漏洞掃描原理及程序簡(jiǎn)介

　　插件是由腳本語(yǔ)言編寫(xiě)的子程序模塊，掃描程序可以通過(guò)調用插件來(lái)執行掃描。添加新的功能插件可以使掃描程序增加新的功能，或者增加可掃描脆弱點(diǎn)的類(lèi)型與數量。也可以升級插件來(lái)更新脆弱點(diǎn)的特征信息，從而得到更為準確的結果。插件技術(shù)使脆弱點(diǎn)掃描軟件的升級維護變得相對簡(jiǎn)單，而專(zhuān)用腳本語(yǔ)言的使用也簡(jiǎn)化了編寫(xiě)新插件的編程工作，使弱點(diǎn)掃描軟件具有很強的擴展性。

　　2.5防火墻規則探測

　　采用類(lèi)似于traceroute的IP數據包分析法，檢測能否給位于過(guò)濾設備后的主機發(fā)送一個(gè)特定的包，目的是便于漏洞掃描后的入侵或下次掃描的順利進(jìn)行。通過(guò)這種掃描，可以探測防火墻上打開(kāi)或允許通過(guò)的端口，并且探測防火墻規則中是否允許帶控制信息的包通過(guò)，更進(jìn)一步，可以探測到位于數據包過(guò)濾設備后的路由器。

　　3 常見(jiàn)漏洞掃描程序

　　通常在制定漏洞掃描策略時(shí)，掃描者會(huì )考慮程序的操作系統、所應用的技術(shù)、易用性、準確性等因素。其中，程序的可用性是最重要的，也是最基本的，但是可控性和準確性同樣不容忽視。

　　3.1 Unix/Linux平臺

　　3.1.1 hping

　　hping支持TCP、UDP、ICMP、RAW-IP多種協(xié)議。特點(diǎn)在于能進(jìn)行ping掃描、端口掃描、0S探測、防火墻探測等多種掃描，并能自定義發(fā)送的ICMP/UDP/TCP包到目標地址并且顯示響應信息。

　　3.1.2 icmpushicmpquery

　　icmpushicmpquery的特點(diǎn)在于完全應用了ICMP協(xié)議，可以定制ICMP包的結構以及種類(lèi)。掃描者可以用這套工具把目標網(wǎng)絡(luò )的各個(gè)子網(wǎng)全部查找出來(lái)，從而可以撇開(kāi)廣播地址而集中掃描某幾個(gè)特定的子網(wǎng)。

　　3.1.3 Xprobe 2

　　是專(zhuān)業(yè)的端口掃描、OS探測程序。特點(diǎn)在于自身的0S特征數據庫詳細，進(jìn)行OS探測的可靠性較好。

　　3.1.4 THC-Anap

　　OS探測程序。特點(diǎn)在于掃描速度快，掃描結果可靠。

　　3.1.5 Whisker

　　針對CGI的脆弱點(diǎn)探測程序。應用了多線(xiàn)程、多文件掃描技術(shù)，脆弱點(diǎn)數據庫更新頻繁，對掃描結果自行復核，從而掃描結果可靠性好。

　　3.1.6 Nessus

　　脆弱點(diǎn)探測程序。應用了主動(dòng)掃描、高速掃描技術(shù)，可設置掃描過(guò)程。特點(diǎn)在于支持DMZ區以及多物理分區網(wǎng)絡(luò )的大范圍掃描。

　　3.1.7 Firewalk

　　防火墻探測程序。使用類(lèi)似traceroute的技術(shù)來(lái)分析IP包的響應，從而測定防火墻的訪(fǎng)問(wèn)控制列表和繪制網(wǎng)絡(luò )拓撲圖。

　　3.2 Windows平臺

　　3.2.1 Pinger

　　是一個(gè)圖形化的ping掃描工具。特點(diǎn)在于可以指定要ping的IP地址，以圖形的形式顯示掃描結果，并保存至文本文件。

　　3.2.2 Fport

　　是端口掃描程序。特點(diǎn)在于可以把掃描出的端口與使用該端口的程序相匹配，掃描速度快，匹配程度較好。

　　3.2.3 SuperScan

　　可以進(jìn)行ping掃描、端口掃描、0S探測，并且白帶一個(gè)木馬端口列表，可以檢測目標計算機是否有木馬。

　　3.2.4 GFILANguard

　　脆弱點(diǎn)探測程序。特點(diǎn)在于集成了網(wǎng)絡(luò )審計、補丁管理功能，可以自動(dòng)生成網(wǎng)絡(luò )拓撲圖、自動(dòng)補丁管理。

　　上述漏洞掃描程序及特點(diǎn)如表1所示。

　　4 結論

　　一般而言，綜合地應用多種掃描方法或掃描程序可以得到比較滿(mǎn)意的結果。但是漏洞掃描從其技術(shù)原理上分析，有不可忽視的副作用。比如對大范圍的 IP地址或者端口進(jìn)行某種掃描，反復高速的發(fā)出特定的連接請求，所造成的結果就是目標網(wǎng)絡(luò )及主機上存在大量的連接請求數據包，可以造成網(wǎng)絡(luò )擁塞，主機無(wú)法正常使用，這正是DoS攻擊的方法及表現。因此若要防范漏洞掃描以及可能的DoS攻擊，要做到以下三點(diǎn)：

　　1.在防火墻及過(guò)濾設備上采用嚴格的過(guò)濾規則，禁止掃描的數據包進(jìn)入系統。

　　2.主機系統除了必要的網(wǎng)絡(luò )服務(wù)外，禁止其它的網(wǎng)絡(luò )應用程序。

　　3.對于只對內開(kāi)放的網(wǎng)絡(luò )服務(wù)，更改其提供服務(wù)的端口。

　　此外，網(wǎng)絡(luò )掃描時(shí)發(fā)送的數據或多或少都會(huì )含有掃描者自身相關(guān)信息，從而也可以抓取掃描時(shí)的數據包，對掃描者進(jìn)行反向追蹤，這也是一個(gè)值得研究的方向。