网络漏洞扫描技术

《网络漏洞扫描技术》由会员分享，可在线阅读，更多相关《网络漏洞扫描技术（75页珍藏版）》请在金锄头文库上搜索。

1、第6章 网络漏洞扫描技术*第六章第六章 网络漏洞扫描技术网络漏洞扫描技术网络安全扫描是一项重要的网络安全 技术。网络安全主要来自于网络中存在的漏 洞。网络安全扫描就是网络漏洞扫描。网络 漏洞扫描与防火墙、入侵检测系统互相配合 ，能够有效提高网络的安全性。通过对网络 的扫描，网络管理员可以了解网络的安全配 置和运行的应用服务，及时发现安全漏洞， 客观评估网络风险等级。如果说防火墙和网 络监控系统是被动的防御手段，那么安全扫 描就是一种主动的防范措施，可以有效避免 黑客攻击行为，做到防患于未然。*本章内容提要:l 网络漏洞概述l 实施网络扫描 l 常用的网络扫描工具 l 不同的扫描策略l 网络漏洞

2、扫描技术发展趋势 第六章第六章 网络漏洞扫描技术网络漏洞扫描技术*l l 网络漏洞的概念网络漏洞的概念 l l 存在网络漏洞的原因存在网络漏洞的原因 6.1 网络漏洞概述l l 漏洞的危害漏洞的危害 l l 公开的网络漏洞信息公开的网络漏洞信息 *l l 网络漏洞的概念网络漏洞的概念漏洞是在硬件、软件、协议的具体实现或系统安全 策略上存在的缺陷，从而可以使攻击者能够在未授权的 情况下访问或破坏系统。 l基于访问控制的定义l基于状态的定义 l基于模糊概念的定义 系统中主体对象的访问是通过 访问控制矩阵实现的，这个访 问控制矩阵就是安全策略的具 体实现，当操作系统的操作和 安全策略之间相冲突时，就

3、产 生了漏洞 计算机系统是由一系列描述 该系统各个组成实体的当前 状态所构成。系统通过状态 转换来改变它的状态。 Dennis Longley和Michael Shain在“Data & Computer SecurityDictionary of Standard concepts and Terms”一书中对漏洞的定义 *l l 网络漏洞的概念网络漏洞的概念 l l 存在网络漏洞的原因存在网络漏洞的原因 6.1 网络漏洞概述l l 漏洞的危害漏洞的危害 l l 公开的网络漏洞信息公开的网络漏洞信息 *l l 存在网络漏洞的原因存在网络漏洞的原因网络安全漏洞是“不可避免”，这是由网络系统的

4、高度复杂性所决定的。 l 网络协议漏洞l 应用软件系统漏洞 l 配置不当引起的漏洞 TCP/IP协议族是目前使用最为广泛的网络 互连协议族，但TCP/IP协议在设计时是将 它置于可信任的环境之下的，并将网络互 连和开放性作为首要考虑的问题，而没有 过多的考虑安全性，这就造成了TCP/IP协 议族本身的不安全性，导致一系列基于 TCP/IP的网络服务的安全性也相当脆弱。 应用软件系统的漏洞分为两种 ：一是由于操作系统本身设计 缺陷带来的安全漏洞，这种漏 洞将被运行在该系统上的应用 程序所继承；二是应用软件程 序的安全漏洞 在一些网络系统中忽略了安全策 略的制定，即使采取了一定的网 络安全措施，但

5、由于系统的安全 配置不合理或不完整，安全机制 没有发挥作用。或者在网络环境 发生变化后，由于没有及时更改 系统的安全配置而造成安全漏洞 *l l 网络漏洞的概念网络漏洞的概念 l l 存在网络漏洞的原因存在网络漏洞的原因 6.1 网络漏洞概述l l 漏洞的危害漏洞的危害 l l 公开的网络漏洞信息公开的网络漏洞信息 *l l 漏洞的危害漏洞的危害从以下五个方面来评估漏洞对系统安全特性造成的危害 l系统的完整性l系统的可用性l系统的机密性l系统的可控性l系统的可靠性攻击者利用漏洞入 侵系统，对系统数 据进行篡改，从而 破坏数据的完整性 （Integrity） 攻击者利用漏洞破 坏系统或者网络的

6、正常运行，导致信 息或网络服务的可 用性（ Availability）被 破坏，合法用户的 正常服务要求得不 到满足 攻击者利用漏洞给 非授权的个人和实 体泄露受保护信息 。很多时候，机密 性（ Confidentiality ）和完整性是交叠 的 攻击者利用漏洞使 得系统对于合法用 户而言是处在“失 控”状态，使系统 的可控性（ Controllability） 被破坏 攻击者利用漏洞对 用户认可的质量特 性（信息传递的迅 速性、准确性以及 连续地转移等）造 成危害，使系统的 可靠性（ Reliability）被破 坏 *l l 漏洞的危害漏洞的危害【例】 据调研公司Aberdeen于200

