黎波

[摘 要]利用掃描技術對邊界網(wǎng)關的各端口進行掃描從而獲得對方所開放的服務及系統(tǒng)信息，然后分析得到對應的BUG，根據(jù)這些BUG制定相應的攻擊策略和攻擊手段。所以，掃描是進行網(wǎng)絡攻擊前必不可少的準備。掃描本身的特點導致其不能直接防御，在本文中介紹的自我掃描方法是從間接的角度防御掃描，從而有效的抵御后繼的網(wǎng)絡攻擊。

[關鍵詞]掃描 邊界網(wǎng)關 網(wǎng)絡攻擊 自我掃描

一、引言

面對網(wǎng)絡中的各種掃描技術，尤其是針對邊界網(wǎng)關的掃描需要特別注意，因為邊界作為互聯(lián)網(wǎng)的基礎設施，主要負責各AS之間的數(shù)據(jù)通信。一旦邊界網(wǎng)關的系統(tǒng)薄弱的環(huán)節(jié)被掃描出來，將會成為攻擊者攻擊邊界網(wǎng)關的首要資料，那么邊界網(wǎng)關就面臨著巨大的網(wǎng)絡安全威脅。如果邊界網(wǎng)關被攻擊成功，那么AS內(nèi)計算機的通信癱瘓，他難怪是，AS內(nèi)的計算機資源的安全得不到保證。所以，在邊界網(wǎng)關上，必須采取一定的策略和辦法來抵制對網(wǎng)關的掃描。在下面的介紹中，我們將構建一種“自我掃描”模型來抵抗針對邊界網(wǎng)關的掃描攻擊。

二、自我掃描策略介紹

由于邊界網(wǎng)關要維護網(wǎng)絡的正常通信，必須開發(fā)一些必要的端口，提供必要的服務。而掃描技術基本上是利用TCP協(xié)議本身在安全防御方面的先天不足。模擬和邊界網(wǎng)關建立連接等方式獲得網(wǎng)關端口的基本情況，所以，從掃描本身來說，是很難檢測到該連接時合法連接還是掃描器的模擬連接。因此，要直接抵抗掃描難度很大。

自我掃描本質(zhì)上是一種實時的掃描策略，其核心在于自我掃描，基本思想是：利用掃描技術對邊界網(wǎng)關自身進行掃描，從而反饋出本網(wǎng)關在提供的端口信息、服務信息、系統(tǒng)漏洞、管理缺陷等方面的信息，然后對這些信息進行分析，找出當前網(wǎng)關的不足和漏洞，即：BUG，針對這些BUG，及時采取補救措施和制定進一步的完善策略，從自身的角度來分析自身的缺陷所在。

該策略不直接過濾和抵抗網(wǎng)絡對邊界網(wǎng)關的掃描，而是通過自我掃描的方式發(fā)現(xiàn)網(wǎng)關的系統(tǒng)問題。也就是一種典型的“自我批評、自我剖析”的方式。

三、自我掃描模型的結構

該系統(tǒng)由5部分構成，各部分各司其職，根據(jù)執(zhí)行的先后順序，統(tǒng)一協(xié)調(diào)的完成自我掃描任務，發(fā)現(xiàn)邊界網(wǎng)關的漏洞和不足，為下一步的自我完善提供信息和材料。它由掃描實例集、掃描工具集、信息中心、信息分析中心和完善處理單元組成，他的功能結果如下圖所示：

（圖1）

1.掃描實例集。這個模塊負責收集針對網(wǎng)關系統(tǒng)各掃描指標，比如各端口、服務、系統(tǒng)等。這是一個很重要的部分，因為如果某些敏感的指標沒有考慮到，那么該指標導致的安全問題就不易被發(fā)現(xiàn)，而該指標很可能被攻擊者掃描到，成了自我掃描中的一個盲點，而被攻擊者利用了。

