《第5章漏洞检测课件》由会员分享,可在线阅读,更多相关《第5章漏洞检测课件(87页珍藏版)》请在金锄头文库上搜索。
1、1,第5章 漏洞检测,曹天杰 中国矿业大学计算机科学与技术学院,2,为什么需要漏洞检测,对于网络信息系统的安全而言,仅具有事后追查或实时报警功能的安全检测装备是不够的,还需要具备系统安全漏洞扫描能力的事先检查型安全工具。 系统漏洞检测又称漏洞扫描,即对重要网络信息系统进行检查,发现其中可被攻击者利用的漏洞。,3,漏洞的危害,漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷或者不足。 漏洞一旦被发现,就可以使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未授权的情况下访问或者破坏系统,从而危害计算机系统安全。,4,漏洞产生的原因
2、,漏洞的成因很多,一般有以下几类: 网络协议漏洞 应用软件系统漏洞 配置不当引起的漏洞,5,网络协议漏洞,TCP/IP协议组是目前使用最为广泛的网络互连协议之一。 TCP/IP协议将网络互连和开放性作为首要考虑的问题,而没有过多的考虑安全性。 造成了TCP/IP协议族本身的不安全性,导致一系列基于TCP/IP的网络服务的安全性也相当脆弱。,6,应用软件系统漏洞,任何一种软件系统都或多或少存在一定的脆弱性。 因为很多软件在设计时忽略或者很少考虑安全性问题。 应用软件系统的漏洞有两种: 由于操作系统本身设计缺陷带来的安全漏洞,这种漏洞将被运行在该系统上的应用程序所继承; 应用软件程序的安全漏洞。,
3、7,配置不当引起的漏洞,在一些网络系统中忽略了安全策略的制定; 即使采取了一定的网络安全措施,但由于系统的安全配置不合理或不完整,安全机制没有发挥作用; 或者在网络系统发生变化后,由于没有及时更改系统的安全配置而造成安全漏洞。,8,漏洞的分类标准,系统安全漏洞主要概括为以下几方面特征属性: 漏洞被攻击者利用的方式 漏洞形成的主要原因 漏洞对系统安全造成的危害 漏洞对系统安全造成的直接威胁 漏洞的触发条件 漏洞的操作角度 漏洞的发生时序。 这里我们根据这几个方面对系统漏洞进行分类。,9,漏洞的分类标准,根据漏洞被攻击者利用的方式分为: 本地漏洞 远程漏洞,10,本地漏洞,攻击者是系统本地的合法用
4、户或已经通过其他攻击方法获得了本地权限的非法用户。 攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。 比较典型的是本地权限提升漏洞,这类漏洞在Unix系统中广泛存在,能让普通用户获得最高管理员权限。,11,远程漏洞,攻击者是指通过网络,对连接在网络上的任意一台机器的进行攻击。 可分为入侵攻击与破坏攻击两种方式。 这类漏洞危害极大,攻击者能随心所欲的通过此漏洞操作他人的电脑。 此类漏洞很容易导致蠕虫攻击。,12,漏洞的分类标准,根据漏洞形成的主要原因分为: 输入验证错误(Input Validation Error) 缓冲区溢出(Buffer Overflow) 设计错误(Design E
5、rror) 意外情况处置错误(Exceptional Condition Handling Error) 访问验证错误(Access Validation Error) 配置错误(Configuration Error) 竞争条件(Race Condition) 环境错误(Condition Error),13,漏洞的分类标准,根据漏洞对系统安全造成的危害分为: 获得普通用户权限 获得其他用户权限,14,漏洞的分类标准,根据漏洞对系统安全造成的直接威胁分为: 普通用户访问权限 权限提升 本地管理员权限 远程管理员权限 本地拒绝服务 远程拒绝服务 服务器信息泄露 远程非授权文件存取 读取受限文件
