最新什么是漏洞扫描网络安全技术漏洞扫描1引言网洛扫瞄,是基于Internetde、探测远端网洛或主机信息de一种技术,也是保证系统和网洛安全必不可少de一种手段。主机扫瞄,是指对计算机主机或者其它网洛设备进行安全性检测,以找出安全隐患和系统漏洞。总体而言,网洛扫瞄和主机扫瞄都可归入漏洞扫瞄一类。漏洞扫瞄本质上是一把双刃剑:黑客利用它来寻找对网洛或系统发起攻击de途径,而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫瞄,扫瞄者能够发现远端网洛或主机de配置信息、TCP/UDP端口de分配、提供de网洛服务、服务器de具体信息等。2漏洞扫瞄原理漏洞扫瞄可以划分为ping扫瞄、端口扫瞄、OS探测、脆弱点探测、防火墙扫瞄五种主要技术,每种技术实现de目标和运用de原理各不相同。按照TCP/IP协议簇de结构,ping扫瞄工作在互联网洛层:端口扫瞄、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网洛层、传输层、应用层。ping扫瞄确定目标主机deIP地址,端口扫瞄探测目标主机所开放de端口,然后基于端口扫瞄de结果,进行OS探测和脆弱点扫瞄。2.1Ping扫瞄ping扫瞄是指侦测主机IP地址de扫瞄。ping扫瞄de第1页共10页目de,就是确认目标主机deTCP/IP网洛是否联通,即扫瞄deIP地址是否分配了主机。对没有任何预知信息de黑客而言,ping扫瞄是进行漏洞扫瞄及入侵de第一步;对已经了解网洛整体IP划分de网洛安全人员来讲,也可以借助ping扫瞄,对主机deIP分配有一个精确de定位。大体上,ping扫瞄是基于ICMP协议de。其主要思想,就是构造一个ICMP包,发送给目标主机,从得到de响应来进行判断。根据构造ICMP包de不同,分为ECH0扫瞄和non—ECHO扫瞄两种。2.1.1ECH0扫瞄向目标IP地址发送一个ICMPECHOREQUEST(ICMPtype8)de包,等待是否收至UICMPECHOREPLY(ICMPtype0)。如果收到了ICMPECHOREPLY,就表示目标IP上存在主机,否则就说明没有主机。值得注意de是,如果目标网洛上de防火墙配置为阻止ICMPECH0流量,ECH0扫瞄不能真实反映目标IP上是否存在主机。此外,如果向广播地址发送ICMPECHOREQUEST,网洛中deunix主机会响应该请求,而windows主机不会生成响应,这也可以用来进行OS探测。2.1.2non-ECH0扫瞄向目deIP地址发送一个ICMPTIMESTAMPREQUEST(ICMPtypel3),或ICMPADDRESSMASKREQUEST(ICMPtypel7)de包,根据是否收到响应,可以确定目de主机是否存在。当目标网洛上de防火墙配置为阻止ICMPECH0流量时,则可以用non.ECH0扫瞄来进第2页共10页行主机探测。2.2端口扫瞄端口扫瞄用来探测主机所开放de端口。端口扫瞄通常只做最简单de端口联通性测试,不做进一步de数据分析,因此比较适合进行大范围de扫瞄:对指定IP地址进行某个端口值段de扫瞄,或者指定端口值对某个IP地址段进行扫瞄。根据端口扫瞄使用de协议,分为TCP扫瞄和UDP扫瞄。2.2.1TCP扫瞄主机间建立TCP连接分三步(也称三次握手):(1)请求端发送一个SYN包,指明打算连接de目de端口。(2)观察目de端返回de包:返回SYN/ACK包,说明目de端口处于侦听状态;返回RST/ACK包,说明目de端口没有侦听,连接重置。(3)若返回SYN/ACK包,则请求端向目de端口发送ACK包完成3次握手,TCP连接建立。根据TCP连接de建立步骤,TCP扫瞄主要包含两种方式:(1)TCP全连接和半连接扫瞄全连接扫瞄通过三次握手,与目de主机建立TCP连接,目de主机delog文件中将记录这次连接。而半连接扫瞄(也称TCPSYN扫瞄)并不完成TCP三次握手de全过程。扫瞄者发送SYN包开始三次握手,等待目de主机de响应。如果收到SYN/ACK包,则说明目标端口处于侦听状态,扫瞄者马上发送RST包,中止三次握手。因为半连接扫瞄并没有建立TCP连接,目de主机delog文件中可能不会记录此扫瞄。(2)TCP隐蔽扫瞄根据TCP协议,处于关闭状态de端口,在收到探测包第3页共10页时会响应RST包,而处于侦听状态de端口则忽略此探测包。根据探测包中各标志位设置de不同,TCP隐蔽扫瞄又分为SYN/ACK扫瞄、FIN扫瞄、XMAS(圣诞树)扫瞄和NULL扫瞄四种。SYN/ACK扫瞄和FIN扫瞄均绕过TCP三次握手过程de第一步,直接给目de端口发送SYN/ACK包或者FIN包。因为TCP是基于连接de协议,目标主机认为发送方在第一步中应该发送deSYN包...
