系统脆弱性分析技术课件.ppt

1、计算机网络与信息安全技术教学课件 V08.081系统脆弱性分析技术系统脆弱性分析技术第第 7 章章2基本内容u针对网络系统或网络应用的安全技术，本章首先从自我检查的角度入手，分析系统不安全的各种因素，采用工具检测并处理系统的各种脆弱性。37.1 7.1 漏洞扫描概述漏洞扫描概述 漏洞漏洞源自源自“vulnerabilityvulnerability”（脆弱性）。一般认为，漏（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。击者能够在未授权的情况下访问、控制系统。标准化组织标准化

2、组织CVECVE（Common Vulnerabilities and Exposures,即即“公共漏洞与暴露公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。兼容。7.1.1 7.1.1 漏洞的概念漏洞的概念信息安全的信息安全的“木桶理论木桶理论”对一个信息系统来说，它的安全性不在于它是对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个系

3、统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。漏洞被发现，系统就有可能成为网络攻击的牺牲品。47.1 7.1 漏洞扫描概述漏洞扫描概述 7.1.2 7.1.2 漏洞的发现漏洞的发现 一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许

4、不会警告任何官方组织，只是在组织内部发布消息。组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。通常收集安全信息的途径包括：新闻组、邮件列表、通常收集安全信息的途径包括：新闻组、邮件列表、WebWeb站点、站点、FTPFTP文文档。档。网络管理者的部分工作就是网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的关心信息安全相关新闻，了解信息安全的动态。动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有管理者需要制定一个收集、分析以及抽取信息的策略

5、，以便获取有用的信息。用的信息。57.1 7.1 漏洞扫描概述漏洞扫描概述 7.1.3 7.1.3 漏洞对系统的威胁漏洞对系统的威胁 漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。者才可以得手。目前，因特网上已有目前，因特网上已有3 3万多个黑客站点，而且黑客技术不万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达上千种。断创新，基本的攻击手法已多达上千种。目前我国目前我国9595的与因特网相连的网络管理中心都遭到过的与

6、因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。乐观。漏洞可能影响一个单位或公司的生存问题。漏洞可能影响一个单位或公司的生存问题。67.1 7.1 漏洞扫描概述漏洞扫描概述 7.1.4 7.1.4 漏洞扫描的必要性漏洞扫描的必要性 v帮助网管人员了解网络安全状况帮助网管人员了解网络安全状况v对资产进行风险评估的依据对资产进行风险评估的依据v安全配置的第一步安全配置的第一步v向领导上报数据依据向领导上

7、报数据依据77.2 7.2 系统脆弱性分析系统脆弱性分析 信息系统存在着许多漏洞，这些漏洞来自于组成信息信息系统存在着许多漏洞，这些漏洞来自于组成信息系统的各个方面。在前几章我们已陆续介绍了软硬件组件系统的各个方面。在前几章我们已陆续介绍了软硬件组件（组件脆弱性）存在的问题、网络和通信协议的不健全问（组件脆弱性）存在的问题、网络和通信协议的不健全问题、网络攻击（特别是缓冲区溢出问题）等方面的内容，题、网络攻击（特别是缓冲区溢出问题）等方面的内容，这里重点介绍协议分析和基于应用层的不安全代码或调用这里重点介绍协议分析和基于应用层的不安全代码或调用问题。问题。87.2 7.2 系统脆弱性分析系统脆

8、弱性分析 7.2.1 7.2.1 协议分析协议分析 1 1、DNSDNS协议分析协议分析 域名服务器域名服务器在在InternetInternet上具有举足轻重的作用，它上具有举足轻重的作用，它负责在域名和负责在域名和IPIP地地址之间进行转换。址之间进行转换。域名服务系统是一个关于互联网上主机信息的分布式数据库，它将数域名服务系统是一个关于互联网上主机信息的分布式数据库，它将数据按照区域分段，并通过授权委托进行本地管理，使用客户机据按照区域分段，并通过授权委托进行本地管理，使用客户机/服务器模式服务器模式检索数据，并且通过复制和缓存机制提供进发和冗余性能。检索数据，并且通过复制和缓存机制提供

9、进发和冗余性能。域名服务系统包含域名服务器和解析器两个部分域名服务系统包含域名服务器和解析器两个部分：域名服务器存储和：域名服务器存储和管理授权区域内的域名数据，提供接口供客户机检索数据；解析器即客户管理授权区域内的域名数据，提供接口供客户机检索数据；解析器即客户机，向域名服务器递交查询请求，翻译域名服务器返回的结果并递交给高机，向域名服务器递交查询请求，翻译域名服务器返回的结果并递交给高层应用程序，通常为操作系统提供的库函数之一。层应用程序，通常为操作系统提供的库函数之一。域名查询采用域名查询采用UDPUDP协议，而区域传输采用协议，而区域传输采用TCPTCP协议。协议。域名解析过程分为域名

