漏洞掃描器是壹種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器,系統管理員能夠發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版 本和這些服務及軟件呈現在Internet上的安全漏洞。從而在計算機網絡系統安全保衛戰中做到“有的放矢”,及時修補漏洞,構築堅固的安全長城。
1.引言
隨著科學技術的飛速發展,21世紀的地球人已經生活在信息時代。20世紀人類兩大科學技術成果--計算機技術和網絡技術,均已深入到人類社會的各個領域,Internet把"地球村"的居民緊密聯系在壹起,"天涯若比鄰"已然成為現實。互聯網之所以能這樣迅速蔓延,被世人接受,是因為它具備特有的信息資源。無論對商人、學者,還是對社會生活中的普通老百姓,只要妳進入網絡的世界,就能找到其隱藏的奧妙,就能得到妳所需要的價值,而這其中種種的人類社會活動,它們的影響又是相互的。近年來Internet的迅速發展,給人們的日常生活帶來了全新的感受,"網絡生存"已經成為時尚,同時人類社會諸如政治、科研、經濟、軍事等各種活動對信息網絡的依賴程度已經越來越強,"網絡經濟"時代已初露端倪。
然而,網絡技術的發展在給我們帶來便利的同時也帶來了巨大的安全隱患,尤其是Internet和Intranet的飛速發展對網絡安全提出了前所未有的挑戰。技術是壹把雙刃劍,不法分子試圖不斷利用新的技術伺機攻入他人的網絡系統,而肩負保護網絡安全重任的系統管理員則要利用最新的網絡技術來防範各種各樣的非法網絡入中形?J率狄丫?礱鰨?孀嘔チ娜漲髕占埃?諢チ系姆缸鍩疃?蒼嚼叢蕉啵?乇鶚荌nternet大範圍的開放以及金融領域網絡的接入,使得越來越多的系統遭到入侵攻擊的威脅。但是,不管入侵者是從外部還是從內部攻擊某壹網絡系統,攻擊機會都是通過挖掘操作系統和應用服務程序的弱點或者缺陷來實現的,1988年的"蠕蟲事件" 就是壹個很好的實例。目前,對付破壞系統企圖的理想方法是建立壹個完全安全的沒有漏洞的系統。但從實際上看,這根本是不可能的。美國Wisconsin大學的Miller給出壹份有關現今流行操作系統和應用程序的研究報告,指出軟件中不可能沒有漏洞和缺陷。因此,壹個實用的方法是,建立比較容易實現的安全系統,同時按照壹定的安全策略建立相應的安全輔助系統,漏洞掃描器就是這樣壹類系統。就目前系統的安全狀況而言,系統中存在著壹定的漏洞,因此也就存在著潛在的安全威脅,但是,如果我們能夠根據具體的應用環境,盡可能地早地通過網絡掃描來發現這些漏洞,並及時采取適當的處理措施進行修補,就可以有效地阻止入侵事件的發生。因此,網絡掃描非常重要和必要。
.漏洞掃描器概述
漏洞掃描器是壹種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器,系統管理員能夠發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現在Internet上的安全漏洞。從而在計算機網絡系統安全保衛戰中做到"有的放矢",及時修補漏洞,構築堅固的安全長城。
按常規標準,可以將漏洞掃描器分為兩種類型:主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Network Scanner)。主機漏洞掃描器是指在系統本地運行檢測系統漏洞的程序,如著名的COPS、tripewire、tiger等自由軟件。網絡漏洞掃描器是指基於Internet遠程檢測目標網絡和主機系統漏洞的程序,如Satan、ISS Internet Scanner等。
本文針對目前TCP/IP網絡和各種網絡主機的安全現狀,設計並實現了壹個網絡漏洞掃描器,在實際使用中取得了很好的效果。
3.網絡漏洞掃描器的設計
3.1 網絡漏洞掃描器的總體結構
我們設計的漏洞掃描器基於瀏覽器/服務器(B/S)結構,整個掃描器實現於壹個Linux、UNIX和Windows操作系統相混合的TCP/IP網絡環境中,其總體結構如圖1所示,其中運行Linux的工作站作為發起掃描的主機(稱為掃描主機),在其上運行掃描模塊和控制平臺,並建有漏洞庫。掃描模塊直接從掃描主機上通過網絡以其他機器為對象(稱為目標主機,其上運行的操作系統可以是UNIX、Linux、Windows 2000/NT等)進行掃描。而控制平臺則提供壹個人機交互的界面。
