网络漏洞扫描系统的研究与设计

1、第19卷第10期文章编号:100325850(2006)1020027203电脑开发与应用(总641)27网络漏洞扫描系统的研究与设计TheResearchandDesignofNetworkVulnerabilityScanningSystem康峰(太原理工大学太原030024)【摘要】网络漏洞扫描系四类重要安全工具之一,介绍了其基本概念,并在此基础上提出一个网络漏洞扫描系统模型,该系统的客户端采取远程登录、申请漏洞扫描,然后服务器端启动扫描引擎对目标系统进行扫描。该系统高效、准确、可扩展。【关键词】漏洞扫描,网络安全,扫描插件中图分类号:TP393.08文献标识码:A.Thebasicco

2、nceptionsofvulnerabilityandvulnerabilityABSTRACTNetworkVulnerabilityScanningisoneoffoursecuritytoolsscanningtechnologyareintroducedinthispaperatfirst.Andthenbasedonscanningtheory,akindofnetworkvulnerabilityscan2ningsystemmodelisputforward.Inthesystem,theclientterminalcanremotelylogintoapplyvulnerabi

3、litycanningandtheserv2erterminalstartsscanningenginetoscantheobjectsystem.Thissystemshowsthehighefficiency,accuracyandextensibilityofvulnerabilityscanning.KEYWORDSvulnerabilityscanning,networksecurity,scanningplug2in现阶段,网络信息系统日益复杂,网络应用也越来越丰富,网络安全方面暴露的问题也越来越多,引起世界各国的高度重视。计算机安全包括物理安全和逻辑安全,护以免被破坏或丢失,漏洞

4、肆意入侵系统,轻易地进行网上攻击1。1.2漏洞扫描技术分类,可以分为静,根据安全漏洞数据,信息。扫描程序在扫描过程中逐项于检测表进行比较,以发现目标的系统类型,可能存在的漏洞情况。动态扫描,利用各种脚本或程序,去检测目标系统和网络是否存在漏洞。1漏洞扫描技术1.1漏洞及其分类漏洞是指在计算机系统中硬件、软件及协议的具体实现或系统安全策略上存在安全方面的缺陷,从而使攻击者可以非法入侵系统或未经授权访问或破坏系统2。漏洞可以按照其对受害主机的危险程度分为四个级别:一级漏洞能够使远程主机上的恶意入侵者获得有限的访问权限或root权限,从而控制整个系统,对系统中的数据进行非法访问、篡改和破坏。二级漏洞

5、是指允许本地用户获得增加的和非授权的访问,如读取、写或执行系统上的非根用户文件。三级漏洞是指允许拒绝服务的漏洞,用户不能对文件和程序进行访问。四级漏洞是指允许远程用户获取目标主机上的某些信息,但是不会对系统造成危害3。32006201211收到,2006208221改回33康峰,男,1980年生,在读硕士,研究方向:网络安全技术。一个端口就是一个潜在的通信通道,也是一个入侵通道。对目标主机进行端口扫描能得到许多有用的信息。TCPconnect()扫描;TCPSYN扫描;秘密扫描;间接扫描;28(总642)认证扫描;代理扫描;IP分段扫描;网络漏洞扫描系统的研究与设计2006年OS识别是入侵或安

6、全检测需要收集的重要信息,是分析漏洞和各种安全隐患的基础。只有确定了远程主机的操作系统类型、版本,才能够对其安全状况作进一步的评估。主动协议栈指纹识别a.FIN探测;b.BOGUS标记探测;c.ISN采样探测;d.TCP初始窗口的大小检测;e.TCP可选项探测;f.ACK值探测;211客户端客户端主要有四个模块:用户界面模块,用来向客户提供人性化的服务界面,方便客户使用本漏洞扫描系统。服务信息库,用来记录服务器端的主要信息,如:服务器地址,服务类型等。客户通过服务信息库可以选择适合自己需要的扫描。扫描结果库,用来存放每一个近期扫描过的目标主机的扫描结果,以便在短时间内重复扫描同一个目标时,与所

7、得结果进行比较,从而得到完整、可靠的扫描结果和生成权威的评估报告。同时。评估规则,以方便网络管理员资深的管理员可以根据经验对,来满足自己的需要。该库具有良好的扩展性,管理员可以向其中增加评估规则,系统的评估能力将增强。212服务器端被动协议栈指纹识别被动协议栈指纹识别在原理上和主动协议栈指纹识别相似,但是它从不主动发送数据包,只是被动地捕获远程主机返回的包来分析其OS类型(),可以从4个方面着手:a.TTL值;b.WindowSize;c.DF可以查看操作系统是否设置了不准分片位;d.TOS操作系统是否设置了服务类型。服务器端也主要有四个模块:扫描引擎,在客户端发来扫描需求后,对目标主机进行漏

