◆陳志濤 魏杰 張宇輝

（順德職業(yè)技術(shù)學(xué)院 廣東 528300）

網(wǎng)絡(luò)安全已經(jīng)成為全社會關(guān)注的話題，是國家安全的重要組成部分，提高網(wǎng)絡(luò)安全性可以保證人民群眾的信息安全和財產(chǎn)安全。網(wǎng)絡(luò)安全掃描是確保網(wǎng)絡(luò)安全的關(guān)鍵步驟，通過網(wǎng)絡(luò)安全掃描可以及時發(fā)現(xiàn)網(wǎng)絡(luò)主機運行中存在的安全配置問題，對網(wǎng)絡(luò)安全的風(fēng)險等級進行評估，根據(jù)漏洞提出相應(yīng)的解決方案。為了加強網(wǎng)絡(luò)安全掃描技術(shù)的應(yīng)用，本文對網(wǎng)絡(luò)安全掃描的關(guān)鍵技術(shù)進行分析。

1 傳統(tǒng)的網(wǎng)絡(luò)安全掃描技術(shù)

網(wǎng)絡(luò)安全掃描是一種主動的防御技術(shù)，主要是利用掃描器對網(wǎng)絡(luò)服務(wù)器中的端口和軟件信息進行尋找，根據(jù)各種信息判斷是否存在安全漏洞。傳統(tǒng)的網(wǎng)絡(luò)安全掃描技術(shù)主要有以下4種，具體的論述如下：

1.1 弱口令掃描技術(shù)

弱口令安全掃描技術(shù)主要是利用用戶口令強度對口令的安全性能進行評估，如果評估的結(jié)果顯示用戶口令的強度不高則需要發(fā)出警告至網(wǎng)絡(luò)管理員或者是系統(tǒng)的用戶，及時對口令強度進行修改以滿足網(wǎng)絡(luò)安全的需求。在進行弱口令掃描時，主要技術(shù)是運行暴力破解程序。暴力破解是黑客攻擊時通過口令猜測程序?qū)诹钸M行破解，如果用戶的密碼復(fù)雜程度較高則黑客破解時比較困難，這樣可以在一定程度上提高網(wǎng)絡(luò)系統(tǒng)的安全性。

1.2 漏洞掃描技術(shù)

漏洞掃描技術(shù)是對網(wǎng)絡(luò)系統(tǒng)的軟件和硬件基礎(chǔ)設(shè)施或者網(wǎng)絡(luò)安全策略所造成的網(wǎng)絡(luò)安全隱患進行掃描，掃描目標為網(wǎng)絡(luò)參數(shù)配置、網(wǎng)絡(luò)安全協(xié)議、應(yīng)用系統(tǒng)缺陷。在漏洞掃描過程中若存在網(wǎng)絡(luò)安全威脅如未經(jīng)授權(quán)的訪問、破壞網(wǎng)絡(luò)安全的行為等則會發(fā)出警報。網(wǎng)絡(luò)安全漏洞掃描過程中，采用插件技術(shù)方法（利用腳本語言對掃描漏洞程序進行編寫）和漏洞特征匹配方法（掃描程序根據(jù)漏洞類型進行匹配與檢測）。

1.3 端口掃描技術(shù)

端口掃描技術(shù)主要是掃描網(wǎng)絡(luò)中潛在通信通道。掃描的方式主要有兩種，第一種將掃描探測數(shù)據(jù)包發(fā)送至被檢測的目標對象的TCP/IP服務(wù)端口，并記錄相關(guān)的反饋信息，對反饋的信息進行分析判斷以掌握端口運行的數(shù)據(jù)信息；第二種是通過接收網(wǎng)絡(luò)主機/服務(wù)器的數(shù)據(jù)實現(xiàn)主機運行情況的監(jiān)視，數(shù)據(jù)分析過程中及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅。端口掃描的方式包括TCP全連接掃描和TCP半連接掃描兩種。TCP全連接掃描主要包括三個過程階段，一是主機端口的Syn報文發(fā)送，二是端口Syn/Ack信息反饋，三是再向端口發(fā)送Ack報文。TCP半連接掃描的只需開放相關(guān)的權(quán)限就可以實現(xiàn)，不一定實現(xiàn)完全連接，主要流程是通過掃描程序向目標端口發(fā)送Syn報文，通過反饋回來的信息對端口的狀態(tài)如偵聽、關(guān)閉等進行反饋。端口如果是關(guān)閉的狀態(tài)則會回復(fù)RST，如果端口是未關(guān)閉的狀態(tài)則會回復(fù)SYN/ACK。

TCP掃描的優(yōu)點是實現(xiàn)比較簡單，系統(tǒng)中的任何用戶都可以調(diào)用TCP掃描，掃描的速度很快，可以打開多個套接字實現(xiàn)端口的調(diào)用而加速掃描。TCP掃描的缺點是容易被發(fā)現(xiàn)，在主機的日志記錄中留下痕跡，關(guān)閉的速度快。

1.4 操作系統(tǒng)探測技術(shù)

