网络安全维护中安全扫描技术的运用
网络安全 2022-02-20 10:45www.168986.cn网络安全知识
计算机网络的广泛应用一方面给人们的工作、学习、生产、生活等诸多方面带来了方便,另一方面由于网络本身的开放性、复杂性等多种原因,计算机网络又存在着很多不安全的因素。其中有那么一部分人通过网络攫取有价值的信息获得非法利益,给其他企事业单位或个人造成损失,人们称他们为黑客。而黑客在获取信息的第一步常常是对目标主机进行扫描,通过扫描获取漏洞,对下一步实施非法目的做准备。而作为网络管理人员也可以通过扫描技术提前发现系统中的问题,提前做好防护未雨绸缪避免入侵者攻击,这样就可以大大提高网络的安全保护。
关键词 : 主机扫描;端口扫描;漏洞;弱口令;
1 、网络安全扫描
网络安全扫描是使用专门的扫描工具对目标主机进行检测发现可能存在的漏洞,根据扫描得到的结果进行分析,提出解决方案为网络安全体系建设打下良好的基础。
网络扫描工具有很多如Nmap,Xray,X-scan,Fluxay,SuperScan等。每款扫描工具都具有自己的特色,在使用的过程中可以结合使用。
2、 主机扫描
网络入侵者在获得目标主机的IP地址范围后,进行网络攻击的第一步常常是先使用扫描工具对目标主机范围进行扫描,在不同的时间段对不同的主机进行判断哪些主机一直在活动,哪些主机是间或性的活动,然后再进一步调查,就能区分出活动主机的大致角色,因为一般主机白天是活动的,夜晚一般是不活动的,而服务器一般是一直工作的。确定目标主机后进而扫描目标主机系统的漏洞,根据漏洞的特点进行有针对性的攻击。而网络管理者可以利用扫描得到的结果及时发现系统存在的漏洞及时采取相应的补救措施,免受入侵者攻击。
活动主机探测常使用的方法主要有:
2.1、 ICMP Ping
根据ping命令的工作原理,通过向目标主机发送ICMP的echo request报文,从目标主机获得ICMP reply应答报文,判断目标主机的活动状态。这种方法简单易行,但是如果目标主机的防火墙禁止ICMP包通过的话ICMP ping就不起作用了。
2.2 、TCP YSN Ping
这种扫描的工作原理是攻击者向目标主机的常用端口发送标志位为SYN的TCP报文,目标主机如果是活动状态,就会返回标志位为SYN|ACK或RST的报文。目标主机在活动的状态时,如果这个端口是关闭状态,目标主机就会返回RST报文;反之目标主机就返回SYN|ACK报文。但是这种探测的权限必须是ROOT才能构造和发送SYN数据包,并且在防火墙没有封锁SYN数据包的情况下才能实施。
2.3 、TCP ACK ping
这种探测方式是向目标主机的常用端口发送标志位为ACK的TCP报文,如果目标主机是活动状态,无论这个常用端口使打开还是关闭,都返回标志位为RST的TCP报文。这种方式也必须用户ROOT权限且防火墙不过滤ACK报文。
1.png
2.4 、UDP Ping
这种探测方式是向目标主机的指定端口发送ICMP包,如果目标主机处于活动状态,并且所指定端口关闭,目标主机就会返回ICMP端口不可达;否则忽略这个报文不做任何回应。这种探测方法可以穿越只过滤TCP的防火墙。
2.5 、防御策略
扫描工具类型繁多,但其基本的工作原理基本上都是使用ping命令来完成的,所以在防御主机扫描的策略上我们可以在主机系统、防火墙、路由器等上禁用Ping的方法来防止入侵者的扫描。
3 、端口扫描
3.1 、端口
端口是一个抽象的软件结构,在传输层中使用16比特的二进制数来表示不同的端口号从0到65535,TCP、UDP各有65536个端口号。不同的服务使用不同的端口号来进行区分。从0-1023分配给一些常用的应用程序使用,比如21,25,80等。
3.2 、端口扫描概念及常用方法
端口扫描就是对一段端口或指定的端口进行扫描,来判断目标主机某些服务的运行状态。其工作原理是使用TCP/IP协议向目标主机的某一端口提出建立连接的请求并记录目标系统的应答。
端口扫描常用的方法主要有:
(1)TCP connect()扫描;
(2)TCP SYN扫描;
(3)TCP FIN扫描;
(4)XMAS扫描;
(5)空扫描;
(6)ACK扫描。
对于UDP协议,如果UDP端口打开,则没有应答报文;如果端口关闭,则有TCMP报文。通过观察响应报文就可以知道目标端口是什么状态了。
3.3、 端口扫描的原理
