漏洞扫描技术的原理和应用专业知识讲座课件

第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.1 网络系统漏洞概述网络系统漏洞概述 10.1.1 10.1.1 漏洞概念漏洞概念 漏洞又称为脆弱性，它是指计算机系统中与安全策略相冲突的状态或错误，这些状态或错误将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。CC标准指出，威胁主体利用漏洞实现攻击。然而，网络系统的漏洞是广泛存在的，包括通信协议、操作系统软件应用系统和网络管理等都有或多或少的漏洞，这些漏洞的存在成为网络系统的安全隐患。因此，漏洞管理已经成为网络管理的重要工作之一。10.1 网络系统漏洞概述 10.1.1 漏洞概念1第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.1.2 10.1.2 漏洞与网络安全漏洞与网络安全研究表明，网络系统中漏洞的存在是网络攻击成功的必要条件之一，攻击者要成功入侵关键在于及早发现和利用目标网络系统的漏洞。攻击者利用漏洞对网络系统安全构成的威胁有：普通用户权限提升、获取本地管理员权限、获取远程管理员权限、本地拒绝服务、远程拒绝服务、服务器信息泄露、远程非授权文件访问、读取受限文件、口令恢复、欺骗等。表10-1是与漏洞相关的安全重大事件统计表。10.1.2 漏洞与网络安全2第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。表表10-1 历年重大安全事件与安全漏洞的统计历年重大安全事件与安全漏洞的统计 表10-1 历年重大安全事件与安全漏洞的统计 3第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.1.3 10.1.3 网络系统漏洞来源网络系统漏洞来源网络系统中漏洞的来源有许多种，主要有以下几类：(1)软件编程错误，如未对用户输入数据的合法性进行验证，使攻击者非法进入系统。(2)安全配置不当，如系统和应用的配置有误，或配置参数、访问权限、策略安装位置有误。(3)测试不充分，大型软件日益复杂，软件测试不完善，甚至缺乏安全测试。(4)安全意识薄弱，如选取简单口令。(5)安全管理人员的疏忽，如没有良好的安全策略及执行制度，重技术，轻管理，从而导致安全隐患。10.1.3 网络系统漏洞来源4第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.1.4 10.1.4 网络系统漏洞发布机制网络系统漏洞发布机制漏洞发布机制是一种向公众或用户公开漏洞信息的一套方法。将漏洞信息公布给用户，帮助人们采取措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安全性，减少漏洞带来的危害和损失。漏洞发布一般由软、硬件开发商、安全组织、黑客或用户来进行。漏洞发布方式主要有三种形式：网站、电子邮件以及安全论坛。网络管理员通过访问漏洞发布网站和安全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息。漏洞信息公布内容一般包括：漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。例如，如图10-1所示，国家计算机网络应急技术处理协调中心于2005年2月10日发布微软的漏洞信息。10.1.4 网络系统漏洞发布机制5第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-1 漏洞信息内容显示 图10-1 漏洞信息内容显示 6第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.1.5 10.1.5 网络系统漏洞信息公布网址网络系统漏洞信息公布网址1 1CERTCERTCERT是Computer Emer Response Team的缩写，该组织建立于1988年，是世界上第一个计算机安全应急响应组织，其主要的工作任务是提供入侵事件响应与处理。目前，该组织也发布漏洞信息，网络地址是http:/www.cert.org。10.1.5 网络系统漏洞信息公布网址7第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。2 2Security Focus Vulnerability DatabaseSecurity Focus Vulnerability DatabaseSecurity Focus Vulnerability Database是由Security Focus公司开发并维护的漏洞信息库，它将许多原本零零散散的、与计算机安全相关的讨论结果加以结构化整理，组成了一个数据库。网络地址是http:/。2Security Focus Vulnerabili8第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。3 3CVECVE CVE(Common Vulnerabilities and Exposures)是Mitre公司开发的项目，它提供正式的通用漏洞命名标准服务。目前，CVE已发布的正式漏洞有两千余条。网络地址是www.cve.mitre.org。3CVE 9第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。4 4CNCERT/CCCNCERT/CCCNCERT/CC是国家计算机网络应急技术处理协调中心的简称，它是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络安全事件应急小组(CERT)共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流的组织。