操作系統(tǒng)探測是對操作系統(tǒng)進行檢查的一種手段，通過提高操作系統(tǒng)的安全性來提高網(wǎng)絡(luò)安全性。隨著操作系統(tǒng)的更新?lián)Q代及功能的不斷強大，結(jié)構(gòu)也越來越復(fù)雜，導(dǎo)致操作系統(tǒng)存在的安全隱患。很多黑客在對網(wǎng)絡(luò)進行攻擊時，首先要對操作系統(tǒng)進行攻擊，收集及分析操作系統(tǒng)的相關(guān)信息。因此，需要對操作系統(tǒng)進行安全探測。傳統(tǒng)的探測技術(shù)主要包括TCP/IP協(xié)議棧指紋探測（判定操作系統(tǒng)實現(xiàn)過程中TCP/IP協(xié)議棧差別）和應(yīng)用層探測（通過主機記錄訪問或發(fā)送服務(wù)連接的方式判定操作系統(tǒng)的相關(guān)信息）兩類。TCP/IP協(xié)議棧指紋探測在應(yīng)用過程中包括三個步驟：建立連接、數(shù)據(jù)傳輸、終止連接。

2 基于搜索引擎的非入侵式網(wǎng)絡(luò)安全掃描技術(shù)

隨著計算機技術(shù)的發(fā)展，搜索引擎的功能不斷強大，其類型也呈現(xiàn)出多樣化的發(fā)展趨勢。非入侵式掃描技術(shù)利用搜索引擎的實現(xiàn)主要有以下兩種方法。

2.1 基于通用搜索引擎的非入侵式掃描

“谷歌”的搜索引擎的索引總頁面數(shù)已經(jīng)超過萬億個，“谷歌”黑客技術(shù)就是利用搜索引擎進行安全漏洞的掃描及敏感信息的分析，同時形成了谷歌黑客索引查詢數(shù)據(jù)庫GHDB。此外，還有很多學(xué)者對“谷歌”搜索引擎的網(wǎng)絡(luò)安全掃描技術(shù)進行了分析，黃超在研究中利用GHDB對Web安全漏洞進行掃描，通過谷歌的緩存機制和Alert服務(wù)自動跟蹤搜索結(jié)果，如果存在SQL注入漏洞，則可以利用搜索引擎對服務(wù)端頁面及Web應(yīng)用程序中的漏洞進行檢查。利用端口信息也可以實現(xiàn)搜索引號和服務(wù)關(guān)鍵詞搜索，獲得相應(yīng)的搜索結(jié)果之后與谷歌黑客索引查詢引擎的端口數(shù)據(jù)庫GHDB中的相關(guān)數(shù)據(jù)進行對比，以判定是否存在安全威脅。利用谷歌搜索引擎對網(wǎng)絡(luò)安全進行非入侵式掃描具有操作簡單、掃描隱蔽、掃描目標廣泛等優(yōu)點，但只是對已知的Web漏洞檢測效果好，對于其他類型漏洞的掃描準確性還有必要進一步提升。

2.2 基于專用搜索引擎的非入侵式掃描

網(wǎng)絡(luò)安全搜索引擎的發(fā)展也十分迅速，包括諦聽、Censys、Shodan等，以Shodan為例進行分析。Shodan由美國人創(chuàng)建，創(chuàng)建時間為2009年，至今已經(jīng)十一年的時間，該搜索引擎最多可以獲得50個搜索結(jié)果，同時支持多種格式的搜索結(jié)果輸出。Shodan是一種基于攔截器的搜索引擎，通過端口攔截相應(yīng)的信息建立搜索索引得到相應(yīng)的結(jié)果?；赟hodan的非入侵式網(wǎng)絡(luò)安全漏洞掃描在應(yīng)用過程中獲得結(jié)果之后需要對漏洞知識和相應(yīng)的信息進行關(guān)聯(lián)分析，從而得到被檢測的目標系統(tǒng)的脆弱信息，以確定是否存在安全威脅?；赟hodan的非入侵式網(wǎng)絡(luò)安全漏洞掃描主要包括兩步：第一步：通過ShodanAPI或者Shodan搜索引擎查詢數(shù)據(jù)庫中的相關(guān)資產(chǎn)信息或者服務(wù)信息，獲得信息之后根據(jù)相應(yīng)的格式進行整理，通過整理提高資產(chǎn)發(fā)現(xiàn)的準確性，同時結(jié)合IP歸屬信息數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)庫信息的驗證；第二部，獲得查詢的資產(chǎn)信息或服務(wù)信息，通過與漏洞知識庫中的相關(guān)信息進行對比，以判定被檢測的目標系統(tǒng)是否存在漏洞，查詢之后發(fā)布相應(yīng)的結(jié)果，對于涉及漏洞的信息進行匯總和處理，預(yù)測存在的安全漏洞，如果存在安全漏洞則需要提出相應(yīng)的網(wǎng)絡(luò)安全防護意見，進行漏洞修復(fù)。NVD即國家漏洞數(shù)據(jù)庫，該數(shù)據(jù)庫是我國目前比較權(quán)威的漏洞數(shù)據(jù)庫之一，漏洞信息比較全面，國外也有應(yīng)用的漏洞數(shù)據(jù)庫如OSVDB。

3 結(jié)束語

網(wǎng)絡(luò)安全掃描技術(shù)是一類重要的確保網(wǎng)絡(luò)安全的技術(shù)。當前網(wǎng)絡(luò)安全問題日益嚴重，網(wǎng)絡(luò)安全掃描技術(shù)的發(fā)展也越來越完善，掃描效果也越來越好，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅。通過網(wǎng)絡(luò)安全掃描技術(shù)，管理員可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題，從而采取相應(yīng)的措施，但是當前的網(wǎng)絡(luò)安全掃描技術(shù)各有優(yōu)缺點，還需要加強研究，進一步完善技術(shù)。