6、 口令恢复 欺骗,15,漏洞的分类标准,根据漏洞的触发条件分为: 主动触发漏洞,攻击者可以主动利用该漏洞进行攻击,如直接访问他人计算机。 被动触发漏洞,必须要计算机的操作人员配合才能进行攻击利用的漏洞。(比如攻击者给管理员发一封邮件,带了一个特殊的jpg图片文件,如果管理员打开图片文件就会导致看图软件的某个漏洞被触发,从而系统被攻击,但如果管理员不看这个图片则不会受攻击。),16,漏洞的分类标准,根据漏洞的操作角度分为: 文件操作类型 内存覆盖 逻辑错误,17,文件操作类型,主要为操作的目标文件路径可被控制(如通过参数、配置文件、环境变量、符号链接等) 导致下面两个问题: 写入内容可被控制,从
7、而可伪造文件内容,导致权限提升或直接修改重要数据(如修改存贷数据) 内容信息可被输出,包含内容被打印到屏幕、记录到可读的日志文件、产生可被用户读的core文件等等,18,内存覆盖,主要为内存单元可指定,写入内容可指定; 这样就能执行攻击者想执行的代码(缓冲区溢出、格式串漏洞、PTrace漏洞、历史上Windows 2000的硬件调试寄存器用户可写漏洞); 或能直接修改内存中的机密数据。,19,逻辑错误,这类漏洞广泛存在,但很少有范式,所以难以查觉。 可细分为: 外部命令执行问题 SQL注入问题,20,漏洞的分类标准,根据漏洞发生的时序分为: 已发现很久的漏洞 刚发现的漏洞 Oday,21,漏洞
8、的分级规范,一套完善的系统安全漏洞分级分类标准是基础; 系统安全漏洞分类与分级是对漏洞不同抽象层次的特征属性进行描述; 某些系统的分类是在系统安全漏洞的分类基础上进行的,还有一些安全事件的处理方法也要依据系统安全漏洞来制定。,22,漏洞的分级规范,根据漏洞对系统造成的潜在威胁(破坏性,危害性,严重性)以及被利用的可能性为依据将系统安全漏洞分为四级: 第一等级:紧急 第二等级:重要 第三等级:中等 第四等级:低等,23,第一等级:紧急,定义:对“紧急”级别漏洞的利用可以导致网络蠕虫和病毒在用户不知情的情况下在网络上任意传播和繁殖。 对于被评为“紧急”的安全漏洞,需要立即安装升级包(补丁程序)。,
9、24,第二等级:重要,定义:对“重要”级别漏洞的利用可以导致严重的后果,以致危害到用户数据、相关资源的机密性、完整性和有效性。 对于被评为“重要”的安全漏洞,需要安装升级包(补丁程序)。,25,第三等级:中等,定义:由于默认配置、审核或难以利用等因素的影响,“中等”级别漏洞的利用效果显著降低。 关于“中等”系统安全漏洞则应该在阅读安全信息以后判断该安全漏洞是否对此系统产生影响。 在此基础上,确认升级包不会影响到系统之后,可以采用并安装。,26,第四等级:低等,定义:对于“低等”级别漏洞的利用效果己降至最低限度,漏洞利用难度非常大。 几乎所有的用户都不会受到影响的安全性漏洞将被评级为“低等”。
10、但关于“低等”系统安全漏洞仍应该在阅读安全信息以后判断该安全漏洞是否对此系统产生影响。 在此基础上,确认升级包不会影响到系统之后,可以采用并安装。,27,漏洞数据库概述,漏洞数据库的基本功能主要包括以下三点: 帮助用户确认自身应用环境中可能存在的安全漏洞,提供基本的漏洞信息查询。 安全产品厂商可以基于持续更新的漏洞数据库和用户的应用布置情况,为用户提供及时的安全预警。 为安全产品厂商基于安全漏洞发现和攻击保护类产品开发提供技术和数据支持。,28,漏洞数据库的特点,一个好的漏洞数据库应该体现在如下几个方面: 覆盖面广 准确性高 及时性 完全性,29,漏洞数据库的详细信息,漏洞数据库一般包括如下详
11、细信息: 漏洞基本信息:漏洞名称、CVE编号、本地编号、发布/更新时间等。 漏洞分类分级信息:漏洞级别/类型、攻击类型/效果等。 参考资源信息:权威网站中与此漏洞相关的信息。 受影响的系统:此漏洞对哪些系统构成威胁的信息。 关键字:描述此漏洞最关键的信息。 补丁信息:漏洞补救方法、补丁信息和补丁下载地址信息等。,30,CVE漏洞库,CVE是安全漏洞及其他信息安全风险标准名称的列表,目的是使所有已知漏洞和安全风险的名称标准化。 CVE是一个字典,对每种漏洞没有详细说明,但CVE是构建权威的漏洞库的标准。,31,CVE的特点,CVE的建立有以下的特点: 一个漏洞或者一个暴露有自己单独的名称; 对于
