳本語 言。這其實(shí)就是一種更高級的插件技術(shù)，用戶可以使用專用腳本語言來擴(kuò)充軟件功能。這些腳本語言語法通常比較簡單易學(xué)，往往用十幾行代碼就可以定制一個簡單的測試，為軟件添加新的測試項(xiàng)。腳本語言的使用，簡化了編寫新插件的編程工作，使擴(kuò)充軟件功能的工作變得更加容易，也更加有趣。 ● 由安全掃描程序到安全評估專家系統(tǒng)。最早的安全掃描程序只是簡單的把各個掃描測試項(xiàng)的執(zhí)行結(jié)果羅列出來，直接提供給測試者而不對信息進(jìn)行任何分析處理。而當(dāng)前較成熟的掃描系統(tǒng)都能夠?qū)蝹€主機(jī)的掃描結(jié)果整理，形成報表，能夠并對具體漏洞提出一些解決方法， 但對網(wǎng)絡(luò)的狀況缺乏一個整體的評估，對網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng)，應(yīng)該不但能夠掃描安全漏洞，還能夠智能化的協(xié)助網(wǎng)絡(luò)信息系統(tǒng)管理人員評估本網(wǎng)絡(luò)的安全狀況，給出安全建議，成為一個安全評估專家系統(tǒng)。 以上簡要介紹了安全掃描的產(chǎn)生、發(fā)展和技術(shù)種類、以及發(fā)展趨勢。尤其重點(diǎn)介紹了兩種端口掃描技術(shù)及其優(yōu)缺點(diǎn)。這些端口掃描技術(shù)理論都是通過計算機(jī)網(wǎng)絡(luò)的基本理論知識和網(wǎng)絡(luò)編程技術(shù)相結(jié)合來具體實(shí)現(xiàn)的。 安全掃描工具是一把雙刃劍，既可以被網(wǎng)絡(luò)管理員利用，又可以被黑客利用。 端口掃描技術(shù)和漏洞 檢測技術(shù)是安全掃描中的關(guān)鍵技術(shù)，下面分別介紹。 端口掃描技術(shù) 端口掃描屬于安全探測技術(shù)范疇，對應(yīng)于網(wǎng)絡(luò)攻擊技術(shù)中的網(wǎng)絡(luò)信息收集技術(shù)。黑客能否進(jìn)“房間”，關(guān)鍵在于他是否發(fā)現(xiàn)了打開的“門窗”。也就是說，關(guān)鍵是能否準(zhǔn)確地收集系統(tǒng)信息。黑客要做的是構(gòu)造目標(biāo)網(wǎng)絡(luò)中所有系統(tǒng)的地圖，包括操作系統(tǒng)類型、版本號以及可以在其上運(yùn)行的服務(wù)等。 黑客手工收集信息一般遵循以下步驟 : (1)獲取主機(jī)名與 IP地址 :可以通過使用 whois 與 nslookup 等工具。 (2)獲得操作系統(tǒng)類型信息 :標(biāo)識的最快方法就是試圖 tel 至該系統(tǒng)，從標(biāo)識來判斷。 (3) FTP 信息 :黑客將測試是否開放 FIP 服務(wù)，匿名 FIP 是否可用，若可用，則試圖發(fā)掘更多的潛在問題。 (4) TCP/iJDP 掃描 :對于 TCP, tel 可以用來試圖與某一特定端口連接，這也是手工掃描的基本方法。從返回的標(biāo)識可以得到更多的信息。從中再分析系統(tǒng)是否開放 RPC 服務(wù)、 FINGER, RUSERS 和 RWHO 等比較危險的服務(wù)。 這樣，到這里為止，黑客完成了對遠(yuǎn)程系統(tǒng)信息的手工掃描。端口掃描軟件就是要盡可能的自動地模擬黑客的掃描手段。 根據(jù)端口掃描的方法的不同，端口 掃描技術(shù)分為五大類 : ● 全開掃描 :通過完整的 TCP 連接探查端口。主要有 TCP connect，反向dent. ● 半開掃描 :通過不完整的 TCP 連接探查端口。 主要有 SYN flag,IP ID header dumb scan. ● 隱蔽掃描 (stealth scanning):利用 FIN 字段來探查端口。不包含標(biāo)準(zhǔn)三次握手的任一部分。主要有 SMACK flag, ACK flags, NULL flags,ALL flags (XMAS)。 ● IP 段掃描 ((sweeps scanning):同時對一個 網(wǎng)段進(jìn)行掃描。主要有 TCP echo, UDP echo, TCP SYN, ICMP echo。 