【導(dǎo)讀】除文中已經(jīng)注明引用的內(nèi)容外，本論文不含任何其他個人或集體已經(jīng)發(fā)表。或撰寫過的作品或成果。對本文的研究做出重要貢獻的個人和集體，均已在文中。以明確的方式標明。本聲明的法律結(jié)果由本人承擔。導(dǎo)教師指導(dǎo)下取得的，成果歸江西師范大學(xué)科學(xué)技術(shù)學(xué)院所有。

　　

【正文】 源 達到上面兩條標準之一的掃描可認為是隱蔽的。根據(jù)對大量不同掃描方法的分析，認為以下幾類玩過掃描更具有隱蔽性。 （ 1） 基于協(xié)議的方法 互聯(lián)網(wǎng)上的大多數(shù)應(yīng)用是基于 TCP/IP 協(xié)議的，在對 TCP/IP 及其應(yīng)用層協(xié)議進行分析的基礎(chǔ)上，可以發(fā)現(xiàn)多種獲取目標主機信息的方法。目前，這些方法幾乎全部被黑客找到，從最簡單的 ICMP Ping 掃描、 TCP Connect 掃描到隱蔽性較強的ACK、 XMAS、 NULL 掃描以及其他一些較少使用的掃描方 法（如 Reveese Ident 掃描、 Dumb 掃描、 FTP 反彈掃描等）。一些著名的端口掃描工具（如 NMAP），已經(jīng)集成了上面所提到的各種掃描方式。 （ 2） 基于日志記錄規(guī)則的方法 這類掃描方法在于分析主流操作系統(tǒng)的日志記錄規(guī)則、防火墻審計分析策略，以及入侵檢測系統(tǒng)的檢測規(guī)則。主機、防火墻和入侵檢測系統(tǒng)在進行日志記錄和報警的時候，都要求有符合其規(guī)則和策略的相應(yīng)事件出現(xiàn)。這些規(guī)則主要有兩大類：一類不涉及時間，屬于特征提取，例如對 ICMP 回送請求進行記錄；另一類將時間的感念引入其中，如在單位時間內(nèi)有多少單獨的 TCP SYN數(shù)據(jù)包就記錄或報警等。 針對第一類規(guī)則，主要采用熱癥變換的方法。比如利用 IP 碎片，精一個數(shù)據(jù)包的信息分散到多個數(shù)據(jù)包中；或者臺面一串數(shù)據(jù)包的發(fā)送順序等，由于檢測系統(tǒng)的規(guī)則庫是有限的，所以通過特征變換就可以逃過基于模式匹配的檢測規(guī)則。 對于涉及到時間的檢測。可以采用多種方法，典型的方法是慢速掃描。網(wǎng)絡(luò)入侵者往往并不急于攻擊，而是在保證自己不被發(fā)現(xiàn)的情況下盡量收集信息。由于網(wǎng)絡(luò)流量很大檢測設(shè)備不可能保存大量的信息，所以可以將掃描數(shù)據(jù)包分散在足夠長的不同時間段中，檢測系統(tǒng)通常都無法進行檢測。 （ 3） 以 假亂真的方法 盡量降掃描偽裝成正常的請求服務(wù)。如果能夠用“正常的”方式來獲取對方的信息，盡量不要采用其它特殊的方法。另外，在端口掃描中，掃描的順序也相 27 當?shù)闹匾?。大多?shù)機器開放的端口都是非常類似的，如 TCP 的 2 80 和 UDP 的53 等等；而對大量關(guān)閉的端口進行掃描時，往往最容易被發(fā)現(xiàn)。因此，掃描也相當從最常見的開放端口開始，也許在剛剛掃描了幾個端口之后，就能找到所需要的信息和漏洞。 （ 4） 其它隱藏自身的方法 除了發(fā)圖片反彈掃描之外，其它絕大多數(shù)掃描數(shù)據(jù)包中都會留下掃描者的信息。目標主機也會或多或少留 下些關(guān)于這些信息的記錄。在這種情況下，為了達到隱蔽掃描的第二個目標，網(wǎng)絡(luò)入侵者通常會采用 以 下一些方法： 發(fā)送大量迷惑信息。