《漏洞扫描技术》PPT课件.ppt

第 7章 漏洞扫描技术 7.1 漏洞概述 7.2 网络扫描技术 7.3 常用的网络扫描工具 7.4 漏洞扫描实例 7.5 小结 思考与练习 7.1 漏洞概述 7.1.1 计算机漏洞的概念 是指计算机系统具有的某种可能被入侵者恶意利用的属性。 通常又称作脆弱性。 简单说，是系统的一组特性，恶意的供给者能够利用这组 特性，通过已授权的手段和方式获取对资源的未授权访问，或 者对系统造成损害。 7.1.2 漏洞与网络安全 漏洞的存在是网络攻击成功的必要条件之一，攻击者要成 功入侵关键在于及早发现和利用目标网络系统的漏洞。 漏洞对网络系统的安全威胁有：普通用户权限提升、获取 本地管理员权限、获取远程管理员权限、本地拒绝服务、远程 拒绝服务、服务器信息泄露、远程非授权文件访问、读取受限 文件、欺骗等。 表 1是与漏洞相关的安全重大事件统计表。 表 1 历年重大安全事件与漏洞的统计 时间 安全重大事件名 所利用的漏洞 1988 年 Int e rne t 蠕虫 S e ndm a i l 及 fi ng e r 漏洞 2000 年 分布式拒绝服务攻击 T CP / IP 协议漏洞 2001 年 红色代码蠕虫 微软 W eb 服务器 IIS 4.0 或 5.0 中 i nde x 服务的安全漏洞 2002 年 S l a m m e r 蠕虫 微软 M S S Q L 数据库系统漏洞 2003 年 冲击波蠕虫 微软操作系统 D CO M RP C 缓冲区溢出漏洞 7.1.3 漏洞存在的原因 (1)软件或协议设计和实现的缺陷 ， 如 NFS本身不包括认证 机制；不对输入数据的合法性进行检查 。 (2) 错误配置 ， 如 sql server的默认安装； ftp服务器的 匿名访问 。 (3) 测试不充分 ， 大型软件日益复杂 ， 软件测试不完善 ， 甚至缺乏安全测试 。 (4) 安全意识薄弱 ， 如选取简单口令 。 (5) 管理人员的疏忽，如没有良好的安全策略及执行制度， 重技术，轻管理。 7.1.4 漏洞信息的发布 漏洞发布是指向公众或用户公开漏洞信息，帮助人们采取 措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安 全性，减少漏洞带来的危害和损失。 漏洞发布一般由软、硬件开发商、安全组织、黑客或用户 来进行。漏洞发布方式主要有三种：网站、电子邮件以及安全 论坛。网络管理员通过访问漏洞发布网站和安全论坛或订阅漏 洞发布电子邮件就能及时获取漏洞信息。 漏洞信息一般包括：漏洞编号、发布日期、安全危害级别、 漏洞名称、漏洞影响平台、漏洞解决建议等。例如，如图 1所 示，国家计算机网络应急技术处理协调中心于 2005年 2月 10日 发布微软的漏洞信息。 图 1 漏洞信息内容显示 1 CVE 通用漏洞和曝光（ CVE， Common Vulnerabilities and Exposures)是 Mitre公司开发的项目，致力于漏洞名称的标准化 工作，提供正式的通用漏洞命名标准服务。 目前， CVE已发布的正式漏洞有两千余条。 网址是 www.cve.mitre.org。 2 CERT 是 Computer Emer Response Team的缩写，是世界上第一个 计算机安全应急响应组织，该组织发布漏洞信息，提供漏洞数 据库，可以通过名字、 ID号、 CVE名字、公布日期、更新日期、 严重性等方法查询漏洞信息。漏洞记录包括漏洞描述、影响、 解决方案、受影响系统等信息。 网址是 http:/www.cert.org。 3 BugTrap漏洞数据库 是由 Security Focus公司开发并维护的漏洞信息库，提供 5 种检索方式：软件提供商、标题、关键字、 BugTrap ID和 CVE ID。 