10、解析过程分为两种方式：递归模式和交互模式两种方式：递归模式和交互模式。97.2 7.2 系统脆弱性分析系统脆弱性分析 7.2.1 7.2.1 协议分析协议分析 1 1、DNSDNS协议分析（续）协议分析（续）对对DNSDNS服务器的威胁服务器的威胁 1 1）地址欺骗。地址欺骗攻击利用了）地址欺骗。地址欺骗攻击利用了RFCRFC标准协议中的某些不完善的地标准协议中的某些不完善的地方，达到修改域名指向的目的。方，达到修改域名指向的目的。2 2）远程漏洞入侵。）远程漏洞入侵。3 3）拒绝服务。）拒绝服务。保护保护DNSDNS服务器的措施服务器的措施 1）使用最新版本的DNS服务器软件。2）关闭递归查

11、询和线索查找功能。3）限制对DNS进行查询的IP地址。4）限制对DNS进行递归查询的IP地址。5）限制区域传输。6）限制对BIND软件的版本信息进行查询。107.2 7.2 系统脆弱性分析系统脆弱性分析 7.2.1 7.2.1 协议分析协议分析 2 2、FTPFTP协议分析协议分析 文件传输协议文件传输协议FTPFTP是一个被广泛应用的协议，它使得我们能够在网络上是一个被广泛应用的协议，它使得我们能够在网络上方便地传输文件。方便地传输文件。FTPFTP模型是典型的客户机模型是典型的客户机/服务器模型。两个服务器模型。两个TCPTCP连接分别是控制连接和连接分别是控制连接和数据连接。数据连接。F

12、TPFTP协议漏洞分析与防范协议漏洞分析与防范 1 1）FTPFTP反弹（反弹（FTP BounceFTP Bounce）。）。2 2）有限制的访问（）有限制的访问（Restricted AccessRestricted Access）。）。3 3）保护密码（）保护密码（Protecting PasswordsProtecting Passwords）。）。4 4）端口盗用（）端口盗用（Port SteaUngPort SteaUng）。）。117.2 7.2 系统脆弱性分析系统脆弱性分析 7.2.2 7.2.2 应用层的不安全调用应用层的不安全调用 1、应用安全概述应用安全概述 应用层漏洞才

13、是最直接、最致命的，因为互联网的应用必须开放端口，这时防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。基于B/S结构应用的普及使得应用层安全问题越来越受到重视。据OWASP相关资料显示，2007年的十大应用安全问题排名如下：（1）跨站脚本（XSS）（2）注入缺陷（3）不安全的远程文件包含（4）不安全的直接对象引用（5）跨站请求伪造（6）信息泄漏和异常错误处理（7）损坏的验证和会话管理（8）不安全的加密存储（9）不安全的通信（10）URL访问限制失败127.2 7.2 系统脆弱性分析系统脆弱性分析 7.2.2 7.2

14、.2 应用层的不安全调用应用层的不安全调用 2 2、常见、常见WebWeb应用安全漏洞应用安全漏洞 常见的常见的WebWeb应用安全漏洞有：应用安全漏洞有：SQLSQL注入（注入（SQL injectionSQL injection）跨站脚本攻击跨站脚本攻击 恶意代码恶意代码 已知弱点和错误配置已知弱点和错误配置 隐藏字段隐藏字段 后门和调试漏洞后门和调试漏洞 参数篡改参数篡改 更改更改cookiecookie 输入信息控制输入信息控制 缓冲区溢出缓冲区溢出 直接访问浏览直接访问浏览 攻击者利用网站系统的代码漏洞，精心构造攻击代码，完成对网站系攻击者利用网站系统的代码漏洞，精心构造攻击代码，完

15、成对网站系统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。地区。132006年黑客利用年黑客利用SQL注入成功入侵中国移动网站，首页被黑注入成功入侵中国移动网站，首页被黑142006年底中国工商银行遭遇年底中国工商银行遭遇“跨站脚本跨站脚本”攻击攻击15恶意代码 16n应对措施n在网站投入使用之前，应该通过“应用层安全检测”。n目前比较常见的有“Watchfire AppScan”、“数据库弱点深度扫描器”、“Web应用弱点深度扫描”、“网上木马自动分析溯源器”等产品供检测使用。178.1.2 8.1.2 漏