通過偽造大量具有虛假 IP 地址的數(shù)據(jù)包來隱藏自己的地址。除非防火墻阻擋這類數(shù)據(jù)包，否則這一方法極為有效，因為要在數(shù)以萬計的記錄中找出真正的攻擊者非常困難。 對于日志記錄系統(tǒng)，防火墻和 IDS 進行 DOS 攻擊是另一種不得已而為之的方法。其實這種方法和上面的方法類似，因為所有的日志、防火墻、和入侵檢測系統(tǒng)的記錄文件大小都有限，那么就可以在進行掃描之后用大量的無用信息去覆蓋記錄文件，抹掉掃描的記錄， 達到隱藏自身的目的。此外，另一種可能是大量數(shù)據(jù)包使得 IDS 疲于應(yīng)付，無法及時進行分析和記錄。 隱藏掃描的目的是為了不被目標系統(tǒng)檢測到，或者即使被檢測到，也無法追蹤到攻擊源。從本質(zhì)上來說，網(wǎng)絡(luò)掃描不是一種入侵，而只是黑客入侵的前奏。有的掃描器如果使用不當，過著經(jīng)過適當?shù)匦薷?，也可以變成一種入侵的工具。隱蔽性較強的掃描仍然具有網(wǎng)絡(luò)掃描的一些基本特征，因此一些對付網(wǎng)絡(luò)掃描的通用方法也可以應(yīng)用到對隱藏掃描的預(yù)防和檢測中。 針對隱藏掃描的應(yīng)對措施或通用原則介紹如下 （ 1） 關(guān)閉不必要端口和服務(wù)。如果一臺 Web服務(wù)器的 Web服務(wù)程序的版本相當高，安全性也好，是否就認為這是一個安全的系統(tǒng)呢？當然不是，因為它可能還同時提供了其它 10 項不同的服務(wù)。系統(tǒng)的安全性是一條鏈，攻破了其中的任意一環(huán)，整個系統(tǒng)就會暴露在外。要使這條鏈更加牢固，首先應(yīng)當盡量去除不必要的環(huán)節(jié)。最極端的情況就是最后只剩下這條鏈上的一環(huán)。這樣如果這一環(huán)是安全的，那么整個系統(tǒng)的應(yīng)當是安全的，所以，應(yīng)將那些不向外界提供的端口及服務(wù)予以關(guān)閉，一增強系統(tǒng)的安全性。 （ 2） 設(shè)置陷阱，對入侵者進行迷惑。黑客進行掃描的目的是盡量得到關(guān)于目標主機的一些信息，從而找到響應(yīng)的破綻 。如果對系統(tǒng)服務(wù)的一些特征進行修改，就可以給入侵者提供一些誤導(dǎo)信息，從而使黑客誤入歧途。更進一步還可以構(gòu)建誘騙黑客攻擊的虛擬仿真網(wǎng)監(jiān)控黑客的行為。這樣不僅可以充分研究黑客的攻擊方式、手段及技術(shù)特點，而且還可以進行有效的電子 28 取證工作。 要從幾個數(shù)據(jù)包上區(qū)分正常的服務(wù)請求和惡意的網(wǎng)絡(luò)掃描是非常困難的。再者掃描不同于惡意入侵，事實上大多數(shù)掃描可以看成是正常行為。因此，防御和檢測掃描就顯得相對困難，如慢速掃描，目前就沒有什么好的應(yīng)對方法；如果在這種掃描中再加上大量偽造的數(shù)據(jù)，就更難以檢測。 針對入侵者的各種 高級隱蔽性網(wǎng)絡(luò)掃描，提出下列幾種針對性的預(yù)防和檢測方法。 （ 1） 使用專用防火墻，構(gòu)建專用入侵檢測系統(tǒng) 使用專用防火墻，可以過濾掉大量無用數(shù)據(jù)包以及簡單的 DOS 攻擊，在一定程度上使內(nèi)部專用網(wǎng)和外部網(wǎng)隔離開，保證內(nèi)部通信的質(zhì)量及安全，入侵檢測系統(tǒng)對計算能力，存儲能力和網(wǎng)絡(luò)吞吐能力要求都非常高，對于利用 DOS 等手段的攻擊性掃描，采用高性能的檢測設(shè)備和軟件是目前所采取的主要方法之一，對于一個中小型網(wǎng)絡(luò)來說，應(yīng)盡量采用專用的機器來進行預(yù)警和檢測工作。 （ 2） 構(gòu)建分布式入侵監(jiān)測系統(tǒng) 由于計算機（特別是網(wǎng)絡(luò)服務(wù)器）性能的迅速提高，網(wǎng) 絡(luò)掃描和其它各種網(wǎng)絡(luò)攻擊手段也是越來越朝著分布式方向發(fā)展。與此同時，分布式入侵檢測手段也在不斷地發(fā)展和完善。分布式入侵檢測一方面是指針對分布式入侵的檢測；另一方面也是指采用分布式體系結(jié)構(gòu)的入侵檢測系統(tǒng)，例如基于分布式對 Agent 體系結(jié)構(gòu)的入侵檢測系統(tǒng)，分布式入侵檢測系統(tǒng)的各個代理主機之間，可以進行協(xié)調(diào)和協(xié)作，以完成單機無法完成的檢測過程。 同時這一點上述構(gòu)建專用入侵監(jiān)測系統(tǒng)的方法是并行不悖，這是因為分布式入侵檢測系統(tǒng)并非所有的功能都完全平分到每個節(jié)點上 ,數(shù)據(jù)采集和前期處理工作應(yīng)當分布到網(wǎng)絡(luò)中的每個節(jié) 點，而數(shù)據(jù)的綜合處理工作則由于計算量較大應(yīng)該在專用主機上完成 （ 3） 提高網(wǎng)絡(luò)安全系統(tǒng)自身的安全性 從整體上看，網(wǎng)絡(luò)安全防護監(jiān)控系統(tǒng)屬于整個系統(tǒng)的一部分，也是安全鏈上一個重要的環(huán)節(jié)，如果防火墻和入侵檢測系統(tǒng)被攻破，那么整個系統(tǒng)就會暴露無疑。攻擊性較弱的端口掃描一半最網(wǎng)絡(luò)安全防護和監(jiān)控體系不會造成大的破壞，但是如果在其中加入了針對網(wǎng)絡(luò)安全系統(tǒng)的攻擊成分，比如說 DOS，就會造成很大的破壞。在這幾種可以采用專用協(xié)議、加密等方法來保證防火墻和入侵檢測系統(tǒng)等安全系統(tǒng)自身的安全，特別是入侵檢測系統(tǒng)內(nèi)部通信安全。 （ 4） 源頭追 蹤技術(shù) 從廣義上來說，網(wǎng)絡(luò)掃描也可視為一種入侵。如果研究出確定掃描來源的技術(shù)，無疑會有效地抑制網(wǎng)絡(luò)入侵行為的發(fā)生。以前所采取的一些辦法大多需要在 29 路由器上安裝特定的軟件以及互聯(lián)網(wǎng)服務(wù)提供商（ Inter Servics Providor,ISP）的大力 協(xié)作。由于網(wǎng)絡(luò)的異構(gòu)性，這種方法收效甚微。目前，正在發(fā)展不依賴與 網(wǎng)絡(luò)服務(wù)商的追蹤技術(shù)，即對于個人入侵者所進行的源自單一主機的掃描，即使它使用了偽裝的 IP 地址，也可以通過一定的方法找出其真正的位置。這樣對網(wǎng)絡(luò)入侵者無疑會產(chǎn)生極大的威懾力，從而有效地保證 網(wǎng)絡(luò)安全。 然而，對于大范圍內(nèi)的有組織的分布式掃描來說，追蹤溯源就顯得極為困難。針對這類攻擊的防御和檢測，將是今后一段時期內(nèi)研究的難點之一。 （ 5） 智能入侵檢測技術(shù) 將方法引入入侵檢測，用智能推理技術(shù)取代簡單的匹配策略，可以發(fā)現(xiàn)大量數(shù)據(jù)包中的潛在聯(lián)系，減小漏報率。這也是當前入侵監(jiān)測系統(tǒng)的發(fā)展方向之一。 