漏洞檢測技術(shù) 漏洞是硬件、軟件或者是安全策略上的錯誤而引起的缺陷，從而可以使別 人能夠利用這個缺陷在系統(tǒng)未授權(quán)的情況下訪問系統(tǒng)或者破壞系統(tǒng)的正常使用。漏洞產(chǎn)生的原因有三種 : ● 網(wǎng)絡(luò)協(xié)議漏洞 ● 配置不當(dāng)導(dǎo)致的系統(tǒng)漏洞 ● 系統(tǒng)管理漏洞主要有兩個方面 :系統(tǒng)管理員對系統(tǒng)的設(shè)置存在安全漏洞。系統(tǒng)的部分功能自身存在安全漏洞隱患，應(yīng)用軟件系統(tǒng)安全的脆弱性。 ● .漏洞檢測就是漏洞信息收集以及對這些信息分 析的過程。信息的收集是通過向目標(biāo)發(fā)送特定的數(shù)據(jù)包實(shí)現(xiàn)的。信息分析是用收集到的信息匹配已知的規(guī)則來檢測整個系統(tǒng)的安全性。漏洞檢測有很多方法，可以根據(jù)使用軟件、操作系統(tǒng)的版本來檢測，也可以根據(jù)漏洞形成的原因、攻擊原理來檢測。隱患掃描技術(shù)與防火墻、入侵檢測系統(tǒng)的互相配合，能夠及時的發(fā)現(xiàn)漏洞，有效的防御黑客的進(jìn)攻，極大增強(qiáng)網(wǎng)絡(luò)的安全性。 2 端口掃描 端口的基本概念 端口的簡介 “隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展 ,原來物理上的接口 (如鍵盤、鼠標(biāo)、網(wǎng)卡、顯示卡等輸入 /輸出接口 )已不能滿足網(wǎng)絡(luò)通信的要求 ,TCP/IP 協(xié)議作為主流網(wǎng)絡(luò)操作系統(tǒng)的核心協(xié)議很好的解決了這個通信難題。因?yàn)樵?TCP/IP 協(xié)議中引入了一種稱之為 Socket(套接字 )應(yīng)用程序接口。有了這樣一種接口技術(shù) ,一臺計算機(jī)就可以通過軟件的方式與任何一臺具有 Socket 接口的計算機(jī)進(jìn)行通信。端口在計算機(jī)編程上也就是 Socket 接口 。 正是有了這些端口 ,我們才可以把一臺計算機(jī)既作 Web 服務(wù)器又作 FTP 服務(wù)器 ,因?yàn)楦鞣N服務(wù)采用不同的端口分別提供不同的服務(wù) ,通常 TCP/IP 協(xié)議規(guī)定Web 采用 80號端口 ,FTP 采用 21 號端口等。這樣 ,通過不同端口 ,計 算機(jī)就可以與外界進(jìn)行互不干擾的通信。計算機(jī)的端口在計算機(jī)內(nèi)部是由 16 位二進(jìn)制書來表示的 ,因此計算機(jī)的端口最大可以有 65535 個 ,但是實(shí)際上常用的端口才幾十個 ,由此可以看出未定義的端口相當(dāng)多。這是很多黑客程序都可以采用某種方法 ,定義出一個特殊的端口來達(dá)到入侵的目的的原因所在。為了定義出這個端口 ,就要依靠某種程序在計算機(jī)啟動之前自動加載到內(nèi)存 ,強(qiáng)行控制計算機(jī)打開特殊的端口。這個程序就是 后門 程序 ,這些后門程序就是常說的木馬程序。 端口的分類 端口的分類根據(jù)其參考對象不同有不同劃分方法 ,如果從端 口的性質(zhì)來分 ,通?？梢苑譃橐韵氯?: (1)公認(rèn)端口 :這類端口也常稱之為 常用端口 。這類端口的端口號從 0 到1024,它們緊密綁定于一些特定的服務(wù)。通常這些端口的通信明確表明了某種服 務(wù)的協(xié)議 ,這種端口是不可再重新定義它的作用對象。例如 :80 端口實(shí)際上總是HTTP 通信所使用的 ,而 23號端口則是 Tel 服務(wù)專用的。這些端口通常不會被黑客程序利用。 (2)注冊端口 :端口號從 1025 到 49151。它們松散地綁定于一些服務(wù)。也是說有許多服務(wù)綁定于這些端口 ,這些端口同樣用于許多其他目的。這些端口多數(shù)沒有明確的定義服 務(wù)對象 ,不同程序可根據(jù)實(shí)際需要自己定義。 (3)動態(tài)和 /或私有端口 :端口號從 49152 到 65535。理論上 ,不應(yīng)把常用服務(wù)分配在這些端口上。實(shí)際上 ,有些較為特殊的程序 ,特別是一些木馬程序就非常喜歡用這些端口 ,因?yàn)檫@些端口常常不被引起注意 ,容易隱蔽。 