Cỏc chƣơng trỡnh scanner thƣờng cú một cơ chế chung là rà soỏt và phỏt hiện những port TCP/UDP đƣợc sử dụng trờn một hệ thống cần tấn cụng; Từ đú phỏt hiện những dịch vụ sử dụng trờn hệ thống đú; sau đú cỏc chƣơng trỡnh scanner ghi lại những đỏp ứng trờn hệ thống ở xa tƣơng ứng với cỏc dịch vụ mà nú phỏt hiện ra. Dựa vào những thụng tin này, những kẻ tấn cụng cú thể tỡm ra những điểm yếu trờn hệ thống.
Những yếu tố để một chƣơng trỡnh Scanner cú thể hoạt động
Yờu cầu về thiết bị và hệ thống: Một chƣơng trỡnh Scanner cú thể hoạt động đƣợc nếu mụi trƣờng đú cú hỗ trợ TCP/IP (bất kể hệ thống là UNIX, mỏy tớnh tƣơng thớch với IBM, hoặc dũng mỏy Macintosh)
Tuy nhiờn khụng phải đơn giản để xõy dựng một chƣơng trỡnh Scanner, những kẻ phỏ hoại cần cú kiến thức sõu về TCP/IP, những kiến thức về lập trỡnh C, PERL và một số ngụn ngữ lập trỡnh Shell. Ngoài ra ngƣời lập trỡnh (hoặc ngƣời sử dụng) cần cú kiễn thức là lập trỡnh socket, phƣơng thức hoạt động của cỏc ứng dụng client/server.
Hiện nay cú nhiều chƣơng trỡnh Scanner (cả miễn phớ và thƣơng phẩm) cú giỏ trị trờn thị trƣờng. Một số địa chỉ Web site hƣớng dẫn tạo cỏc chƣơng trỡnh scannner:
Địa chỉ http://tecstar.cv.com/~dan/tec/primer/socket_programming.html - Hƣớng dẫn lập trỡnh socket và tạo cỏc chƣơng trỡnh scanner
Địa chỉ http://149.17.36.24/prog/sockets.html - Hƣớng dẫn lập trỡnh socket trờn mụi trƣờng BSD 4.3
Ảnh hưởng của chương trỡnh Scanner đến bảo mật trờn mạng Internet
Cỏc chƣơng trỡnh Scanner cú vai trũ quan trọng trong một hệ thống bảo mật, vỡ chỳng cú khả năng phỏt hiện ra những điểm yếu kộm trờn một hệ thống mạng. Đối với ngƣời quản trị mạng những thụng tin này là hết sức hữu ớch và cần thiết; đối với những kẻ phỏ hoại những thụng tin này sẽ hết sức nguy hiểm.
Giới thiệu một số chương trỡnh Scanner thụng dụng:
Trờn hệ thống Unix, cú một số tiện ớch đúng vai trũ nhƣ cỏc chƣơng trỡnh scanner, Vớ dụ:
Tiện ớch host:
Sử dụng tiện ớch này để chuyển đổi từ tờn một host sang địa chỉ IP tƣơng ứng với host đú (giống với tiện ớch nslookup). Vớ dụ:
# host -l -v -t any bu.edu Cho kết quả nhƣ sau:
Found 1 addresses for BU.EDU
Found 1 addresses for RS0.INTERNIC.NET Found 1 addresses for SOFTWARE.BU.EDU Found 5 addresses for RS.INTERNIC.NET Found 1 addresses for NSEGC.BU.EDU Trying 128.197.27.7
961112121 ;serial (version) 900 ;refresh period
900 ;retry refresh this often 604800 ;expiration period 86400 ;minimum TTL ) bu.edu 86400 IN NS SOFTWARE.BU.EDU bu.edu 86400 IN NS RS.INTERNIC.NET bu.edu 86400 IN NS NSEGC.BU.EDU bu.edu 86400 IN A 128.197.27.7
Bản thõn những thụng tin này khụng quan trọng vỡ chỳng hoàn toàn cú tớnh public (cụng cộng); hầu hết cỏc thụng tin này cú thể tỡm thấy bằng lệnh WHOIS.
Nhƣng nếu thụng tin đƣa ra là
bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX PPP-77-25.bu.edu 86400 IN A 128.197.7.237
PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW PPP-77-26.bu.edu 86400 IN A 128.197.7.238
PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW ODIE.bu.edu 86400 IN A 128.197.10.52
ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU
ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1
Từ thụng tin này những kẻ tấn cụng cú thể phỏt hiện ra một trạm đang chạy DEC-ALPHA-3000 sử dụng OSF1
Một chƣơng trỡnh Scanner rất thụng dụng và phổ biến khỏc là SATAN, chi tiết hoạt động và chức năng của chƣơng trỡnh này sẽ đƣợc trỡnh bày trong phần phụ lục.