4）ICMPERROR报文引用。RFC文件中规定，ICMP ERROR消息要引用导致该消息的ICMP消息的部分内容。例如对于端口不可达消息，某些OS返回收到的IP头及后续的8个字节，Solaris返回的ERROR消息中则引用内容更多一些，而Linux比Solaris还要多。

    （2）被动栈指纹探测

    被动栈指纹探测是在网络中监听，分析系统流量，用默认值来猜测0S类型的技术。

    1）TCP初始化窗口尺寸。通过分析响应中的初始窗口大小来猜测OS的技术比较可靠，因为很多0S的初始窗口尺寸不同。比如AIX设置的初始窗口尺寸是0x3F25，而Windows NT5、OpenBSD、FreeBSD设置的值是0x402E。

    2）Don't Fragment位。为了增进性能，某些0S在发送的包中设置了DF位，可以从DF位的设置情况中做大概的判断。

    3）TCPISN采样。建立TCP连接时，SYN／ACK中初始序列号ISN的生成存在规律，比如固定不变、随机增加（Solaris，FreeBSD等），真正的随机（Linux 2.0.*），而Windows使用的是时间相关模型，ISN在每个不同时间段都有固定的增量。

    2.4脆弱点扫描

    从对黑客攻击行为的分析和脆弱点的分类，绝大多数扫描都是针对特定操作系统中特定的网络服务来进行，即针对主机上的特定端口。脆弱点扫描使用的技术主要有基于脆弱点数据库和基于插件两种。

    2.4.1基于脆弱点数据库的扫描

    首先构造扫描的环境模型，对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析。其次基于分析的结果，生成一套标准的脆弱点数据库及匹配模式。最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作。脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性。

    2.4.2基于插件的扫描

    插件是由脚本语言编写的子程序模块，扫描程序可以通过调用插件来执行扫描。添加新的功能插件可以使扫描程序增加新的功能，或者增加可扫描脆弱点的类型与数量。也可以升级插件来更新脆弱点的特征信息，从而得到更为准确的结果。插件技术使脆弱点扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使弱点扫描软件具有很强的扩展性。

    2.5防火墙规则探测

    采用类似于traceroute的IP数据包分析法，检测能否给位于过滤设备后的主机发送一个特定的包，目的是便于漏洞扫描后的入侵或下次扫描的顺利进行。通过这种扫描，可以探测防火墙上打开或允许通过的端口，并且探测防火墙规则中是否允许带控制信息的包通过，更进一步，可以探测到位于数据包过滤设备后的路由器。

    3 常见漏洞扫描程序

    通常在制定漏洞扫描策略时，扫描者会考虑程序的操作系统、所应用的技术、易用性、准确性等因素。其中，程序的可用性是最重要的，也是最基本的，但是可控性和准确性同样不容忽视。

    3.1 Unix／Linux平台

    3.1.1 hping

    hping支持TCP、UDP、ICMP、RAW-IP多种协议。特点在于能进行ping扫描、端口扫描、0S探测、防火墙探测等多种扫描，并能自定义发送的ICMP／UDP／TCP包到目标地址并且显示响应信息。

    3.1.2 icmpush&icmpquery

    icmpush&icmpquery的特点在于完全应用了ICMP协议，可以定制ICMP包的结构以及种类。扫描者可以用这套工具把目标网络的各个子网全部查找出来，从而可以撇开广播地址而集中扫描某几个特定的子网。

    3.1.3 Xprobe 2

    是专业的端口扫描、OS探测程序。特点在于自身的0S特征数据库详细，进行OS探测的可靠性较好。

    3.1.4 THC-Anap

    OS探测程序。特点在于扫描速度快，扫描结果可靠。

    3.1.5 Whisker

    针对CGI的脆弱点探测程序。应用了多线程、多文件扫描技术，脆弱点数据库更新频繁，对扫描结果自行复核，从而扫描结果可靠性好。

    3.1.6 Nessus

    脆弱点探测程序。应用了主动扫描、高速扫描技术，可设置扫描过程。特点在于支持DMZ区以及多物理分区网络的大范围扫描。

    3.1.7 Firewalk

    防火墙探测程序。使用类似traceroute的技术来分析IP包的响应，从而测定防火墙的访问控制列表和绘制网络拓扑图。

    3.2 Windows平台

    3.2.1 Pinger

    是一个图形化的ping扫描工具。特点在于可以指定要ping的IP地址，以图形的形式显示扫描结果，并保存至文本文件。

    3.2.2 Fport

    是端口扫描程序。特点在于可以把扫描出的端口与使用该端口的程序相匹配，扫描速度快，匹配程度较好。

    3.2.3 SuperScan

    可以进行ping扫描、端口扫描、0S探测，并且白带一个木马端口列表，可以检测目标计算机是否有木马。

    3.2.4 GFILANguard

    脆弱点探测程序。特点在于集成了网络审计、补丁管理功能，可以自动生成网络拓扑图、自动补丁管理。

    上述漏洞扫描程序及特点如表1所示。

    4 结论

    一般而言，综合地应用多种扫描方法或扫描程序可以得到比较满意的结果。但是漏洞扫描从其技术原理上分析，有不可忽视的副作用。比如对大范围的IP地址或者端口进行某种扫描，反复高速的发出特定的连接请求，所造成的结果就是目标网络及主机上存在大量的连接请求数据包，可以造成网络拥塞，主机无法正常使用，这正是DoS攻击的方法及表现。因此若要防范漏洞扫描以及可能的DoS攻击，要做到以下三点：

    1.在防火墙及过滤设备上采用严格的过滤规则，禁止扫描的数据包进入系统。

    2.主机系统除了必要的网络服务外，禁止其它的网络应用程序。

    3.对于只对内开放的网络服务，更改其提供服务的端口。

    此外，网络扫描时发送的数据或多或少都会含有扫描者自身相关信息，从而也可以抓取扫描时的数据包，对扫描者进行反向追踪，这也是一个值得研究的方向。