漏洞扫描技术包括ping扫描、端口扫描、Os探测、脆弱点探测、防火墙扫描等，每种技术实..

免费智能真题库 > 历年试卷 > 信息系统监理师 > 2015年上半年信息系统监理师上午试卷综合知识

第21题

知识点：端口防火墙 ping 端口扫描漏洞扫描

关键词：端口防火墙漏洞扫描漏洞章/节：信息网络系统

漏洞扫描技术包括ping扫描、端口扫描、Os探测、脆弱点探测、防火墙扫描等，每种技术实现的目标和运用的原理各不相同。其中端口扫描、防火墙扫描工作在（21）。

A. 传输层

B. 网络层

C. 应用层

D. 会话层

相关试题：防火墙技术、数字加密技术、入侵监测和漏洞扫描技术、物理隔离、访问限制、安全体系架构和 VPN

更多>

第21题 2015年下半年

46%

网闸，即安全隔离与信息交换系统。以下关于网闸的叙述中，（）是正确的。

第20题 2019年上半年

71%

（）不属于漏洞扫描系统的功能和性能要素。

第10题 2009年上半年

48%

(10)被定义为防火墙外部接口与Internet路由器的内部接口之间的网段，起到把敏感的内部网络与其他网络隔离开来，同时又为相关用户..


知识点讲解
· 端口 · 防火墙 · ping · 端口扫描 · 漏洞扫描

端口

在TCP/IP网络中，传输层的所有服务都包含端口号，它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。

端口号和设备IP地址的组合通常称作插口（Socket）。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号。这些知名端口号由Internet号分配机构（Internet Assigned Numbers Authority，IANA）来管理。例如，SMTP所用的TCP端口号是25，POP3所用的TCP端口号是110，DNS所用的UDP端口号为53，WWW服务使用的TCP端口号为80。FTP在客户端与服务器的内部建立两条TCP连接，一条是控制连接，端口号为21；另一条是数据连接，端口号为20。

256～1023之间的端口号通常由UNIX系统占用，以提供一些特定的UNIX服务。也就是说，提供一些只有UNIX系统才有的、其他操作系统可能不提供的服务。

在实际应用中，用户可以改变服务器上各种服务的保留端口号，但要注意在需要服务的客户端也要改为同一端口号。

防火墙

防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范，以及安全操作系统等方面。防火墙的主要目标是控制出入一个网络的权限，并迫使所有的连接都经过这样的检查，它主要可以分为以下5种类型。

（1）包过滤防火墙。也称为访问控制表。它根据定义好的过滤规则审查每个数据包，并根据是否与规则匹配来决定是否能够通过。

（2）应用网关防火墙。是指在网关上执行一些特定的应用程序和服务器程序，以实现协议过滤和转发功能。

（3）代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信，达到隐蔽内部网络的目的。

（4）状态检测防火墙。也称为自适应防火墙、动态包过滤防火墙，通过状态检测技术记录、维护各个连接的协议状态，并对IP包进行分析，决定是否能够通过，它具有很高的效率。

（5）自适应代理技术。自适应代理根据用户的安全策略，动态地适应传输中的分组流量。它整合了动态包过滤防火墙和应用代理技术，本质上是状态检测防火墙。

由于防火墙主要用于限制保护的网络和因特网之间或与其他网络之间进行相互的信息存取、传递操作，它处于内部网络和外部网络之间，因此网络应用受到结构性限制，内部安全隐患仍然存在，效率较低，而故障率较高。这些问题导致了：

（1）不能防范外部刻意的人为攻击；

（2）不能防范内部用户的攻击；

（3）不能防止内部用户因误操作而造成的口令失密及受到的攻击；

（4）很难防止病毒或受病毒感染的文件的传输。

ping

ping通过发送"Internet控制报文协议（ICMP）"回送请求／应答报文来验证与另一台TCP/IP计算机的IP级连接。回送请求/应答报文的接收情况将和往返过程的次数一起显示出来。ping是用于检测网络连接性、可到达性和名称解析的疑难问题的主要TCP/IP命令。如果不带参数，ping将显示帮助。

1）语法格式

2）参数说明

参数如下表所示。

ping的选项

端口扫描

端口扫描的目的是找出目标系统上提供的服务列表。端口扫描程序挨个尝试与TCP/UDP端口连接，然后根据端口与服务的对应关系，结合服务器端的反应推断目标系统上是否运行了某项服务，攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。根据端口扫描利用的技术，扫描可以分成多种类型，下面分别叙述。

完全连接扫描

完全连接扫描利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功，则表明该端口开放。否则，表明该端口关闭。

半连接扫描

半连接扫描是指在源主机和目的主机的三次握手连接过程中，只完成前两次握手，不建立一次完整的连接。

SYN扫描

首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放。

ID头信息扫描

这种扫描方法需要用一台第三方机器配合扫描，并且这台机器的网络通信量要非常少，即dumb主机。

首先由源主机A向dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会增加1。然后由源主机A假冒主机B的地址向目的主机C的任意端口（1～65535）发送SYN数据包。这时，主机C向主机B发送的数据包有两种可能的结果：