基于 ICMP 的網(wǎng)絡(luò)掃描及其在操作系統(tǒng)之別中的應(yīng)用 目前網(wǎng)絡(luò)掃描的目的已不在局限與 找到打 開 的端口，而是對操作系統(tǒng)進行指紋識別，以檢測出目標主機的操作系統(tǒng)種類及其版本，為攻擊提供信息。當前流行的掃描技術(shù)分為兩大類： TCP 技術(shù)和 ICMP 技術(shù)。目前，對于 TCP 技術(shù)的研究已經(jīng)比較深入；在對操作系統(tǒng)進行識別的過程中， ICMP 技術(shù)的應(yīng)用也逐漸收到重視。 網(wǎng)絡(luò)掃描可分為三個層次：探測目標主機是否存活；探測目標主機的操作系統(tǒng)；識別某個應(yīng)用程序或特定服務(wù)的版本號。 （ 1） 利用 ICMP 進行主機檢測 主機檢測的目的首先是探測主機是否存活，然后再進一步驗證主機上可能運行的協(xié)議。利用 ICMP 進行主機探測時，應(yīng)根據(jù)不同的情況分別采用不同的方式：對于單一主機最常采用的是“ Ping”；對多個主機是 Fping(Fast Ping)；對一個子網(wǎng)段的所有主機則是發(fā)送廣播的“ Ping”。通過這些方式，如果目標對象沒有回應(yīng)，則說明目標主機存活，否則說明目標主機關(guān)機或者是設(shè)置了防火墻禁止通過。 為驗證主機上可能運行的協(xié)議，在設(shè)計報文時應(yīng)充分利用 IP 頭中的協(xié)議字段。在 IPv4 中 IP 數(shù)據(jù)頭中有一個“協(xié)議域”，它使用一個 8位的代碼來表示上層的協(xié)議。使用這些協(xié)議代碼，可以自主地在原始套接字的 IP 頭的協(xié)議字段中填入?yún)f(xié)議的代碼，從而構(gòu)建特殊的數(shù)據(jù)包并發(fā)往目標主機。根據(jù)返回的情況，可以判斷對方主機是否存活，進一步還可以對對方主機運行 的協(xié)議進行識別。 （ 2） 操作系統(tǒng)指紋識別 對入侵者來說，如果成功獲取了目標主機操作系統(tǒng)的類型信息，就可以根據(jù)該操作系統(tǒng)的漏洞進行逐一試探，這樣可節(jié)約大量時間，也提高了掃描的效率和 30 準確性。識別操作系統(tǒng)的方法有很多，目前比較流行也比較復(fù)雜的操作系統(tǒng)探測技術(shù)是基于 TCP/IP 的協(xié)議棧的指紋鑒定方法。該方法根據(jù)不同的操作系統(tǒng)對于協(xié)議定義存在的細微差別來識別操作系統(tǒng)的類型信息。根據(jù)實現(xiàn)方式的不同，可以將其劃分為主動探測和被動探測兩類。 主動探測是指源主機向目標主機發(fā)送特定的數(shù)據(jù)包，這些數(shù)據(jù)包的某些字段含有操 作系統(tǒng)的特征，然后檢測返回的數(shù)據(jù)包，根據(jù)其中相應(yīng)字段的值，并參照已有的操作系統(tǒng)指紋數(shù)據(jù)庫，就可以將操作系統(tǒng)歸類或者惟一確定。 在被動操作系統(tǒng)探測中，源主機不需要主動發(fā)送探測數(shù)據(jù)包，而是被動地捕獲目標主機發(fā)送和接受報文，通過檢測相應(yīng)字段的值，再查詢指紋數(shù)據(jù)庫找出相匹配的操作系統(tǒng)類型。 這兩種方法在實現(xiàn)機制上雖不一致，但在對數(shù)據(jù)包的處理和分析上有著相同的地方。在技術(shù)上主要可分為 TCP 技術(shù)和 ICMP 技術(shù)。