《校园网安全扫描技术》由会员分享,可在线阅读,更多相关《校园网安全扫描技术(6页珍藏版)》请在金锄头文库上搜索。
1、校园网安全扫描技术作者:邢西深 来源:中小学信息技术教育2007年第 04期随着“校校通”工程的实施,现在有许多学校搭建了校园网。校园网在给学校的教学和管理 带来各种便利的同时,也显现了一个十分严峻的问题:网络安全。网络中存在的各种安全隐患 和漏洞成为黑客攻击的切入点,所以事先采用安全扫描技术查找这些安全隐患和漏洞,之后将 其堵上才是解决网络安全问题的根本措施。本文对校园网中常见的安全扫描技术进行简要分 析。一、安全扫描技术简介安全扫描技术,也称为网络安全分析,是一种基于Internet远程检测目标网络或本地主机 安全脆弱点的技术。通过安全扫描,系统管理员能够发现网络中的存活主机、服务器上开放
2、的 TCP、UDP 端口和服务、各种弱口令的用户等信息。安全扫描技术主要有端口扫描、认证扫 描、代理扫描等。二、端口扫描端口扫描技术是一项自动探测本地和远程系统端口开放状况的策略及方法。通过端口扫描 能够获得目标主机上开放的TCP、UDP端口或提供的服务,能通过一些连接测试得到监听端 口返回的banner (旗标)信息,这些信息对于判断端口上开放的服务类型、对应的软件版本甚 至操作系统类型都有重要作用。端口是传输层标识服务的手段,在传输层有两个重要的协议:传输控制协议TCP和用户 数据报协议UDP。在端口扫描技术中,大多数扫描技术采用TCP数据包作为探测手段。根据 发送端发送的报文类型,端口扫
3、描技术可以分为TCP connect扫描(全连接扫描)、TCP SYN 扫描(半连接扫描)和秘密扫描。1 TCP connect 扫描TCP connect 扫描在进行端口扫描时,本地主机尝试与远程主机的端口建立一次正常的TCP连接。如果连接成功则表明目标端口开放,否则表明目标端口关闭。建立一个TCP连 接,需要经过本地主机和远端主机之间的“三次握手”,图 1表示连接成功,图2表示连接失 败。(1) 由Client端发送请求建立连接的、SYN类型(SYN=1,下同)的TCP报文。(2) Server端返回SYN/ACK报文,表明端口开放;返回RST/ACK,表明端口关闭。Client端返回AC
4、K报文,表明连接已建立;返回RST报文,表明关闭这个连接。图1 TCP连接建立成功图2 TCP连接建立未成功从上面可以看出,在建立TCP连接的“三次握手”过程中,客户端发送SYN类型报文后, 根据服务器端返回的报文类型就可以判断对方的端口状态。该扫描方法的优点是普通用户就有 建立TCP连接的权限,就能够执行该扫描过程,并不需要具备Root用户的权限。2 . TCP SYN 扫描在双方利用TCP连接进行通信的“三次握手”中,客户端根据服务器方返回的报文类型即 可判断出服务器方的端口状态,不需要再向对方发送报文,即没有完成整个TCP连接的“三次 握手”过程,并且不会在对方的系统上留下记录,这种扫描
5、称为TCP SYN扫描,或称为半连接 扫描。3秘密扫描在进行端口扫描时,TCP连接扫描很容易会被对方的路由器、防火墙或者是入侵检测系统 检测到,为了避免扫描完成后被别人追踪,于是产生了秘密扫描技术。秘密扫描技术能够躲避对方IDS、防火墙、包过滤器和日志的记录,从而获取目标主机的 端口信息。在秘密扫描中,因为不包含TCP的“三次握手”协议的任何部分,所以对方没有办 法记录扫描的过程,但是这种扫描的可靠性会降低。现有的秘密扫描方式有TCP FIN扫描、 TCP ACK扫描、NULL扫描、XMAS扫描和SYN/ACK扫描等。(1)TCP FIN扫描很多系统能够过滤掉SYN数据报文,但是允许中断连接的
6、FIN数据报 文通过,而且不记录这样的报文。利用TCP FIN扫描,如果目标主机的端口开放,则目标主 机会认为对方请求关闭TCP连接,只是简单丢弃FIN数据报文。如果目标主机存在而端口没 有打开,则会认为关闭的是一个不存在的连接,判断这是一个错误,并且会返回一个RST数 据报文,如图3、图4所示。这样,根据是否有返回报文就可以判断对方的端口状态。图3对方端口开放时发FIN包图4对方端口未开放时发FIN包(2)TCP ACK扫描扫描主机向目标主机发送确认应答数据包ACK时,正常情况下目标 主机会返回断开连接的数据包RST,这时扫描主机有两种方式根据RST数据包来判断目标主 机的端口开放情况。第一