2.掃描工具集。這是執(zhí)行掃描任務的軟件的集合，可能不止一種掃描工具。在選擇掃描工具的時候一定要根據(jù)掃描對象的情況選擇合適的掃描工具，才能有效的掃描出邊界網(wǎng)關的漏洞和不足。

3.信息中心。該模塊主要的任務在于接收掃描后收集起來的各種掃描結果，即：信息，將這些信息組織管理起來，及時的提供給分析中心的分析使用。

4.信息分析中心。顧名思義，該模塊的主要職能在于對信息中心收集到的信息進行檢查分析，然后得出分析結果，即：當前網(wǎng)關存在的不安全因素，比如：系統(tǒng)的漏洞、缺陷、管理上的盲區(qū)等。

5.完善處理單元。這是自掃描模型的核心，該模塊的職能在于根據(jù)信息分析中心找到的系統(tǒng)漏洞，經(jīng)過有效的驗證和核實，找到解決問題的辦法，對系統(tǒng)進行完善和修復，使之暴露的問題能被解決而防止網(wǎng)絡中對邊界網(wǎng)關的攻擊。這個模塊的執(zhí)行過程就是邊界網(wǎng)關系統(tǒng)不斷完善、升級、增強的過程。

四、自我掃描模型的工作原理

自我掃描模型的5個模塊經(jīng)過嚴密的合作，便能有效的防止攻擊者對邊界網(wǎng)關的掃描，從而避免對邊界網(wǎng)關造成威脅。它的工作原理如圖2所示：

從圖2可以看出，自我掃描策略工作過程如下所述：

（1）首先應該確定掃描實例集，也就是要確定對系統(tǒng)的那些指標進行掃描，從而得出的一個掃描集合。

（2）確立執(zhí)行掃描的工具，掃描工具一定要針對目標系統(tǒng)的不同而有所調(diào)整。（1）、（2）準備好后轉(zhuǎn)入（3）。

（3）開始掃描，將掃描后的結果送入信息中心保存，然后轉(zhuǎn)入（4）。

（4）信息分析中心根據(jù)信息中心所提供的信息開始分析、比對，檢測。如果發(fā)現(xiàn)有新信息，就說明出現(xiàn)了新的BUG，那么就對新出現(xiàn)的BUG尋求解決辦法.然后轉(zhuǎn)入（5）。

（5）找到新的解決辦法后，立即完善邊界網(wǎng)關系統(tǒng)，不留任何機會給攻擊者。轉(zhuǎn)入（1），循環(huán)實時的對邊界網(wǎng)關進行掃描。

五、總結

自我掃描模型在本質(zhì)上和其他掃描技術是相同的，唯一的不同在于，攻擊者掃描的目的是為了獲得基礎信息為下一步攻擊做準備；而自我掃描模型執(zhí)行掃描的目的在于獲得這些基礎信息，發(fā)現(xiàn)自身系統(tǒng)的BUG，從而不斷的對系統(tǒng)進行完善和加強，更有效的防御攻擊。

參考文獻：

[1].張千里，陳光英《網(wǎng)絡安全新技術》人民郵電出版社

[2].楊義先，鈕心忻《網(wǎng)絡安全理論與技術》人民郵電出版社

[3]高永強，郭世澤《網(wǎng)絡安全技術與應用大典》人民郵電出版社

[4]劉熙，淺談黑客攻防.硅谷.2009.1671—7597

[5]王峰.淺析入侵檢測.電腦知識與技術.2009 005（002）.1009—3044

[6] Lisa Vaas. Tying the network access knot. eWeek. 2007. 1530—6283

[7] Gibson， T. Securing large—scale military networks： homogenous protection for disparate environments . IEEE Network. 2002 0890—8044

[8] Chi—Hung Kelvin Chu； Ming Chu. An Integrated Framework for the Assessment of Network Operations， Reliability， and Security. Bell Labs Technical Journal. 2004. 1089—7089