12、目前出现的每个漏洞和暴露都进行了标准描述; 它是一个字典,而不是数据库; 能够让分开的数据库和安全工具用同一种语言“交谈”; 提供了一种协同工作的方式,使得安全覆盖面更广; 提供了安全工具和数据库安全评估的标准; 能方便得在Internet上下载和讨论; 通过CVE编辑板得到行业认可。,32,漏洞数据库的表结构,CVE中漏洞数据库表应有的结构:,33,其它漏洞库,其它比较著名的网络安全公司或组织,如Security focus公司、ISS公司、AUSCERT和DEBIAN等也都建立了自己的漏洞数据库; 我国在这方面的研究还处于起步阶段,必须尽快建立符合我国实际、权威、完备的漏洞库,以满足我国信
13、息产业的发展需要。,34,扫描器的基本概念,扫描器是一种自动检测远程或本地系统安全性弱点(漏洞)的程序。 安全评估工具 系统管理员保障系统安全的有效工具,目标可以是工作站、服务器、交换机、数据库应用等各种对象。 网络漏洞扫描器 网络入侵者收集信息的重要手段,35,扫描器的分类,根据不同的标准,安全扫描器主要可以分为以下两类: 主机安全扫描器和网络安全扫描器 端口安全扫描器和漏洞安全扫描器,36,主机扫描技术传统技术,主机扫描的目的是确定在目标网络上的主机是否可达,这是信息收集的初级阶段,其效果直接影响到后续的扫描。 常用的传统扫描手段有: ICMP Echo扫描 ICMP Sweep扫描 Br
14、oadcast ICMP扫描 Non-Echo ICMP扫描,37,ICMP echo扫描,实现原理:发送ICMP Echo请求,然后等待ICMP Echo应答;如果收到了应答,则表明目标系统可达,否则表明系统不可达或发送的包被对方的设备过滤掉。其实就是使用常规的ping命令。 优点:简单,多种系统支持 缺点:很容易被防火墙限制,38,ICMP Sweep扫描,ICMP Sweep扫描就是通过并行发送,同时扫描多个目标主机,以提高扫描效率。,39,Broadcast ICMP扫描,实现原理:将ICMP ECHO request包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内
15、的主机。 缺点: 只适合于UNIX/Linux系统,Windows 会忽略这种请求包; 这种扫描方式容易引起广播风暴,40,Non-Echo ICMP扫描,一些其它ICMP类型包也可以用于对主机或网络设备的探测,如: Stamp Request(Type 13) Reply(Type 14) Information Request(Type 15) Reply(Type 16) Address Mask Request (Type 17) Reply(Type 18),41,主机扫描技术高级技术,防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,必须采用一些非常规的手段,利
16、用ICMP协议提供网络间传送错误信息的手段,往往可以更有效的达到目的。 非常规扫描手段有如下几种: 异常的IP包头 在IP头中设置无效的字段值 错误的数据分片 通过超长包探测内部路由器 反向映射探测,42,异常的IP包头,向目标主机发送包头错误的IP包,目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length Field 和IP Options Field。 根据RFC1122的规定,主机应该检测IP包的Version Number、Checksum字段,路由器应该检测IP包的Checksum字段。 不同厂家的路由器和操作系统对这些错误的处理方式不同,返回的结果也各异。如果结合其它手段,可以初步判断目标系统所在网络过滤设备的访问列表ACL。,43,在IP头中设置无效的字段值,向目标主机发送的IP包中填充错误的字段值,目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。,44,错误的数据分片,当目标主机接收到错误的数据分片(如某
