完美论文网提供本科论文、硕士毕业论文写作指导、论文发表及论文查重服务!QQ:505676555

电话:18796337551
当前位置:完美论文网信息系统 → 文章正文

《网络系统安全》——网络扫描原理分析与研究

作者:完美论文网  来源:www.wmlunwen.com  发布时间:2016/6/23 13:23:23  

摘要:随着区域军事斗争以及和平演变局势的日益复杂,如何运用高科技技术对军队实行信息化管理,提高军队应急能力已经成为世界各国国防发展的必然趋势。信息技术所涉及的数据种类繁多、所涉及层面较广、信息保密化程度要求高,这就给我国军事系统带来了严重的数据安全保密压力。网络扫描技术在网络系统安全中占有十分重要的地位,通过网络系统扫描可以找出军事系统存在的漏洞,帮助军事系统管理员对军事系统及时进行修补,避免军事系统遭受攻击,确保国家秘密的安全。因此本文主要对网络扫描原理进行了分析与研究,以提高我国军事系统的信息安全性。

关键词:军事系统 网络系统安全 网络扫描 原理

军事信息网络安全直接关系到国家的安全与利益,直接关系到社会的稳定与经济发展,直接关系到一个国家国防实力水平,也直接影响了我国在国际舞台中的地位与作用。军事系统是我国国家秘密非常集中的领域,一直是窃密与反窃密、渗透与反渗透的主战场。目前,我国军事信息系统安全保障工作仍然处于起步阶段,虽然我国在涉密信息系统建设初期就已经考虑到了其安全保障能力的建设,但是由于军事行业信息化起步早,建设周期长,导致我国军事信息系统普遍存在安全保障能力低,信息对抗能力不足等问题。随着网络互联性、开放性的不断发展,以及网络攻击与系统入侵事件发生的日益频繁,我国军事信息系统的信息安全保密工作面临着越来越严峻的挑战,军事信息系统信息资源的安全性需要保障。网络安全工作者通过多年的研究,提出了多种安全方法与技术手段来提高、检查网络的安全性,主要包括安全扫描技术、入侵检测技术、防火墙技术与病毒检测技术。后面三种网络安全技术都是在网络攻击进行中或者进行后的被动检测,而安全扫描技术则是在网络、系统攻击前的主动监测,它是以入侵者的角度来考虑网络安全的,入侵者总是首先通过寻找网络中的安全漏洞来寻找入侵点,而如果采用扫描技术进行系统自身的脆弱性检查,先于入侵者发现安全漏洞并及时弥补,就能有效保护系统网络的安全。因此,对网络扫描原理进行分析与研究,以提高我国军事信息系统的信息安全,具有十分重要的理论意义与现实意义。

一、网络扫描的必要性

攻击者一般采用基本相同的步骤:侦察和踩点、扫描、枚举分析、获得访问通道、权限提升、生成后门并隐藏踪迹。扫描在整个攻击过程中起到了解对方详细情况的作用。据此,可弄清网络内的主机分布、拓朴结构、所使用的操作系统、入侵防御系统(IPS)等诸多信息,并由此制订出下一步枚举分析和访问通道的方式,如:是否隐藏攻击,是否需要清除日志等等。结合社会工程学,可以利用扫描所得到信息进一步获得访问通道以提取权限[1]。

网络安全扫描系统隶属于安全辅助系统,通过扫描工具对网络安全进行评测,可以抢在黑客攻击之前,自动检测远程或本地主机的安全性弱点,使系统管理员能够及时发现系统的漏洞,并进行修补。

二、网络扫描原理分析

网络扫描一般可以分为主机发现扫描、端口扫描、操作系统探测、漏洞探测4个主要技术,其运用的原理也各不相同。

(一)主机发现扫描

主机发现扫描即ping扫描,其扫描目的在于确认目标主机的IP抵制,即扫描的IP地址是否分配了主机。对于没有任何预知信息的网络黑客来说,主机扫描是进行网络扫描以及入侵的第一步,这一步也是必不可少的一步;对于已经充分了解网络整体IP划分的网络安全维护人员来说,也可以借助主机发现扫描,对主机的IP分配有一个非常精确的定位。一般主机发现扫描是建立在ICMP协议基础之上的,因此把发现目的网络或主机的一类基ICMP协议的扫描称为主机发现扫描。主要思想是构造一个ICMP包,发送给目标主机, 从目标主机生成的响应来进行判断[2]。

(二)端口扫描

端口扫描是在主机发现扫描确定了目标主机IP地址后,通过端口扫描来探测主机所开放的端口。由于端口扫描通常只是做一些最简单的端口联通性测试,不进行数据分析,因此比较适合大范围的扫描:对指定IP地址进行某个端口值段的扫描;或者指定端口值对某个IP地址段进行扫描。最后根据端口扫描的结果,进行操作系统探测与漏洞扫描[3]。

端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的漏洞,而不会提供进入一个系统的详细步骤。端口扫描按端口连接的情况主要可分为全连接扫描、半连接扫描、秘密扫描和其它扫描。

(三)操作系统探测

在网络结构中的服务器,有两层含义:一是指网络上管理网络资源的主机或设备,如文档服务器等;二是指向其它计算机程序提供数据、服务的计算机程序。从而,在操作系统探测中,其目的也是双重的:得到所扫描的目标主机的OS具体信息,以及提供服务的计算机程序的具体信息。比如操作系统探测的结果是:OS是Windows XP sp2,服务器平台是IIS 4.0,即操作系统(OS)探测。

对操作系统的类型和版本进行识别可以有多种方法。早期的是一些简单的探测方法。如:telnet服务旗标,ftp服务旗标,http信息及其他一些方法。这些方法是根据服务器上安装的软件服务端所返回的相关旗标、错误信息等来判断、猜测,有很大的盲目性和随机性,而且防范这些方法只需要修改服务器端的相关资源就可以轻松做到,因此它的准确性是非常低的[4]。

