网络安全扫描工具的分析与比较.doc

网络安全扫描工具的分析与比较the discussion of network security scanners摘 要：文章主要分析、比较和介绍了当前流行的端口扫描和网络弱点扫描技术及工具，并针对不同类型的扫描工具进行了测试比较工作。关键字：网络安全、端口扫描、扫描工具abstract: in this paper, the prevailing technices and tools of port scanners and network vulnerability scanners are analyzed and compared, and all kinds of these tools are tested.keywords: network security，port-scan，scanner1 引言internet的飞速发展给人们的生活、工作带来了巨大的方便，但同时，也带来了一些不容忽视的问题，网络信息的安全保密问题就是其中之一。研究分析指出，网络的开放性以及黑客的攻击是造成网络不安全的主要原因。黑客入侵网络的过程一般是首先利用扫描工具搜集目标主机或网络的详细信息，进而发现目标系统的漏洞或脆弱点，然后根据脆弱点的位置、详细说明展开攻击。安全管理员可以利用扫描工具的扫描结果信息及时发现系统漏洞并采取相应的补救措施，免受入侵者攻击。因此检测和消除系统中存在的弱点成为安全研究人员的重要课题。2 扫描工具的分析及比较 从扫描过程来看，网络安全扫描工具大体上可分为网络ping扫射，端口扫描，弱点扫描几种类型。本文分别对它们进行分析比较及测试。测试工作主要围绕以下指标来进行。准确性：扫描结果准确率达到95%以上。高速性：扫描工具能快速完成对中大规模目标网络的扫描。健壮性：扫描工具能绕过目标网络的边界路由器或防火墙的检测。彻底性：扫描工具具备扫描任意端口任意服务的能力。易扩展性：扫描代码与漏洞数据分离，便于用户自行对扫描工具进行更新。21网络ping扫射映射出一个真实网络的最基本步骤之一是在某个ip地址和网络块范围内执行一轮自动的ping扫射，以此确定某个具体的系统是否存活着。2.1.1 工作原理传统意义上ping用于向目标系统发送icmp回射请求分组（icmp类型为8），并期待表明目标系统存活着的回射应答分组（icmp类型为0）。对于大型网络这种方式的效率是极其低下的。ping扫射工具以并行的轮转形式发出大量的ping请求来提高扫描速度。2.1.2 工具比较 通过分析并在linux下测试fping、gping、icmpenum几种ping扫射工具，发现icmpenum具有如下优势：完成对一个目标网络的扫射速度更快；在icmp echo分组被阻塞时，可以通过发送icmp time stamp request 或icmp info分组绕过边界路由器或防火墙；使用伪装分组绕过检测以确认系统是否存活。22 端口扫描端口扫描器在目标系统一系列端口上运行以了解tcp端口的分配及提供的服务和它们的软件版本，这使安全管理员能间接地或直观地了解到远程主机所存在的安全问题。2.2.1 工作原理端口扫描是连接到目标系统的tcp和udp端口上以确定哪些服务正在运行即处于监听状态的过程。使用端口扫描器对目标系统执行端口扫描时至少能达到以下目的：标识运行在目标系统上的tcp和udp服务；标识目标系统的操作系统类型；标识特定应用程序或特定服务的版本。常见的扫描方法有tcp connect（）、tcp syn、tcp fin、tcp ack及udp扫描等等。2.2.2 工具比较strobe：strobe是最快最可靠的tcp扫描程序之一。strobe的关键特性包括优化系统和网络资源以及按照一种高效的方式扫描目标系统的能力。另外它还能获得所连接的每个端口的关联旗标，这有助于标识操作系统和运行着的服务。但是strobe依然存在以下不足之处：不提供udp扫描能力；strobe只采用tcp connect扫描技巧，这尽管增加了strobe的可靠性，但也使端口扫描活动易于被目标系统检测到。netcat：netcat提供了基本的tcp和udp端口扫描能力，并且可以产生详细的输出报告。但netcat不具有隐蔽扫描的能力。nmap：提供基本的tcp和udp扫描能力，集成了几乎所有的扫描技巧。以下是namp扫描工具所具有的独特优势。 1、nmap提供了扫描整个网络的简易手段。 2、可把分组划分成片段，实质上是把tcp头部分割到若干个分组中，从而有可能给访问控制设备或ids系统增加检测出扫描的难度。 3、nmap提供的欺骗性扫描能力使目标站点不易区分真实的和虚假的端口扫描。 4、提供了ftp弹射扫描及ident扫描能力。5、利用协议栈指纹技术识别远程主机操作系统类型：由于不同厂家的tcp/ip协议栈实现存在许多细微差别，通过探测这些差异，对目标系统的操作系统类型进行合理猜测是可行的。nmap包含了很多的操作系统探测技术，它定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入，nmap指纹数据库是不断增长的，它能识别的操作系统也越来越多。