如果根據(jù)所提供的服務(wù)方式的不同 ,端口又可分為面向連接的 TCP 協(xié)議端口 和面向無連結(jié)的 UDP 協(xié)議端口 兩種 ,參見表 1和表 2。 表 1 常見 TCP公認(rèn)端口號 服務(wù)名稱 端口號 說明 FTP 21 文件傳輸服務(wù) TELNET 23 遠(yuǎn)程登錄服務(wù) HTTP 80 網(wǎng)頁瀏覽服務(wù) POP3 110 郵件服務(wù) SMTP 25 簡單郵件傳輸服務(wù) SOCKS 1080 代理服務(wù) 表 2 常見 UCP公認(rèn)端口號 RPC 111 遠(yuǎn)程調(diào)用 SNMP 161 簡單網(wǎng)絡(luò)管理 TFTP 69 簡單文件傳送 端口掃描技術(shù) 端口掃描在網(wǎng)絡(luò)掃描中大約占了 96%， UDP (User Datagram Protoc 服務(wù)次之，占 %。除了這兩種之外，剩余的 %是用戶名和密碼掃描、 NetBIOS 域登錄信息和 SNMP 管理數(shù) 據(jù)等。某組織 ITrap 曾經(jīng)收集了來自 24 個防火墻 12小時工作的數(shù)據(jù)，這些防火墻分別位于美國俄亥俄州 24 個企業(yè)內(nèi)網(wǎng)和本地 ISP所提供的 Inter 主干網(wǎng)之間。其間，黑客攻擊端口的事件有 12020 次之。 “端口掃描”通常指用同一信息對目標(biāo)計算機(jī)的所有所需掃描的端口進(jìn)行發(fā)送，然后根據(jù)返回端口狀態(tài)來分析目標(biāo)計算機(jī)的端口是否打開、是否可用。 開放掃描技術(shù) 1. TCP connects 掃描 : 這是最基本的 TCP 掃描。操作系統(tǒng)提供的 connects 系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)計算機(jī)的端口進(jìn)行 連接。如果端口處于偵聽狀態(tài)，那么 connects就能成功。否則，這個端口是不能用的，即沒有提供服務(wù)。 優(yōu)點(diǎn) :穩(wěn)定可靠，不需要特殊的權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。另一個好處就是速度。如果對每個目標(biāo)端口以線性的方式，使用單獨(dú)的connects 調(diào)用，那么將會花費(fèi)相當(dāng)長的時間，你可以通過同時打開多個套接字，從而加速掃描。使用非阻塞 I/O 允許設(shè)置一個低的時間用盡周期，同時觀察多個套接字。 缺點(diǎn) :掃描方式不隱蔽，服務(wù)器日志會記錄下大量密集的連接和錯誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽。目標(biāo)計算機(jī)的 logs 文件 會顯示一連串的連接和連接是出錯的服務(wù)消息，并且能很快的使它關(guān)閉。 反向 ident 掃描 : ident協(xié)議允許 (rfc1413)看到通過 TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個連接不是由這個進(jìn)程開始的。因此能連接到 端口，然后用 identd來發(fā)現(xiàn)服務(wù)器是否正在以 root 權(quán)限運(yùn)行。 缺點(diǎn) :這種方法只能在和目標(biāo)端口建立了一個完整的 TCP 連接后才能看到。 半開放掃描技術(shù) SYN 掃描 : 掃描主機(jī)向目標(biāo)主機(jī)的選擇端口發(fā)送設(shè)置了 SYN 數(shù)據(jù)標(biāo)志的 TCP 包，就象打開常規(guī) TCP 連 接時一樣。如果被掃描主機(jī)發(fā)送設(shè)置了 RST 和 ACK標(biāo)志的包，那么說明端口是關(guān)閉的，按照設(shè)定就探聽其它端口 。如果該端口是打開的，則被掃描主機(jī)返回設(shè)置了 SYN 和 ACK 標(biāo)志的包進(jìn)行響應(yīng)，說明目標(biāo)端口處于監(jiān)聽狀態(tài)。由于在 SYN 掃描時，全連接尚未建立，所以這種技術(shù)通常被稱為半打開掃描。 