端口扫描是向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是活动还是关闭,从而得知端口提供的服务或信息。获得目标主机的端口开放情况,通过查询端口对应的服务,就可以知道目标主机服务开放的情况。进而为进一步的网络入侵奠定基础。
3.4 、端口扫描的防御
端口扫描的防御措施一般是通过安装设置防火墙防范被攻击的端口,具体方法是屏蔽一些没有用到的端口,关闭一些危险的端口等。对于网络管理者提前使用安全扫描工具对系统做一个全方位的扫描对危险因素进行评估,堵上发现的漏洞加固系统的安全。
4、 Web漏洞扫描
Web服务器的主要功能是提供网上信息浏览服务,该服务是互联网上应用最为广泛的服务。随着互联网上的Web服务器数量和网民的快速增长,许多互联网用户出于好奇或别有用心,针对Web服务器漏洞,不停地窥视其他用户的网上资源。由此导致的Web安全事件数不胜数,解决Web服务器安全问题已迫在眉睫。
4.1、 工作原理
Web漏洞扫描方法主要有信息获取和模拟攻击两种。信息获取就是通过与目标主机的http服务端口发送连接请求,记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与http协议相关状态码和预定义返回信息做匹配,如果匹配条件则视为漏洞存在。模拟攻击就是通过使用模拟黑客攻击方法,对目标主机Web系统进行攻击的安全漏洞扫描,比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查,从而发现系统的漏洞。
4.2、 Web服务器存在的主要漏洞
目前Web服务器主要存在的漏洞有:
(1)物理路径泄露;
(2)CGI源代码泄露;
(3)目录遍历;
(4)执行任意命令
(5)缓冲区溢出;
(6)拒绝服务;
(7)条件竞争;
(8)跨站脚本执行漏洞;
(9)SQL注入等。
4.3 、应对措施
由于Web服务器的特殊情况,Web安全管理一直是网络管理者面临的难题。针对其安全管理,业界提出了许多参考意见,主要有:
(1)及时更新服务器补丁程序;
(2)合理配置Web服务器安全策略;
(3)合理配置用户权限;
(4)加强脚本安全的管理。
5 、FTP弱口令扫描
5.1、 FTP概念
FTP全称为File Transfer Protocol(文件传输协议),是用来进行文件传输的协议。支持文件传输的服务器就叫做FTP服务器。FTP服务是基于C/S结构的,用户通过一个支持FTP协议的客户端程序,连接到在远程主机上的FTP服务器程序,实现文件的上传和下载。一般来说,使用FTP时必须首先登录,在远程主机上获得相应的权限以后,方可上传或下载文件。而要保护服务器,就要从保护其登录口令的安全做起。
5.2 、工作原理
一般攻击者常常通过暴力破解、密码嗅探和社会工程学等方法来获取用户的口令。暴力破解最基本的方法就是穷举法和字典法,穷举法就是将字符或数字等按照穷举的规则生成口令字符串,进行遍历尝试,是效率最低的方法,在口令稍微复杂或者长一点的情况下,此方法的破解速度很慢。字典法是根据口令字典中事先定义好的常用字符去尝试匹配口令,口令文件是一个很大的文本文件,可以通过自己编辑或者由字典工具自动生成,里面包含了单词或者数字组合,有经验的攻击者往往会事先获取受害者的信息,比如生日、电话号码、宠物名等,进而将它们进行组合。
5.3 、应对措施
对于FTP弱口令的防御策略主要有:
(1)不使用空密码或系统缺省密码;
(2)密码长度不小于8位;
(3)密码不应该用连续的某个字符或重复某些字符组合;
(4)密码应该是大写字母、小写字母、数字和特殊字符的组合;
(5)密码中不应该包含本人、父母、子女和配偶的姓名和出生日期、纪念日等;
(6)密码应该是易记且可以快速输入,防止他人轻易看到;
(7)至少90天内更换一次密码,防止入侵者继续使用该密码。
6、 结束语
扫描技术的发展是随着网络的普及和黑客手段的逐步发展而发展起来的,扫描技术的发展史也就是一部网络普及史和黑客技术发展史。安全扫描是为了发现系统存在的漏洞,提醒网络管理员及时采取补救措施,防御攻击者的入侵攻击。攻击和防御其实是一个相互对立和相互促进的两个方面。对于网络管理者来看,要尽可能发现可能存在的漏洞,在被攻击之前就将其修补好。这促使了安全扫描技术的进一步发展。
上一篇:网络扫描与防御技术
下一篇:新闻单位的内外网安全漏洞防范策略