nmap探测目标主机操作系统的能力及准确性已在测试中得到证实。 2.2.3 测试结果 在linux平台下安装并运行strobe、netcat、nmap几种扫描工具，从测试结果可以看到，nmap是一种理想的扫描工具。它的并行扫描技术保证了nmap扫描的高速性；全面的扫描方法保证了nmap扫描的健壮性、彻底性；探测操作系统的指纹模板技术使它具有良好的易扩展性。测试结果如表一。表一 端口扫描工具对照表扫描程序tcpudp隐蔽性strobeyesnononetcatyesyesnonmapyesyesyes23 弱点扫描弱点扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。与其它端口扫描器一样，它们查询端口并记录返回结果。网络弱点扫描系统根据所定义的漏洞列表对目标系统的弱点信息进行收集，比较和分析，一旦发现目标主机漏洞便提交报告给用户，并说明如何利用该漏洞以及如何对该漏洞进行修补。一个好的弱点扫描器能成功获得关于目标系统安全脆弱点的详细信息和提供修补这些脆弱点应采取的措施，这些信息对于安全管理员维护本网络的安全至关重要。2.3.1 工具比较sara：sara（security administrators research assistant）通过浏览器使用http gui进行配置，运行并产生报告。它通过对系统的脆弱点进行分类来完成对目标主机的漏洞检测。satan：satan主要是用c和perl语言编写，为了用户界面的友好性还用了一些html技术。它对大多数已知的漏洞进行扫描，发现漏洞便提交报告给用户，说明如何利用该漏洞以及如何对该漏洞进行修补。nessus：nessus是法国人renaud derasion编写的。它具有如下特色：采用客户/服务器体系结构，客户端提供了运行在x window下的图形界面，接受用户的命令与服务器通信，传送用户的扫描请求给服务器端，由服务器启动扫描并将扫描结果呈现给用户；扫描代码与漏洞数据相互独立，nessus针对每一个漏洞有一个对应的插件，漏洞插件是用nasl(nessus attack scripting language)编写的一小段模拟攻击漏洞的代码，这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新；nessus具有扫描任意端口任意服务的能力；以用户指定的格式（ascii 文本、html等）产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。2.3.2 测试结果测试目的：两台目标主机分别运行windows nt，linux操作系统，并分别在其上安装已公布的安全脆弱点。通过观察三种linux下的扫描器nessus，sara、satan在对目标系统进行扫描时的运行情况及扫描结果对它们的性能做出一个简单的比较。测试环境：弱点扫描工具运行在linux平台下；目标主机1运行windows nt,存在coldfusion sample scripts、 rds 、 iis sample scripts、 null sessions allowed等已知安全漏洞；目标主机2运行linux，存在wu-ftpd buffer overflow、nfs root export、guest accountno passward、bind nxt buffer overflow等已知安全漏洞；在准备换用另一种扫描工具对目标主机进行扫描时，目标系统重新启动。结果报告：从测试结果可以看到nessus是极其优秀的弱点扫描工具。它不仅能检测出目标系统存在的安全漏洞，而且扫描结果报告准确、清晰。值得一提的是为了提高扫描速度，nessus采用了kb(knowledgebase)技术，即把扫描过的主机信息存储起来为再次扫描该主机提供信息，这对于维护本网安全的管理员来说是极其有价值的。nessus利用漏洞插件的机制也使它具有易扩展性。表二是弱点扫描工具的一个测试结果。（yesno表示结果报告模棱两可）表二 弱点扫描工具测试结果nessussarasatanwindows ntcold fusion sample scriptsyesnoyesnoiis sample scriptsyesyesnoyesnords vulnerabilityyesyesyesnull sessions allowedyesnonoredhat linuxwu-ftpd buffer overflowyesyesyesnfs root exportyesnonoguestacountnopasswardyesyesyesbind nxt buffer overflowyesyesnoyes3 结束语随着internet的高速发展，网络安全维护已成为当前的研究热点。通过网络安全扫描工具在系统发生安全事故之前对其进行预防性检查，及时发现系统漏洞并予以解决不失为一种很好网络安全维护手段。本文详细分析了现今网络中流行的安全扫描工具的工作原理和特点并通过测试分析和比较了它们的优缺点。借此帮助网络安全维护人员对网络安全扫描工具有一个比较深入的了解，对网络安全维护