网络地址是。4CNCERT/CC10第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。5 5CCERTCCERTCCERT是中国教育和科研计算机网紧急响应组的简称，它对中国教育和科研计算机网及会员单位的网络安全事件提供快速的响应或技术支持服务，也对社会其他网络用户提供与安全事件响应相关的咨询服务。网络地址是。5CCERT11第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。6 6软件厂商网站软件厂商网站微软公司：紧急升级通告：http:/ 6软件厂商网站12第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。产品支持服务：http:/ 产品支持服务：13第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。补丁搜索引擎：http:/ Internetworking Operating System(IOS)参考指南：http:/ 补丁搜索引擎：14第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。苹果公司：技术支持：http:/ 苹果公司：15第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.2 漏洞扫描技术漏洞扫描技术 1 1主机漏洞扫描器主机漏洞扫描器主机漏洞扫描器不需要通过建立网络连接就可以进行，通过检查本地系统中各种关键性文件的内容及安全属性，来发现因配置不当引入的漏洞。这种扫描漏洞技术方法通常称为基于主机漏洞检测技术，扫描器的运行需要安装目标系统访问权限，甚至需要安装在目标系统中。因此，基于主机漏洞扫描器必须与被扫描系统在同一台主机上，并且只能进行单机检测。10.2 漏洞扫描技术 1主机漏洞扫描器16第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。2 2网络漏洞扫描器网络漏洞扫描器网络漏洞扫描器通过与待扫描的目标机建立网络连接，然后发送特定请求进行漏洞检查。网络漏洞扫描器与主机漏洞扫描器的区别在于，网络扫描需要与被扫描目标建立网络连接。通常把网络漏洞扫描器使用的漏洞检测技术称为网络漏洞检测技术。网络漏洞扫描器既可以扫描本地主机的网络漏洞，又可以扫描远程主机的网络漏洞，因此，网络漏洞扫描器可以对整个局域网上的所有主机进行漏洞检查。但是，由于没有主机系统的访问权限，网络漏洞扫描器也有其自身的缺陷：它只能获得有限的信息，主要是各种网络服务中的漏洞。2网络漏洞扫描器17第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.3 漏洞扫描器组成结构漏洞扫描器组成结构 1 1用户界面用户界面用户界面部分主要完成以下的功能：(1)接受并处理用户输入、定制扫描策略、开始和终止扫描操作、分析扫描结果报告等。(2)显示系统扫描器工作状态。10.3 漏洞扫描器组成结构 1用户界面18第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。2 2扫描引擎扫描引擎扫描引擎部分主要完成以下的功能：(1)响应界面指令。(2)读取扫描策略数据库，并依此制定执行方案。(3)执行扫描方案，启动扫描进程和线程，并进行调度管理。(4)将扫描结果存档保存。2扫描引擎19第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。3 3漏洞扫描结果分析漏洞扫描结果分析结果分析部分主要完成以下的功能：(1)读取数据库中的扫描结果信息。(2)形成扫描报告。3漏洞扫描结果分析20第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。4 4漏洞信息及配置参数库漏洞信息及配置参数库漏洞信息及配置参数库主要完成以下的功能：(1)存放扫描结果，定制策略内容，描述脆弱性及其解决方法。(2)提供数据查询和管理功能。4漏洞信息及配置参数库21第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.4 常用网络漏洞扫描工具常用网络漏洞扫描工具 10.4.1 COPS10.4.1 COPS典型的主机系统扫描器是COPS(Computer Oracle and Password System)，它用来检查UNIX系统的常见安全配置问题和系统缺陷。tiger也是一个基于shell语言脚本的漏洞检测程序，主要用于UNIX系统的漏洞检查。图10-2是tiger检测IP地址为192.168.0.92的主机漏洞过程。10.4 常用网络漏洞扫描工具 10.4.1 COPS22第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-2 tiger扫描过程 图10-2 tiger扫描过程 23第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-3 tiger扫描的结果信息 图10-3 tiger扫描的结果信息 24第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.4.2 SAINT10.4.2 SAINTSAINT(Security Administrators Integrated Network Tool)是一个基于SATAN的安全评估工具，其特点有：*能够透过防火墙扫描，漏洞库随CERT 及时更新。*采用不同颜色(红，黄，褐，绿)表示4种不同的安全等级。*采用和Web相同的用户界面。