8、洞扫描,并将扫描结果返回到客户端。用户信息库,服务器自动产生一个服务证书发给每个客户,并为每个客户建立一个用户信息表,使客户必须先连接到服务器端,系统才会为其进行扫描服务。为了保证连接的安全性,客户信息库可通过各种密钥方法产生服务证书。扫描引擎接收到客户端命令如表1。扫描结果库,服务器端的扫描结果库用来记录每个用户的每次扫描结果及其扫描过程的各种特征。系统可以调用扫描结果库中的某些结果来为新的扫描过程进行铺垫,避免了扫描服务的重复工作。同时,系统可以将结果发到其他漏洞扫描服务商处,实现资源共享。扫描插件库,这是系统的主要部分,系统通过调用此库中的漏洞扫描脚本,利用模拟攻击的方式形成一个漏洞扫描

9、插件。部分脚本标记如表2。这些插件提供统一的接口,为扫描模块调用提供方便,扩展性强。这些插件用C或者NASL语言编写,在客户端按照分类让用户进行选择,并且每个插件的返回信息定义了其扫描漏洞的危害程度,以便提醒客户。(下转第40页)另外,分布式扫描技术、扩展扫描技术、智能扫描(具有自学习能力的渐进式扫描)技术等也是比较常见的漏洞扫描技术4。2基于网络的漏洞扫描系统设计网络漏洞扫描就是扫描制定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,模拟黑客攻击以测试系统的防御能力,并找出补救办法,从而使系统更加安全可靠。鉴于网络的发展及安全方面的考虑,本系统设计采用了Cϗ

10、255;整个系S模型。统的逻辑关系如图1所示。服务器与客户端使用证书认证连接,系统对每个漏洞的扫描设计成一个扫描插件放在服务器端的扫描插件库,可供扫描服务时使用。客户端指定服务器的扫描插件对目标主机进行扫描,得到扫描报告可以通过加密数据包发送回目标主机,还可以配置相关的评估规则库来完成对目标主机整体安全的风险评估。下面给出各个部件具体设计及执行过程。40(总654)表1系统部分性能指标服务器NAT2PT1NAT2PT2一种适应于NAT2PT簇的负载平衡方法2006年接口CPU缓冲利用区利率用率33%37%63已使用的内存(B)网络I󰃗O(B)绑定丢包地址数数002420地实现了

11、NAT2PT簇的负载平衡,合理地解决了单一NAT2PT的负载过重的问题。1232424229122732173从表1可知两个NAT2PT工作状况基本相似,负载基本上被均衡地分配到两个NAT2PT上,达到了负载平衡的目的。5结束语本文在解决单一NAT2PT存在的缺点时,首先,通过合理设计以DNS2ALG作为负载调度器的硬件体系结构;其次,根据各节点之间信息交换的结构设计系统软件结构;再次,根据NAT2PT簇的特性给出了负载平衡算法;最终,实验表明本文设计得系统比较良好(上接第28页)456参考文献TsirtsisG.NetworkAddressTranslation2ProtocolTransl

12、ation(NAT2PT)S.RFC2766,2000.NordmarkE.StatelessIP󰃗ICMPtranslationalgo2rithm(SIIT)S.RFC2765,2000.SrisureshP,HoldregeM.IPnetworkaddresstransla2tor(NAT)terminologyandconsider2ationsS.RFC2663,1999.YanjunFeng.LoadbalanceandfaulttoleranceinNAT2PTJ.IEEE2003,12:195721961.HahmeEL,ChoudhuryAK.Dynamicq

13、ueuelength.IEEE󰃗thresholdformulitiplelossprioritiesACMTransNetworkingJ12002,10(3):3682380ShimonishiH,YoshidaM.AnimprovementofweightedroundrobincellschedulinginATMnet2woiksJ.IEEE1997(2),111921123.表1客户端命令表命令字段SESSIONDELETESESSIONRESTOREFILSTOPDETACHEDATTACHED处理程序向客户端发送会话信息删除用户指定的会话5。漏洞扫描,从而,。参

14、考文献12345付博文.网络漏洞扫描器的设计与实现:硕士论文.华南理工大学,2003.(4):35239.脚本标记Scriptid()Scriptscantype()()()功能脚本扫描标记脚本扫描类型3总结与展望网络漏洞扫描软件与防火墙、入侵监测系统和防(上接第37页)DeviceIoControl(hDevice,PCIDRIVERNULL,NULL,bufOutput,512,&nOutput,NULL);CloseHandle(hDevice);IOCTLRead,线高速进入计算机,并可在高级编程语言中对获取到的数据进行处理。当然也可将应用程序处理后的数据通过PCI总线设备输出到计算机外部。而由于PCI总线的高速、资源自动配置等优点,已在许多领域得到了广泛的应用。12参考文献李贵山,陈金鹏.PCI局部总线及其应用M.西安:西安电子科技大学出版社,2003.WalterOney.ProgrammingtheMicrosoftW