网址是 。 4 CNCERT/CC CNCERT/CC是国家计算机网络应急技术处理协调中心的 简称，负责协调处理我国公共互联网的安全紧急事件，为我国 的公共互联网、主要网络信息应用系统以及关键部门提供计算 机网络安全的监测、预警、应急、防范等安全服务和技术支持， 及时收集、核实、汇总、发布有关互联网安全的权威性信息。 网络地址是 。 5 CCERT CCERT是中国教育和科研计算机网紧急响应组的简称， 对中国教育和科研计算机网及会员单位的网络安全事件提供响 应或技术支持服务，也对社会其他网络用户提供与安全事件响 应相关的咨询服务。 网址是 。 6软件厂商网站 微软公司： 紧急升级通告： 安全通告服务： 升级： Office升级： 产品支持服务： 个人安全建议： SUN公司： 技术支持： 知识库： 补丁网站： 补丁搜索引擎： CISCO公司： 安全建议： 技术援助中心： Cisco Internetworking Operating System (IOS) 参考指南： Cisco产品安全应急： 苹果公司： 技术支持： 操作系统和应用程序补丁： 7.2 网络 扫描技术 黑客在入侵系统之前 ， 通常先对攻击目标进行扫描 。 一次 完整的网络扫描主要分为 3个阶段： （ 1） 发现目标主机或网络； （ 2） 搜集目标信息 （ OS类型 、 服务 、 服务软件版本 ） ； （ 3） 判断或检测目标系统是否存在安全漏洞 。 7.2.1 发现目标 通过发送不同类型的 ICMP或 TCP、 UDP请求 ， 检测目标主机 是否存活 。 使用的技术通常称作 ping扫射 ， 包括 ICMP扫射 、 广 播 ICMP、 非回显 ICMP、 TCP扫射 、 UDP扫射 。 1、 ICMP扫射 使用 ICMP回显请求轮询目标主机 优点：简单 缺点：较慢；不十分可靠 ， 如果目标关闭了对 ICMP回显请 求的响应 ， 则不能发现 。 2、 广播 ICMP 发送 ICMP回显请求到目标网络的网络地址或广播地址 优点：简单；速度比 ICMP扫射快 缺点：只对 unix系统有效；如果目标关闭了对 ICMP回显请 求的响应 ， 则不能发现；可能造成扫描者的 DoS。 3、 非回显 ICMP 发送其它类型 ICMP报文到目标主机 （ 如类型 13、 17） 优点：不受目标阻止 ICMP回显请求的影响 缺点：由于不同 OS的实现 ， 某些类型的 ICMP请求会受限 。 4、 TCP扫射 发送 TCP SYN或 TCP ACK到目标主机 优点：最有效的目标发现方法 缺点：对入侵者而言 ， 防火墙可能影响这种方法的可靠性 。 5、 UDP扫射 发送 UDP数据报到目标网络的广播地址或主机 优点：不受目标阻止 ICMP回显请求的影响 缺点：可靠性低 。 7.2.2 搜集信息 获得目标主机的操作系统信息和开放的服务信息 。 用到的 主要技术有：端口扫描 、 操作系统探测 。 1、 端口扫描 获得目标主机开放的端口和服务信息 。 （ 1） TCP connect（ ） 扫描 利用操作系统提供的 connect（ ） 系统调用 ， 与目标主机 的端口进行连接 。 （ 2） TCP SYN扫描 向目标主机的端口发送一个 TCP SYN报文 ， 辨别收到的响 应是 SYN/ACK报文还是 RST报文 。 又称 “ 半开扫描 ” 。 （ 3） TCP FIN扫描 向目标主机的端口发送一个 TCP FIN报文 ， 开放的端口不 作回应 ， 关闭的端口响应一个 RST报文 。 通常只对 unix的 tcp/ip协议栈有效 。 （ 4） TCP 空扫描 2、 操作系统探测 确定操作系统类型 。 主要方法是利用 TCP/IP协议栈指纹 。 