网络安全扫描
安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
网络安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
网络安全扫描主要技术:
1.1漏洞扫描
漏洞扫描是通过扫描网络系统有关硬软件要素或者网络系统应用的安全策略错误引起的安全隐患。当漏洞扫描程序发现未经许可的系统访问或者企图破坏网络系统正常运行的行为来评判网络系统所面临的安全威胁,其主要针对由于网络协议、参数配置不当或者应用系统缺陷引起的安全漏洞。目前,针对漏洞扫描的方法主要有漏洞库的特征匹配法和插件技术2种。其中,漏洞库的特征匹配法是采用基于规则的匹配技术,由扫描程序自动运行进行的漏洞扫描工作;插件技术又称为功能模块技术,是通过脚本语言编写的扫描程序来检测系统漏洞,这种技术使漏洞扫描软件的生机维护变得相对简单,插件的形式也大大提高了漏洞扫描软件的扩展性。
1.2端口扫描
端口扫描是指对网络潜在通信通道的扫描,主要通过2种手段来实现。
①向目标主机的TCP/IP服务端口发送扫描探测数据包,并记录目标主机的反馈信息,通过分析反馈信息判断主机应用端口的开关,以此来获得端口运行的相关信息;
②通过网络主机/服务器的出入数据包来监视本地主机运行情况。第二种手段再应用过程中只可以分析接收到的数据,而不会重新产生系统应用程序,这样可以防止产生新的安全威胁,有效帮助网络管理员及时发现网络安全隐患。典型的端口扫描方式主要有TCP全连接扫描和TCP半连接扫描。其中,TCP全连接扫描的工作流程是通过向主机端口发送Syn报文,然后接收端口的反馈信息Syn/Ack,最后再向目标端口发送Ack报文;TCP半连接扫描又叫"半开放扫描",它的工作流程是通过扫描程序向目标端口发送Syn报文,通过分析反馈信息来判断端口是出于侦听还是关闭状态,其过程的建立不是建立在完全连接的基础之上,所以不会在网络主机上保存记录,只需要开放相关权限即可。
1.3操作系统探测
操作系统探测是通过检查操作系统类型或版本信息来确保网络信息安全的一种手段。随着操作系统应用功能的不断强大,其系统构建越来越复杂,导致操作系统的安全隐患也越来越多。许多网络攻击者都将操作系统作为攻击首选,但要达成攻击目的,收集主机操作系统信息是必要条件,因此运用操作系统探测技术来探测目标主机信息可以做到针对操作系统安全隐患的未雨绸缪。目前,应用的操作系统探测技术主要有TCP/IP协议栈指纹探测和应用层探测2种。TCP/IP协议栈指纹探测是通过探测操作系统TCP/IP协议栈实现过程中的差别来判定操作系统类别;应用层探测技术是通过与目标主机建立联系,以发送服务连接或访问主机记录的方式来探测目标主机操作系统的有关信息。