3.2 網絡漏洞掃描器的掃描原理和工作原理
網絡漏洞掃描器通過遠程檢測目標主機TCP/IP不同端口的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息(例如:是否能用匿名登陸,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運行)。在獲得目標主機TCP/IP端口和其對應的網絡訪問服務的相關信息後,與網絡漏洞掃描系統提供的漏洞庫進行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實現方法之壹。如果模擬攻擊成功,則視為漏洞存在。
在匹配原理上,該網絡漏洞掃描器采用的是基於規則的匹配技術,即根據安全專家對網絡系統安全漏洞、黑客攻擊案例的分析和系統管理員關於網絡系統安全配置的實際經驗,形成壹套標準的系統漏洞庫,然後再在此基礎之上構成相應的匹配規則,由程序自動進行系統漏洞掃描的分析工作。
所謂基於規則是基於壹套由專家經驗事先定義的規則的匹配系統。例如,在對TCP 80端口的掃描中,如果發現/cgi-bin/phf或/cgi-bin/Count.cgi,根據專家經驗以及CGI程序的***享性和標準化,可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是,基於規則的匹配系統也有其局限性,因為作為這類系統的基礎的推理規則壹般都是根據已知的安全漏洞進行安排和策劃的,而對網絡系統的很多危險的威脅是來自未知的安全漏洞,這壹點和PC殺毒很相似。
實現壹個基於規則的匹配系統本質上是壹個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用,其自學習能力能夠進行規則的擴充和修正,即是系統漏洞庫的擴充和修正。當然這樣的能力目前還需要在專家的指導和參與下才能實現。但是,也應該看到,受漏洞庫覆蓋範圍的限制,部分系統漏洞也可能不會觸發任何壹個規則,從而不被檢測到。
整個網絡掃描器的工作原理是:當用戶通過控制平臺發出了掃描命令之後,控制平臺即向掃描模塊發出相應的掃描請求,掃描模塊在接到請求之後立即啟動相應的子功能模塊,對被掃描主機進行掃描。通過對從被掃描主機返回的信息進行分析判斷,掃描模塊將掃描結果返回給控制平臺,再由控制平臺最終呈現給用戶。
3.3 CGI的應用
整個漏洞掃描系統利用了瀏覽器/服務器(B/S)架構,目的是為了消除由於操作系統平臺的不同而給程序的運行帶來的差異,還為了能利用HTML提供的壹系列功能,如超文本功能、靈活的版面編輯功能來構建壹個美觀靈活的人機接口。在該網絡漏洞掃描器的實現中,我們通過CGI技術來連接前臺的瀏覽器和後臺的掃描程序。
CGI是通用網關接口,作為壹種規範,它允許Web服務器執行其他程序並將它們的輸出以相應的方式儲存在發給瀏覽器的文本、圖形和音頻中。CGI程序能夠提供從簡單的表單處理到復雜的數據庫查詢等各種功能,這大大增強了Web的動態處理能力和交互能力。服務器和CGI程序相結合能夠擴充和自定義World Wide Web的能力。
CGI過程的主要步驟如下:
瀏覽器將URL的第壹部分解碼並聯系服務器;
瀏覽器將URL的其余部分提供給服務器;
服務器將URL轉換成路徑和文件名;
服務器意識到URL指向壹個程序,而非壹個靜態的文件;
服務器準備環境變量,執行CGI程序;
程序執行,讀取環境變量和STDIN;
程序為將來的內容向STDOUT發送正確的MIME頭信息;
程序向STDOUT發送其輸出的其余部分,然後終止;
服務器發現程序終止,關閉與瀏覽器的連接;
瀏覽器從程序中顯示輸出。
STDIN和STDOUT是標準輸入和標準輸出的助記符。對Web服務器,STDOUT送至CGI程序的STDIN,程序的STDOUT反饋回服務器的STDIN。在激活具有POST方法的CGI程序時,服務器使用它的STDOUT;對於GET方法,服務器不使用STDOUT。兩種情況下,服務器都要求CGI程序通過STDOUT返回信息。在我們的程序中選擇了POST方法。