16、洞的发现漏洞的发现 187.3 7.3 扫描技术与原理扫描技术与原理 扫描是检测扫描是检测InternetInternet上的计算机当前是否是活动的、提上的计算机当前是否是活动的、提供了什么样的服务，以及更多的相关信息，主要使用的技术供了什么样的服务，以及更多的相关信息，主要使用的技术有有PingPing扫描、端口扫描和操作系统识别。扫描所收集的信息扫描、端口扫描和操作系统识别。扫描所收集的信息主要可以分为以下几种：主要可以分为以下几种：1 1）标识主机上运行的）标识主机上运行的TCPTCPUDPUDP服务。服务。2 2）系统的结构）系统的结构(SPARC(SPARC、ALPHAALPHA、X

17、86)X86)。3 3）经由）经由INTERNETINTERNET可以到达主机的详细可以到达主机的详细IPIP地址信息。地址信息。4 4）操作系统的类型。）操作系统的类型。扫描的几个分类扫描的几个分类 PingPing扫描扫描：ICMPICMPTCPTCP扫描扫描UDPUDP扫描扫描端口扫描端口扫描197.4 7.4 扫描器的类型和组成扫描器的类型和组成 扫描器的作用就是用检测、扫描系统中存在的漏洞或缺扫描器的作用就是用检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具，即主机扫描器和网络陷。目前主要有两种类型的扫描工具，即主机扫描器和网络扫描器，它们在功能上各有侧重。扫描器，它们

18、在功能上各有侧重。1 1主机扫描器主机扫描器主机扫描器又称本地扫描器，它与待检查系统运行于同主机扫描器又称本地扫描器，它与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。置错误。2 2网络扫描器网络扫描器 网络扫描器又称远程扫描器，一般它和待检查系统运行于网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。不同的节点上，通过网络远程探测目标节点，检查安全漏洞。

19、远程扫描器检查网络和分布式系统的安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。207.4 7.4 扫描器的类型和组成扫描器的类型和组成 扫描器的扫描器的组成组成一般说来，扫描器由以下几个一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输扫描方法集、漏洞数据库、扫描输出报告等。整个扫描过程是由用户出报告等。整个扫描过程是由用户界面驱动的，首先由用户建立新会界面驱动的，首先由用户建立新会话，选定扫描策略后，启动扫描引话，选定扫描策略后，启动扫描引擎，根据用户制订的扫描策略，扫擎，根据用户制订的扫描策略，扫描引擎开始调度扫描方法

20、，扫描方描引擎开始调度扫描方法，扫描方法将检查到的漏洞填入数据库，最法将检查到的漏洞填入数据库，最后由报告模块根据数据库内容组织后由报告模块根据数据库内容组织扫描输出结果。扫描输出结果。217.5 7.5 天镜网络漏洞扫描系统天镜网络漏洞扫描系统 天镜漏洞扫描系统分单机、便携和分布式三种版本，分布式产品组成天镜漏洞扫描系统分单机、便携和分布式三种版本，分布式产品组成包含几个部分：包含几个部分：1 1）管理控制中心管理控制中心。负责添加、修改扫描引擎的属性，进行策略编辑。负责添加、修改扫描引擎的属性，进行策略编辑和扫描任务制定和下发执行，完成漏洞库和扫描方法的升级，同时支持主、和扫描任务制定和下

21、发执行，完成漏洞库和扫描方法的升级，同时支持主、子控设置。子控设置。2 2）综合显示中心综合显示中心。实时显示扫描的结果信息。可以进行树形分类察。实时显示扫描的结果信息。可以进行树形分类察看和分窗口信息察看，显示扫描进度，提供漏洞解释的详细帮助。看和分窗口信息察看，显示扫描进度，提供漏洞解释的详细帮助。3 3）日志分析报表日志分析报表。查询历史扫描结果，提供多种报表模版，形成图、。查询历史扫描结果，提供多种报表模版，形成图、表结合的丰富报表，以多种文件格式输出。表结合的丰富报表，以多种文件格式输出。4 4）扫描引擎软件扫描引擎软件。执行管理控制中心发来的扫描任务，返回扫描结。执行管理控制中心发