每个操作系统通常都使用自己的 TCP/IP协议栈 ， 在实现时 都有自己的特点 ， 一些可选的特性并不总被实现 ， 甚至对协议 做某些改进 。 技术有： ICMP响应分析 、 TCP响应分析 、 （ 1） ICMP响应分析 向目标发送 UDP或 ICMP报文 ， 根据不同的响应特征来判断 操作系统 。 需注意的是 TOS、 总长度 、 标识 、 DF位 、 TTL、 校验 和字段 。 a、 ICMP差错报文引用大小； b、 ICMP差错报文完整性； c、 ICMP差错报文的 “ 优先权 ” 字段； d、 ICMP差错报文 IP头部的不分片位 （ DF） ； e、 ICMP差错报文 IP头部的 TTL字段缺省值； （ 2） TCP响应分析 通过不同操作系统对特定 TCP报文的不同响应来区分操作 系统 。 a、 FIN探测； b、 伪标记位探测； c、 TCP ISN取样； d、 DF位监视； e、 ACK值； f、 TCP选项 。 7.2.3 漏洞检测 目标主机存在哪些漏洞 ？ 方法有：直接测试 、 推断 。 直接测试：利用漏洞的特点 。 如 IIS5.0的 unicode漏洞 。 推断：版本检查 、 程序行为分析 、 协议栈指纹分析 。 7.3 常用网络漏洞扫描工具 7.3.1 Nessus Nessus是典型的网络扫描器，由客户端和服务器端两部分 组成，支持即插即用的漏洞检测脚本。它是一套免费、功能强 大、结构完整、时时更新且相当容易使用的安全漏洞扫描软件。 这套软件的发行目的是帮助系统管理者搜寻网络系统中存在的 漏洞。 Nessus的使用模式如图所示。 图 5 Nessus的使用模式 被检查网络 漏洞检查客户程序 n e s s u s 漏洞检查服务程序 n e s s u s d 7.3.2 LANguard网络扫描器 LANguard网络扫描器允许使用者扫描局域网内部的电脑， 搜集它们的 NetBIOS信息、打开端口、共享情况和其他相关资 料，这些资料可以被管理员利用来进行安全维护，通过它可 以强行关闭指定端口和共享目录。 7.3.3 X-scan X-scan是由国内安全组织 Xfocus开发的漏洞扫描工具 ， 运 行在 Windows环境中 。 7.4 漏洞扫描实例 7.4.1 漏洞扫描工作模式 漏洞扫描工作模式有两种：一种是把漏洞扫描器安装在 被扫描的系统中，这种情形适合于单机漏洞扫描；另一种则 是把漏洞扫描器安装在一台专用的计算机中，然后通过该计 算机来扫描其他系统的漏洞，这种模式适合于扫描网络系统。 7.4.2 Windows系统漏洞扫描实例 假设管理员想远程检查某台 Windows服务器是否存在 RPC漏 洞 ， 以防止蠕虫攻击 。 该服务器的 IP地址是 192.168.0.100， 则漏洞扫描解决方案如下： 第一步 ， 网络管理员从网络下载具有 RPC漏洞扫描功能的 软件 retinarpcdcom.exe； 第二步 ， 网络管理员把 retinarpcdcom.exe安装到管理机 上； 第三步 ， 网络管理员运行 retinarpcdcom.exe； 第四步 ， 网络管理员输入 Windows服务器的 IP地址； 第五步，网络管理员查看扫描结果，如图 7所示。 图 7 RPC漏洞扫描信息 7.5 小 结 本章首先给出了漏洞的概念，阐述了漏洞与网络安全的关 系，分析了漏洞来源，并给出了漏洞发布机制及常用的漏洞信 息公布网址。其次，本章还系统地说明了网络扫描技术方法， 列举了常用的漏洞扫描软件工具。最后，本章举例说明了 Windows系统漏洞扫描等应用。 思考与练习 1请解释漏洞的概念。 2漏洞会导致哪些安全威胁？ 3网络系统的漏洞来源有哪几方面？ 4如何获取漏洞信息？ 5漏洞扫描技术有哪几种？ 6常见的网络漏洞扫描工具有哪些 ? 7常用的漏洞信息网址有哪些 ?