. SYN|ACK表示该端口处于监听状态。

. RST|ACK表示该端口处于非监听状态。

那么，由后续PING数据包的响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1，而是大于1。如果主机C的某个端口是非开放的，则主机B返回A的数据包中，ID头的值递增1，非常规律。

隐蔽扫描

隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式。

SYN|ACK扫描

由源主机向目标主机的某个端口直接发送SYN|ACK数据包，而不是先发送SYN数据包。由于这种方法不发送SYN数据包，目标主机会认为这是一次错误的连接，从而会报错。

如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态（LISTENING），则不会返回任何信息，而是直接将这个数据包抛弃掉。

FIN扫描

源主机A向目标主机B发送FIN数据包，然后查看反馈信息。如果端口返回RESET信息，则说明该端口关闭。如果端口没有返回任何信息，则说明该端口开放。

ACK扫描

首先由主机A向目标主机B发送FIN数据包，然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64，而关闭端口的返回值一般大于64。开放端口所返回的数据包的WIN值一般大于0，而关闭端口的返回值一般等于0。

NULL扫描

将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。

XMAS扫描

XMAS扫描的原理和NULL扫描相同，只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等头标志位全部置成1。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。

网络端口扫描是攻击者必备的技术，通过扫描可以掌握攻击目标的开放服务，根据扫描所获得的信息，为下一步的攻击做准备。

漏洞扫描

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

入侵者一般利用扫描技术获取系统中的安全漏洞侵入系统，而系统管理员也需要通过扫描技术及时了解系统存在的安全问题，并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。从对黑客攻击行为的分析和收集的漏洞来看，绝大多数都是针对某一个网络服务，也就是针对某一个特定的端口的。所以漏洞扫描技术也是以与端口扫描技术同样的思路来开展扫描的。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。

分类和实现方法

基于网络系统漏洞库漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等。这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息；漏洞扫描还包括没有相应漏洞库的各种扫描，如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPEN Relay邮件转发漏洞探测等，这些扫描通过使用插件功能模块技术进行模拟攻击，测试出目标主机的漏洞信息。下面就这两种扫描的实现方法进行讨论。

（1）漏洞库的匹配方法。基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验，可以形成一套标准的网络系统漏洞库，然后在此基础上构成相应的匹配规则，由扫描程序自动进行漏洞扫描工作。

这样，漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能，漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。因此漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件，而且应当能满足前面所提出的性能要求。

（2）插件功能模块技术。插件是由脚本语言编写的子程序，扫描程序可以通过调用它来执行漏洞扫描，检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能，扫描出更多的漏洞。插件编写规范化后，甚至用户自己都可以用Perl、C或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使漏洞扫描软件具有很强的扩展性。

存在的问题及解决

现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描，但是这两种方法在不同程度上也各有不足之处。

（1）系统配置规则库问题。网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂所在，而系统漏洞的确认是以系统配置规则库为基础的。但是这样的系统配置规则库存在其局限性：

.如果规则库设计得不准确，预报的准确度就无从谈起；

.它是根据已知的安全漏洞进行安排和策划的，而对网络系统的很多危险的威胁却是来自未知的漏洞，这样如果规则库更新不及时，预报准确度也会逐渐降低；

.受漏洞库覆盖范围的限制，部分系统漏洞也可能不会触发任何一个规则，从而不被检测到。

解决建议：系统配置规则库应能不断地被扩充和修正，这样也是对系统漏洞库的扩充和修正，目前仍需要专家的指导和参与才能够实现。

（2）漏洞库信息要求。漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如漏洞库信息不全面或得不到及时更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，导致不能采取有效措施消除安全隐患。

解决建议：漏洞库信息不但应具备完整性和有效性，也应具有简易性的特点，这样即使是用户自己也易于对漏洞库进行添加配置，从而实现对漏洞库的即时更新。比如漏洞库在设计时可以基于某种标准来建立，这样便于扫描者的（CVE）理解和信息交互，使漏洞库具有比较强的扩充性，更有利于以后对漏洞库的更新升级。

（3）安全评估能力。有些扫描器如著名的ISS Internet Scanner，虽然扫描漏洞的功能强大，但只是简单地把各个扫描测试项的执行结果罗列出来，不能提供详细的描述和分析处理方案；而当前较成熟的扫描器虽然能对扫描出的漏洞进行整理，形成报表，并提供具体的描述和有效的解决方案，但仍缺乏对网络的状况有一个整体的评估，对网络安全也没有系统的解决方案。

解决建议：未来的漏洞扫描器不但能扫描安全漏洞，所使用的漏洞扫描技术还应智能化，不但能提高扫描结果的准确性，而且应能协助网络系统管理员评估本网络的安全状况，并给出合适的安全建议。

题号导航 2015年上半年信息系统监理师上午试卷综合知识

本试卷我的完整做题情况



	第21题在手机中做本题