7、种,如果返回的RTS数据包的TTL值小于或等于64,则端口开放, 否则端口关闭。第二种,如果返回的RTS数据包的WINDOW值非零,则端口开放,否则端口 关闭。(3)NULL扫描扫描主机将TCP数据包中的控制位ACK (确认)、FIN (结束连接)、 RST (重新设定连接)、SYN (连接同步化)、URG (紧急)、PSH (接收端收到数据后交由 上一层处理)标志位置空后,将数据包发送给目标主机。如果目标主机的端口开放,则其不返 回任何信息;如果目标主机返回RST类型的数据包,则表示端口关闭。(4)XMAS扫描其扫描原理和NULL扫描类似,但它是将TCP数据包中的ACK、FIN、 RST、S
8、YN、URG、PSH标志位置1后发送给目标主机。如果目标主机端口开放,则其不返回 任何信息;如果目标端口关闭,则目标主机将返回RST信息。(5)SYN/ACK扫描在正常的TCP连接过程中,数据包的发送顺序是SYNSYN/ACKACK,但在采用SYN/ACK扫描时,扫描主机首先发送SYN/ACK数据包,这时目标主机会判断为一个错误的连接。如果目标端口开放,目标主机将返回RST信 息;如果目标端口关闭,目标主机将丢弃数据包,不返回任何信息。(6)UDP ICMP端口不可达扫描扫描主机发送UDP数据包给目标主机的UDP端口,等 待目标端口不可达的ICMP信息。如果超时也没有接到端口不可达的ICMP信
9、息,则表明目标 端口处于打开的状态;如果ICMP信息及时接收到,则表明目标端口处于关闭状态。这种方式 只能扫描UDP端口,并且这种方式的可靠性不高。因为UDP协议本身就是不可靠的协议, UDP数据包可能在途中丢失。另外,如果目标主机打开防火墙,防火墙可能拦截UDP数据包 或者禁止ICMP数据包通过,这样操作者收不到ICMP数据包,会误判对方的端口开放,而实 际情况并非如此。三、认证扫描和代理扫描1 认证扫描(TCP Ident扫描)是基于Ident协议(RFC1413)的,利用Ident协议可以获 得运行在某个端口上的进程的用户名。认证扫描中用到一个Ident服务,Ident服务是网络中服务器
10、验证客户方身份的,它在客户 端的TCP113端口上监听服务器方。该网络连接的服务器方首先向客户方的113端口反方向建 立连接,再进行通信。认证扫描的优点是扫描迅速,不需要Root用户的权限,并且能够返回 必要的服务信息,但是这种扫描容易被目标主机监测到。2 代理扫描是一种基于FTP协议的扫描技术,文件传输协议(FTP)支持代理FTP连 接。这个选项允许一个客户端同时跟两个FTP服务器建立连接,再在服务器之间直接传输数 据。然而,在多数情况下,希望能够使得FTP服务器发送文件到Internet的任何地方,许多攻 击正是利用了这个缺陷。FTP代理扫描主要使用FTP代理服务器来扫描TCP端口。扫描步
11、骤 如下:假定S是扫描机,T是扫描目标,F是一个FTP服务器,这个服务器支持代理选项,能够跟S和T建立连接。S与F建立一个FTP会话,使用PORT命令声明一个选择的端口(称之为P-T)作 为代理传输所需要的被动端口。(3) S使用一个LIST命令,尝试启动一个到P-T的数据传输。(4) 如果端口 P-T在监听,传输就会成功(返回码150和226被发送回给S),否则S 会收到“425无法打开数据连接”的应答。(5) S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕。FTP代理扫描不但难以跟踪,而且当FTP服务器在防火墙后面时,还可以穿透防火墙。它 的主要缺点是速度太慢。从以上可以
12、看出,正确采用各种扫描技术就可以分析出目标主机的存活状态、运行的进程 和操作系统类型等信息。安全扫描技术种类较多,除上述外还有操作系统扫描, ping 扫描等。 由于篇幅有限,这里不再赘述。在实际应用中,由于防火墙等的存在,应该综合采用各种技 术,这样才能确保扫描结果的准确性。参考文献1 石志国等.计算机网络安全教程.清华大学出版社, 2004年 4月第一版.2 张玉清, 戴祖锋等著.安全扫描技术.清华大学出版社, 2004年 7月.3 张义荣,赵志超等.计算机网络扫描技术研究.计算机工程与应用,2004年2月.4 Network Scanning Techniques, http:/www.sys-November 1999.5 RFC 793.6 蒋卫华等.网络扫描隐蔽性分析.计算机应用研究, 2003年第12期.7 OS Identification Methods and Countermeasures,http:/ ICMP Usage in Scanning The Sys-Security Group - Version 2.5, December 2000.9 李健等.网络扫描技术实现及其在网络安全中的应用.计算机应用研究,2004年第 2期.(作者单位:中央电化教育馆教育技术研究部)