后者和前者比，具有以下的優(yōu)先：識別性能高，特別是在識別 Windows 操作系統(tǒng)上非常精確；實現(xiàn)方 式簡單，只需發(fā)送幾個在邏輯上相互關(guān)聯(lián)的數(shù)據(jù)包即可。實驗情況表明，發(fā)送數(shù)據(jù)包的數(shù)目通常不會超過 4 個。 （ 3） 防止利用 ICMP 進行網(wǎng)絡(luò)掃描的方法 利用 ICMP 進行網(wǎng)絡(luò)掃描和操作系統(tǒng)識別比使用 TCP 的識別技術(shù)有很大的優(yōu)勢，但并非沒有防范的方法。目前，主要可以采用 以 下幾種方法解決這一問題。 關(guān)閉不必要的服務(wù)，在收到一些類似掃描或者其它無用的數(shù)據(jù)包之后，直接丟棄，不做任何處理。 利用專用的系統(tǒng)，對收到的數(shù)據(jù)包進行處理。對掃描器發(fā)出的數(shù)據(jù)包，不按照正常的方式進行回送，迷惑掃描者。 重寫協(xié)議棧。這是最復(fù) 雜，同時也是最根本的方法。現(xiàn)有協(xié)議棧的實現(xiàn)只注重安全、高效的數(shù)據(jù)傳輸，而沒有注意到網(wǎng)絡(luò)安全的問題。重寫協(xié)議棧，將安全、反掃描作為其中的一個目標，可以從根本上解決這一問題。 網(wǎng)絡(luò)嗅探 嗅探器（ Sniffer）攻擊也是網(wǎng)絡(luò)上非常流行的一種攻擊手段。對于入侵者來說，一個放置很好的嗅探器就是一個巨大的寶藏，能夠從中得到成千上萬條有用信息。 嗅探器是一種能夠捕捉網(wǎng)絡(luò)報文的設(shè)備。通用網(wǎng)絡(luò)公司最早開發(fā)了一個能夠捕捉網(wǎng)絡(luò)報文的程序，稱為 Sniffer。后來 Sniffer 就成為了各種嗅探器的代名詞。 嗅探器可用 來分析網(wǎng)絡(luò)的流量，磅值找出網(wǎng)絡(luò)中潛在的問題。網(wǎng)絡(luò)管理員可 31 以通過嗅探器對網(wǎng)絡(luò)的運行狀態(tài)做出分析，從而解決網(wǎng)絡(luò)通信中的各種問題。 但是，由于嗅探器可以捕獲網(wǎng)絡(luò)報文，引起它對網(wǎng)絡(luò)安全也可能產(chǎn)生巨大的危害。例如，通過嗅探器可以捕獲網(wǎng)絡(luò)中傳輸?shù)目诹畹葯C密信息，故可幫助入侵者獲取更高的權(quán)限。 嗅探器并不是萬能的，并非有了嗅探器就 可以得到網(wǎng)絡(luò)上傳輸?shù)乃行畔?。其實，嗅探器的工作很大程度上依賴與 目前小型局域網(wǎng)及網(wǎng)絡(luò)設(shè)備的工作方式。由于嗅探器通常是安裝在某一臺主機上的，它能接受到本機網(wǎng)絡(luò)接口上所能接收到的報文，因此，要想使嗅 探器能夠獲取本網(wǎng)絡(luò)上的所有報文，應(yīng)必須具有以下幾個條件： （ 1） 共享式網(wǎng)絡(luò)（即網(wǎng)絡(luò)中使用的是共享式集線器）； （ 2） 網(wǎng)絡(luò)適配器的接受方式為混雜模式（即不僅接受發(fā)往本機的數(shù)據(jù)包，而且接受發(fā)往其它機器的數(shù)據(jù)包）； （ 3） 安裝有嗅探軟件。 嗅探器運行在網(wǎng)絡(luò)的底層。通常，非法使用嗅探器是入侵者在網(wǎng)絡(luò)中進行欺騙或者進行其它攻擊行為的開始。 例如，目前網(wǎng)絡(luò)上存在的大量未經(jīng)加密的信息，嗅探器很容易捕獲到明文傳送的用戶名和密碼等信息。從而造成更嚴重的破壞。 又如，通過記錄兩臺電腦主機之間的網(wǎng)絡(luò)接口地址、 IP 地址、