22、来的扫描任务，返回扫描结果到综合显示中心显示并存入数据库中。果到综合显示中心显示并存入数据库中。5 5）扫描对象授权扫描对象授权。通过授权许可具体的扫描引擎软件可扫描对象，。通过授权许可具体的扫描引擎软件可扫描对象，包括同时扫描的数量，也可以指定那些目标可以扫描或禁止扫描。包括同时扫描的数量，也可以指定那些目标可以扫描或禁止扫描。6 6）数据库数据库。产品缺省提供产品缺省提供MSDE MSDE 的桌面数据库安装包，用户可以根的桌面数据库安装包，用户可以根据扫描规模的大小选用据扫描规模的大小选用MSDE MSDE 或者或者SQL Server SQL Server 作为使用数据库。作为使用数据库

23、。227.5 7.5 天镜网络漏洞扫描系统天镜网络漏洞扫描系统 图图8-3 8-3 单中心分布式部署单中心分布式部署 237.5 7.5 天镜网络漏洞扫描系统天镜网络漏洞扫描系统 渐进式扫描：根据被扫描主机的操作系统和主机应用等渐进式扫描：根据被扫描主机的操作系统和主机应用等信息智能确定进一步的扫描流程；信息智能确定进一步的扫描流程；授权扫描：系统支持用户提供被扫描主机的权限信息，授权扫描：系统支持用户提供被扫描主机的权限信息，以获取更深入、更全面的漏洞信息；以获取更深入、更全面的漏洞信息；系统稳定性高：扫描过程实时正确处理各种意外情况：系统稳定性高：扫描过程实时正确处理各种意外情况：如网卡故

24、障、资源耗尽等；如网卡故障、资源耗尽等；扫描系统资源占用少、速度快、误报低、漏报低、稳定扫描系统资源占用少、速度快、误报低、漏报低、稳定性高。性高。天镜扫描技术特点天镜扫描技术特点247.5 7.5 天镜网络漏洞扫描系统天镜网络漏洞扫描系统 支持扫描的主流操作系统：支持扫描的主流操作系统：Windows 9x/2000/2003/NT/XPWindows 9x/2000/2003/NT/XP、Sun SolarisSun Solaris、HP UNIXHP UNIX、IBM AIXIBM AIX、IRIXIRIX、LinuxLinux、BSDBSD等。等。天镜可以扫描的对象包括各种服务器、工作

25、站、网络打印机以及相应天镜可以扫描的对象包括各种服务器、工作站、网络打印机以及相应的网络设备如：的网络设备如：3Com3Com交换机、交换机、CISCO CISCO 路由器、路由器、Checkpoint FirewallCheckpoint Firewall、HP HP 打印机、打印机、Cisco PIX Firewall Cisco PIX Firewall 等。等。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。扫描漏洞分类扫描漏洞分类：Windows Windows 系统漏洞、系统漏洞、WEB WEB 应用漏洞、应用漏洞

26、、CGI CGI 应用漏洞、应用漏洞、FTP FTP 类漏洞、类漏洞、DNSDNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、MAIL MAIL 类、类、RPCRPC、NFSNFS、NISNIS、SNMPSNMP、守护进、守护进程、程、PROXYPROXY强力攻击等强力攻击等1000 1000 种种以上。以上。支持对支持对MS SQLServerMS SQLServer、OracleOracle、SybaseSybase、DB2 DB2 数据库的扫描功能。数据库的扫描功能。自由定制扫描策略自由定制扫描策略漏洞信息规范全面符合漏洞信息规范全面符合

27、CNCVE CNCVE 标准，兼容国际标准，兼容国际CVE CVE 标准与标准与BUGTRAQ BUGTRAQ 等等其他漏洞标准。其他漏洞标准。25本章小结本章小结 漏洞是指硬件、软件或策略上存在的的安全缺陷，从而漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。简要说使得攻击者能够在未授权的情况下访问、控制系统。简要说明了漏洞的威胁、后果及发现的方法。针对流行的明了漏洞的威胁、后果及发现的方法。针对流行的WindowsWindows系统，进行了系统，进行了DNSDNS协议分析、协议分析、FTPFTP协议分析，分析了应用层的协议分析，分析了应用层的脆弱性，介绍了存在的缺陷及检测方法。脆弱性，介绍了存在的缺陷及检测方法。在此基础上介绍漏洞扫描技术：端口扫描、在此基础上介绍漏洞扫描技术：端口扫描、PingPing扫描、扫描、TCPTCP扫描、扫描、UDPUDP扫描等。扫描器的类型分主机型和网络型两种扫描等。扫描器的类型分主机型和网络型两种。最后介绍一种主流的扫描系统最后介绍一种主流的扫描系统天镜网络漏洞扫描系天镜网络漏洞扫描系统。统。