栈指纹识别是最早从技术的角度研究如何识别远程操作系统的。所谓栈指纹识别是指通过分析远程主机操作系统实现的协议堆栈对不同请求地响应来区分起,系统。根据是否主动发送数据包可以将其分为两类:主动探测和被动探测。主动探测会向目标主机发送探测数据包;被动探测则是通过分析嗅探到的正常通信报文来判断远程操作系统,它不发送任何探测报文。TCP/IP栈指纹识别技术和ICMP栈指纹识别技术都属于主动探测。

1.主动探测

(1)TCP/IP栈指纹识别:该扫描技术主要是依赖不同操作系统对特定分段的不同反映来区分的。基于个版本操作系统TCP月IP协议体系实现上的不同,通过提交不同的lP数据包并分析目标主机所返回的响应数据包,比较其中个标记参数的不同就可以将不同的操作系统区分开。除了Nmap之外,Savage的Queso也是基于此技术的工具。

(2)ICMP栈指纹识别:该技术是通过发送ICMP或者UDP的请求报文,然后分析ICMP应答,根据ICMP应答包的差别来区分操作系统。该栈指纹识别运用几个测试来执行对远程操作系统TCP/IP堆栈的探测,仅需要1到4个测试包就可以识别一个操作系统的类别。

2.被动探测

主动探测需要主动往目标主机发送探测数据包,由于正常使用的网络不会按照发送探测数据包这样的顺序出现包,导致这些数据包在网络流量中非常显然,很容易被入侵方得检测捕获。因此要想达到隐秘的识别远程OS,就需要运用被动探测技术。被动探测的原理是不主动发送数据包,只是被动的捕获远程主机返回的数据包来分析、鉴别其操作系统。

3.其他方法

除了主动探测与被动探测以外,还有一些技术方法常常被提及,但是这些方法在探测的准确度与技术的成熟度方面还不是很完善。比如SNMP探测、开放端口分析、DNS查询和初始化序列号分析等等。

(四)漏洞分析

漏洞扫描是继端口扫描、操作系统探测后进行的网络扫描技术,也是网络安全维护人员以及黑客收集整理网络或者主机信息的最后一步。从对黑客攻击行为的分析和收集的漏洞类型来看,漏洞扫描很多都是针对一个特定操作系统提供的特定网络服务,即针对操作系统的某一个特定端口。漏洞扫描主要通过下面2种方式来检查目标主机是否存在漏洞:(1)在端口扫描后得知目标主机开启的端口以及端口上的网络服务,并将端口扫描得到的相关信息与网络漏洞扫描系统提供的漏洞数据库进行匹配,查看是否存在满足匹配条件的漏洞;(2)通过模拟黑客的攻击与入侵方法,对目标主机系统进行攻击性的安全漏洞扫描,比如测试弱势口令等等。如果模拟黑客攻击成功,那么就表明目标主机存在安全性漏洞。

基于网络系统漏洞库,漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配、比较得到漏洞信息;漏洞扫描还包括相应漏洞库的各种扫描,比如Unicode。遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件进行模拟攻击,测试出目标主机的漏洞信息。下面就这两种扫描的实现方法进行讨论[5]。

(1)漏洞库的匹配方法:基于网络系统漏洞库的漏洞扫描其关键部位是其所运用的漏洞库。通过运用基于规则的匹配技术,即根据安全学者专家对网络系统安全漏洞、黑客入侵攻击案例的分析以及网络系统维护员对网络系统安全配置的实践经验,形成的一套标准的网络系统漏洞库,并在网络系统漏洞库上建立相应的匹配规则,由网络扫描程序自动进行网络系统漏洞扫描。因此这个网络系统漏洞库的完整性与有效性就直接决定了网络漏洞扫描系统的工作性能,另外网络系统漏洞库的修订与更新能力也会影响漏洞扫描系统的运行速度与运行时间。因此对网络系统漏洞库进行编著时,不仅要对每一个存在安全隐患的网络服务建立相对应的漏洞库文件,而且也要使漏洞库可以满足前面所提出的性能要求。

(2)插件技术:插件即运用脚本语言编写而成的子程序,网络漏洞扫描程序可以通过调用插件来执行漏洞扫描工作,从而检测出网络与主机系统存在的漏洞。每添加一个新的插件就可以使漏洞扫描软件增加一个新的功能,从而扫描出更多的网络与主机漏洞。插件编写语言规范化以后,用户都可以自己运用C、Perl或者自行设计的脚本语言进行插件编写来扩充漏洞扫描软件的功能。插件技术可以使得漏洞扫描软件的升级维护变得更加简单方便,另外专用脚本语言的运用也大大简化了新插件的编程工作,使得漏洞扫描软件的扩展性大大增强。

参考文献

1、黄家林,姚景周,周婷.网络扫描原理的研究[J].计算机技术与发展.2007,6,17(6).147一150。

2、罗玉斌.网络安全漏洞扫描系统的设计与实现[D].湖南:国防科学技术大学,2007。

3、王灏, 王换招. 端口扫描与反扫描技术[J].微机发展,2010, 11( 5) : 60- 63.

4、谷照升等.基于多核CPU的并行计算设计[J].长春工程学院学报(自然科学版).2009,10(3).92一94

5、洪宏,张玉清,胡予蹼,戴祖锋.网络安全扫描技术研究[ll.计算机工程.2004,5,30(10).54一56。

联系方式

客服QQ 505676555
客服热线18796337551
网站地址 www.wmlunwen.com
郑重承诺 原创,包修改,包通过!
完美论文网真诚欢迎新老客户的光临与惠顾!