网络安全漏洞的检测工具AccessDiver网络毕(3)

　　开放式协议造成的漏洞带来的威胁主要有DOS（拒绝服务）攻击和明文传送数据包造成的信息的泄密。对于防御开放式协议造成的DOS攻击，主要要在协议栈的安全防护上采取一些措施，如安装一些对协议栈进行和平衡保护的软件。对于防御因开放式协议引起的信息的泄密，采取一些针对敏感和重要数据以及文件进行加密的保护措施，可以有效防止信息在网络的传输过程中被拦截和泄密。

　　人为因素造成的漏洞主要是系统管理人员运行了错误的配置和设置了弱口令以及人为疏忽造成了口令泄密，对于错误的配置引起的安全漏洞，针对不同的配置错误，要根据用户自己的网络和系统应用做出相应的更正，如UNIX系统管理员设置匿名FTP服务时配置不当而导致远程访问者权限过大的问题，就应该针对问题更正不正确的匿名FTP服务配置；对于弱口令要建立一套完善的口令检查策略，如果管理员设置了过于简单的口令，就应该提示或告警管理员口令不安全，必须重新设置，否则口令就无法生效，强制系统管理员或用户更改成一个符合安全策略和要求的口令；对于口令泄密的问题，应该制定一套安全的口令保管和存放制度，并严格按照管理制度实施管理。

　　扫描技术的发展史上随着网络的普及和黑客手段的逐步发展而发展起来的，扫描技术的发展事业就是一部网络普及史和黑客技术发展史。随着网络规模的逐步扩大和系统的日益复杂化，更多的系统漏洞和应用程序的漏洞也不可避免地伴随而来，当然漏洞的存在本身并不能对系统安全造成什么损害，关键的问题在于攻击者可以利用这些漏洞引发安全事件。漏洞对系统造成的损害，在于它可能会被攻击者利用，继而破坏系统的安全特性，而它本身不会直接对系统造成损害。漏洞的发现者主要是程序员、系统管理员、安全服务商组织、黑客以及普通用户。其中，程序员、系统管理员和安全服务商组织主要是通过测试不同应用系统和操作系统的安全性来发现漏洞。而黑客主要是想发现并利用漏洞来进行攻击活动。

　　安全扫描技术是为是系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致攻击的安全漏洞。扫描技术是采用积极的、非破坏性的办法来系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。

　　2.2安全扫描工具的原理、结构

　　2.2.1安全扫描工具的原理

　　安全扫描器发展到现在，已经从初期的功能单一、结构简单的系统，发展到目前功能众多、结构良好的综合系统。虽然不同的扫描器功能和结构差别比较大，但是其核心原理是相同的。

　　（1）      主机性安全扫描器

　　主机型安全扫描器主要是针对操作系统的扫描检测，通常涉及系统的内核、文件的属性、操作系统的补丁等问题，还包括口令解密等。主机型安全扫描器通过扫描引擎以root身份登录目标主机（也就是本扫描器所在的主机），记录系统配置的各项主要参数，在获得目标主机配置信息的情况下，一方面可移植到目标主机开放的端口以及主机名等信息；另一方面将获得的漏洞信息与漏洞特性库进行比较，如果能够匹配则说明存在相应的漏洞。

　　（2）      网络型安全扫描器

　　网络型安全扫描器是针对远程网络或者主机的端口、开放的服务以及已知漏洞等。主控台可以对网络中的服务器、路由器以及交换机等网络设备进行安全扫描。对检测的数据进行处理后，主控台以报表形式呈现扫描结果。网络型安全扫描器利用TCP/IP、UDP以及ICMP协议的原理和特点，扫描引擎首先向远端目标发送特殊的数据包，记录返回的响应信息，然后与已知漏洞的特征库进行比较，如果能够匹配，则说明存在相应的开放端口或者漏洞。此外，还可以通过模拟黑客的攻击方法，对目标主机系统发送攻击性的数据包。

　　目前许多安全扫描器都集成了端口和漏洞扫描的功能。下面首先从体系结构上看主机型安全扫描器和网络型安全扫描器的结构特点。

　　（1）      主机性安全扫描器

　　主机型安全扫描器主要是由两部分组成，即管理端和代理端。其中管理端管理各个代理端，具备向各个代理端发送扫描任务指令和处理扫描结果的功能；而代理端是采用主机扫描技术对所在的被扫描目标进行检测，收集可能存在的安全状况。

　　主机型安全扫描器一般采用Client/Server的构架，其扫描过程是：首先在需要扫描的目标主机上安装代理端，然后由管理端发送扫描开始命令给各代理端，各代理端接收到命令后执行扫描操作，然后把扫描结果传回给管理端分析，最后管理端把分析结果以报表方式给出安全漏洞报表。

　　（2）      网络型安全扫描器

　　网络型安全扫描器也主要由两部分组成，即扫描服务端和管理端，其中服务端是整个扫描器的核心，所有的检测和分析操作都是它发起的；而管理端的功能是提供管理的作用以及方便用户查看扫描结果。

　　网络型安全扫描器一般也采用Client/Server的构架：首先在管理端设置需要的参数以及制定扫描目标；然后把这些信息发送给扫描器服务端，扫描器服务端接收到管理端的扫描开始命令后即对目标进行扫描；此后，服务端一边发送检测数据包到被扫描目标，一边分析目标返回的响应信息，同时服务端还把分析的结果发送给管理端。

　　从结构上来说，不管是主机型还是网络型安全扫描器，都可以看成是策略分析、获取检测工具、获取数据、事实分析和报告分析这样5个主要组成部分。其中策略分析部分用于决定检测哪些主机并进行哪些检测。对于给定的目标系统，获取检测工具部分就可以根据策略分析部分得出的测试级类别，确定需要应用的检测工具。对于给定的检测工具，获取数据部分运行对应的检测过程，收集数据信息并产生新的实时记录。对于给定的事实记录，事实分析部分能产生出新的目标系统、新的检测工具和新的事实记录。新生成的目标系统作为获取检测工具部分的输入，新生成的检测工具又作为获取数据部分的输入，新的事实记录再作为事实分析部分的输入。如此循环直至不再产生新的事实记录为止。报告分析部分则将有用的信息进行整理，便于用户查看扫描结果。