SAINT下载地址：http:/ SAINT25第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-4 SAINT软件操作界面 图10-4 SAINT软件操作界面 26第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.4.3 Nessus10.4.3 NessusNessus是典型的网络扫描器，由客户端和服务器端两部分组成，支持即插即用的漏洞检测脚本。它是一套免费、功能强大、结构完整、时时更新且相当容易使用的安全漏洞扫描软件。这套软件的发行目的是帮助系统管理者搜寻网络系统中存在的漏洞。Nessus的使用模式如图10-5所示。10.4.3 Nessus27第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-5 Nessus的使用模式 图10-5 Nessus的使用模式 28第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-6 Nessus软件操作界面 图10-6 Nessus软件操作界面 29第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.4.5 LANguard10.4.5 LANguard网络扫描器网络扫描器LANguard网络扫描器允许使用者扫描局域网内部的电脑，搜集它们的NetBIOS信息、打开端口、共享情况和其他相关资料，这些资料可以被管理员利用来进行安全维护，通过它可以强行关闭指定端口和共享目录。10.4.5 LANguard网络扫描器30第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.4.6 X-scan10.4.6 X-scanX-scan是由国内安全组织Xfocus开发的漏洞扫描工具，运行在Windows环境中。10.4.7 Whisker10.4.7 WhiskerWhisker是一个CGI扫描器，能够扫描大量的CGI漏洞，并且具有逃避IDS扫描的功能。该扫描器下载网址是http:/ X-scan31第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.5 漏洞扫描器安装模式及实例漏洞扫描器安装模式及实例 10.5.1 10.5.1 漏洞扫描器安装模式漏洞扫描器安装模式漏洞扫描器安装模式有两种：一种是把漏洞扫描器安装在被扫描的系统中，这种情形适合于单机漏洞扫描；另一种则是把漏洞扫描器安装在一台专用的计算机中，然后通过该计算机来扫描其他系统的漏洞，这种模式适合于扫描网络系统。10.5 漏洞扫描器安装模式及实例 10.5.1 漏洞扫32第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.5.2 Windows10.5.2 Windows系统漏洞扫描实例系统漏洞扫描实例假设某网络管理员想远程检查某台Windows服务器是否存在 RPC漏 洞，以 防 止 蠕 虫 攻 击。该 服 务 器 的 IP地 址 是192.168.0.100，则漏洞扫描解决方案如下：第一步，网络管理员从网络下载具有RPC漏洞扫描功能的软件retinarpcdcom.exe；第二步，网络管理员把retinarpcdcom.exe安装到管理机上；第三步，网络管理员运行retinarpcdcom.exe；第四步，网络管理员输入Windows服务器的IP地址；第五步，网络管理员查看扫描结果，如图10-7所示。10.5.2 Windows系统漏洞扫描实例33第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-7 RPC漏洞扫描信息 图10-7 RPC漏洞扫描信息 34第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.5.3 CGI10.5.3 CGI漏洞扫描漏洞扫描假设某网络管理员想远程检查某台WWW服务器是否存在CGI漏 洞，以 防 止 CGI攻 击。该 服 务 器 的 IP地 址 是192.168.0.100，则CGI漏洞扫描方案如下：第一步，网络管理员从网络下载具有CGI漏洞扫描功能的软件TWWWSCAN；第二步，网络管理员把TWWWSCAN安装到管理机上；第三步，网络管理员运行TWWWSCAN；第四步，网络管理员输入Windows服务器的IP地址；第五步，网络管理员查看扫描结果，如图10-8所示。10.5.3 CGI漏洞扫描35第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图10-8 TWWWSCAN漏洞扫描信息 图10-8 TWWWSCAN漏洞扫描信息 36第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。10.6 本本 章章 小小 结结 本章首先给出了漏洞的概念，阐述了漏洞与网络安全的关系，分析了漏洞来源，并给出了网络系统漏洞发布机制以及常用的漏洞信息公布网址。其次，本章还系统地说明了网络扫描技术方法和漏洞扫描器的软件组成，列举了常用的漏洞扫描软件工具。最后，本章举例说明了CGI漏洞扫描、Windows系统漏洞扫描等应用。10.6 本 章 小 结 本章首先给出了漏洞的概念，阐37第10章漏洞扫描技术的原理与应用 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。本章思考与练习本章思考与练习 1请解释漏洞的概念。2漏洞会导致哪些安全威胁？3网络系统的漏洞来源有哪几方面？4如何获取漏洞信息？5漏洞扫描技术有哪几种？漏洞扫描器一般包括哪几个组成部分？6常见的网络漏洞扫描工具有哪些?7常用的漏洞信息网址有哪些?8在自己搭建的实验网络环境中，安装和使用本章中的漏洞扫描工具。9如何管理网络系统中的漏洞？本章思考与练习 1请解释漏洞的概念。38