優(yōu)點(diǎn) :隱蔽性較全連接掃描好，即使日志中對掃描有所記錄，但是嘗試進(jìn)連接的記錄也要比全掃描少得多。 間接掃描 : 間接掃描的思想是利用第三方的 IP(欺騙主機(jī) )來隱藏真正掃描者的 IP。由于掃描主機(jī)會對欺騙主機(jī)發(fā)送回應(yīng)信息，所以必須監(jiān)控 欺騙主機(jī)的 EP 行為，從而獲得原始掃描的結(jié)果。掃描主機(jī)通過偽造第三方主機(jī) lP 地址向目標(biāo)主機(jī)發(fā)起SYN 掃描，并通過觀察其 IP 序列號的增長規(guī)律獲取端口的狀態(tài)間接掃描的工作過程如下 :假定參與掃描過程的主機(jī)為掃描機(jī)，隱藏機(jī)，目標(biāo)機(jī)。掃描機(jī)和目標(biāo)記的角色非常明顯。隱藏機(jī)是一個非常特殊的角色，在掃描機(jī)掃描目的機(jī)的時候，它不能發(fā)送任何數(shù)據(jù)包 (除了與掃描有關(guān)的包 )。 優(yōu)點(diǎn) :隱蔽性好。 缺點(diǎn) :對第三方主機(jī)的要求較高。 1. TCP FIN 掃描 : 掃描器向目標(biāo)主機(jī)端口發(fā)送 FIN 包。當(dāng)一個 FIN 數(shù)據(jù)包到達(dá)一個關(guān) 閉的口，數(shù)據(jù)包會被丟掉，并且返回一個 RST 數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡單的丟掉 (不返回 RST)。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開，都回復(fù) RST，這樣，這種掃描方法就不適用了。 優(yōu)點(diǎn) :由于這種技術(shù)不包含標(biāo)準(zhǔn)的 TCP 三次握手協(xié)議的任何部分，所以無法被記錄下來，從而必 SYN 掃描隱蔽得多， FIN數(shù)據(jù)包能夠通過只監(jiān)測 SYN包的包過濾器。 缺點(diǎn) :跟 SYN 掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用 。通常適用于 UNIX 目標(biāo)主機(jī)，除過少量的應(yīng)當(dāng)丟棄數(shù)據(jù)包卻發(fā)送 RST 包的操作系統(tǒng) (包括 CISCO, HP/UX, MVS和 IRIX )。但在 Windows95/NT環(huán)境下，該方法無效，因?yàn)椴徽撃繕?biāo)端口是否打開，操作系統(tǒng)都返回 RST 包。 Xmas 和 TCP Null 掃描 : TCP Xmas 和 Null 掃描是 FIN 掃描的兩個變種。 Xmas 掃描打開 FIN, URG 和PUSH 標(biāo)記，而 Null 掃描關(guān)閉所有標(biāo)記。這些組合的目的是為了通過對 FIN 標(biāo)記數(shù)據(jù)包的過濾。當(dāng)一個這種數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個 RST 數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包 只是簡單的丟掉 (不返回RST)。 優(yōu)點(diǎn) :隱蔽性好。 缺點(diǎn) :需要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶權(quán)限 。通常適用于UNIX 目標(biāo)主機(jī)，而 Windows 系統(tǒng)不支持。 3. TCP 助 proxy 掃描 : FTP 代理連接選項(xiàng)，其目的是允許一個客戶端同時跟兩個 FTP 服務(wù)器建立連接，然后在服務(wù)器之間直接傳輸數(shù)據(jù)。然而，在大部分實(shí)現(xiàn)中，實(shí)際上能夠使得FTP 服務(wù)器發(fā)送文件到 Inter 的任何地方。該方法正是利用了這個缺陷，其掃描步驟如下 : (1)假定 S是掃描機(jī)， T 是掃描目標(biāo)， F是一個助服務(wù)器，這個服務(wù)器支持代理選項(xiàng)， 能夠跟 S 和 T 建立連接。 (2) S 與 F建立一個 ftp 會話，使用 PORT 命令聲明一個