1端口扫描
端口扫描是指对网络潜在通信通道的扫描,主要通过2种手段来实现。①向目标主机的TCP/IP服务端口发送扫描探测数据包,并记录目标主机的反馈信息,通过分析反馈信息判断主机应用端口的开关,以此来获得端口运行的相关信息;②通过网络主机/服务器的出入数据包来监视本地主机运行情况。第二种手段再应用过程中只可以分析接收到的数据,而不会重新产生系统应用程序,这样可以防止产生新的安全威胁,有效帮助网络管理员及时发现网络安全隐患。典型的端口扫描方式主要有TCP全连接扫描和TCP半连接扫描。其中,TCP全连接扫描的工作流程是通过向主机端口发送Syn报文,然后接收端口的反馈信息Syn/Ack,最后再向目标端口发送Ack报文;TCP半连接扫描又叫"半开放扫描",它的工作流程是通过扫描程序向目标端口发送Syn报文,通过分析反馈信息来判断端口是出于侦听还是关闭状态,其过程的建立不是建立在完全连接的基础之上,所以不会在网络主机上保存记录,只需要开放相关权限即可。
2操作系统探测
操作系统探测是通过检查操作系统类型或版本信息来确保网络信息安全的一种手段。随着操作系统应用功能的不断强大,其系统构建越来越复杂,导致操作系统的安全隐患也越来越多。许多网络攻击者都将操作系统作为攻击首选,但要达成攻击目的,收集主机操作系统信息是必要条件,因此运用操作系统探测技术来探测目标主机信息可以做到针对操作系统安全隐患的未雨绸缪。目前,应用的操作系统探测技术主要有TCP/IP协议栈指纹探测和应用层探测2种。TCP/IP协议栈指纹探测是通过探测操作系统TCP/IP协议栈实现过程中的差别来判定操作系统类别;应用层探测技术是通过与目标主机建立联系,以发送服务连接或访问主机记录的方式来探测目标主机操作系统的有关信息。
3应用原则及需求分析
网络安全扫描系统是网络安全扫描技术应用的重要形式,其应用效果的好坏直接影响到整个网络应用系统的信息安全,因此,在专用网络安全扫描系统应用过程中需要把握以下原则:①要把握人机工效原则,具有友好用户界面,使用户能够对扫描过程进行灵活控制,并反馈清晰有效的扫描结果;②要把握效率提升原则,具备并行扫描能力,能够采用多线程技术对网络系统进行并行扫描,确保网络安全扫描的效率;③要把握灵活扩展原则,具备良好扩展性能,能够根据网络安全扫描的应用需求及时增加或者优化功能模块;④把握稳定可靠原则,确保扫描结果准确,为网络安全分析提供可靠依据。需求分析是专用网络安全扫描系统设计应用的基石,根据当前专用网络面临的主要安全威胁,网络安全扫描技术在应用过程中应该灵活采用弱口令扫描、漏洞扫描、端口扫描以及操作系统探测等关键技术,确保专用网络系统的各个信息安全相关要素都能够在网络安全扫描的范围内,使隐患减少到最低。
4专用网络安全扫描系统设计
4.1系统架构
在现有网络安全环境下,网络安全扫描系统在设计过程中应该优选模块化设计方案,在架构构建过程中需要确保主要功能模块能够动态加载,关键硬件实现即插即用,以确保专用网络安全扫描系统的体系架构具有良好的功能拓展能力。根据网络安全扫描技术的综合应用需求,专用网络安全扫描系统主要包括主程序以及4大关键技术的功能应用模块。主程序模块用于支撑专用网络安全扫描系统的体系架构,同时具备调度线程的启动能力,在专用网络安全扫描系统中它主要包括4项基本功能,即系统初始化功能、用户请求信息处理功能、安全扫描功能模块的加载功能和检测制定范围内主机存活的功能等。功能应用模块主要针对弱口令扫描、漏洞扫描、端口扫描以及操作系统探测4大关键技术的应用,在设计过程中既要保证各功能应用模块应用优势的充分发挥,又要保证功能模块的实时加载,使专用网络安全扫描系统能够针对不同的网络安全威胁加载相应的功能应用模块,确保整个专用网络系统的安全。通常功能应用模块以网络安全扫描各关键技术的应用模块形式存在,主要包括端口扫描模块、弱口令扫描模块、操作系统探测模块和漏洞扫描模块等。
4.2系统运行流程
专用网络安全扫描系统在运行过程中通常根据采用技术体制的不同而有所区别,但是结合专用网络安全扫描系统的基本任务情况,基本都包括以下几个步骤:①运行系统主程序,加载业务功能模块,使各模块的基本信息倍主程序识别;②设置系统参数和业务功能模块参数。系统参数包括扫描范围、业务功能模块选择以及信息传输路径和格式等,业务功能模块参数主要包括各模块在运行过程中所需要的相关参数,主要包括端口种类数量、文件路径等;③主程序加载业务功能模块的应用参数,并将其保存在主程序服务列表中,以方便各个业务功能模块及时调用;④判断用户主机存活与否,根据判断结果来决定是否启动扫描行为;⑤选取需要使用的业务功能模块,并将该模块的功能函数地址存入系统主程序,以启用调度线程队扫描线程进行管控;⑥扫描线程结束之后,通过调度线程发送消息通知系统主程序模块(在扫描过程中用户可以通过调度线程随时暂停、继续和停止扫描,各扫描模块也可以调用消息函数与系统主程序交互,以实时显示扫描进度和结果);⑦系统主程序收到扫描结束信息后,可以自动生成网络安全扫描报告并将结果反馈用户。
5结束语
综上所述,网络安全扫描是专用网络安全的基石,现有的网络安全扫描技术基本符合当前专用网络的安全扫描需求。但是,随着IPv6等新型网络技术的应用以及物联网等新型网络技术在专用网络中的应用和发展,未来专用网络的异构特征将更加明显,这不仅对网络安全提出了新的挑战,也给网络安全扫描技术提供了新的发展契机,能够应对新型网络威胁,适应异构网络应用环境的新型网络安全扫描技术将成为专用网络信息安全领域未来的发展方向。
作者:邹俊豪 张岩 162101部队基建营房处 国防信息学院