7、5年7月对162家公司的调查显示 ，蠕虫、病毒等对互联网产生破坏作用的每起事件对企业造成了近 200万美元的收入损失，有83的公司在过去三年受到了互联网安 全问题的影响，大概每年一起，但在三年内给15的公司业务带来 了七次以上的停滞。2003年7月16日，微软发布MS03-26的RPC系统 漏洞，随后不久就于2003年8月11日出现利用此漏洞的“冲击波” 病毒（W32.Blast.Worm）。因为此漏洞几乎存在于一切Windows系 统中，影响范围极广，在全世界范围里迅速传播，造成了巨大的破 坏。*l l 网络漏洞的概念网络漏洞的概念 l l 存在网络漏洞的原因存在网络漏洞的原因 6.1 网络

8、漏洞概述l l 漏洞的危害漏洞的危害 l l 公开的网络漏洞信息公开的网络漏洞信息 *l l 公开的网络漏洞信息公开的网络漏洞信息漏洞信息的公开可以让系统管理员更有针对性地对 自己管理的系统进行配置和管理。另外，也可以促使提 供软件或硬件的厂商更快地解决问题。 l通用漏洞披露 lBugTraq漏洞数据库 lICAT漏洞数据库 lCERT/CC漏洞信息数据库lX-Force数据库 l中国“国家漏洞库” CVE （Common Vulnerabilities & Exposures，通用漏洞披露） 。 BugTraq是由Security Focus公 司维护的一个关于计算机安全 漏洞详细信息讨论的

9、邮件列表 ，讨论内容包括漏洞的描述、 漏洞的渗透方法以及漏洞的修 补方法等。 ICAT是由美国标准技术研究所 （National Institute of Standard Technology，NIST） 维护的一个CVE兼容的漏洞信息 检索索引。 CERT/CC漏洞数据库也是一个 CVE兼容的数据库。可以通过 名字、ID号、CVE名字、公布 日期、更新日期、严重性等 方法检索漏洞信息 X-Force数据库由ISS公司 维护，是一个比较全面的 漏洞信息数据库。 基于中国的国情，中国建立 了自己的漏洞库，即“国家 漏洞库”。 *6.2 实施网络扫描传统的黑客在入侵一个主机前，会先进行下面三项工

10、 作：踩点、扫描和查点。而扫描又可以划分为三个不 同的阶段，即发现目标、搜集信息和漏洞检测。1）发现目标：发现存活的目标主机。2）搜集信息：发现目标后进一步搜集目标信息 ，包括目标的操作系统类型、运行的服务以及服务软 件的版本等。如果目标是一个网络，还可以进一步发 现该网络的拓扑结构、路由设备以及各主机的信息。3）漏洞检测：根据搜集到的信息进行分析、判 断或者进一步检测目标是否存在安全漏洞。*l l 发现目标发现目标 l l 搜集信息搜集信息 6.2 实施网络扫描l l 漏洞检测漏洞检测 *l l 发现目标发现目标在这一阶段使用的技术通常称为Ping扫描（ Ping Sweep），包括ICMP

11、扫描、广播ICMP、非回 显ICMP、TCP扫描、UDP扫描 l ICMP扫描 作为IP协议一个组成部分，ICMP用来传递差错报 文和其他需要注意的信息。日常使用最多的是用户的 Ping。 ICMP报文和IP报文的关系如图所示，ICMP报文的格 式如图所示 *l l 发现目标发现目标如果发送者接收到来自目标的ICMP回显应答， 就能知道目标目前处于活动状态，否则可以初步判 断主机不可达或发送的包被对方的设备过滤掉。使 用这种方询多个主机的方式称为ICMP扫描。 该扫描的优点是：简单、系统支持。缺点是：很容易被 防火墙限制 可用于ICMP扫描的工具很多。在UNIX环境中主要 有Ping和Fpin

12、g。在Windows环境中可以使用出自 Rhino9的Pinger。 *l l 发现目标发现目标l 广播 ICMP 与ICMP扫描相同点：广播ICMP也是利用了ICMP回 显请求和ICMP回显应答这两种报文。 与ICMP扫描不同点：广播ICMP只需要向目标网络 的网络地址和/或广播地址发送一两个回显请求 ，就能够收到目标网络中所有存活主机的ICMP回 显应答。 缺点：这种扫描方式容易引起广播风暴，如果有很 多机器回应的话，甚至会导致网络出现拒绝服务（ Dos）现象 *l l 发现目标发现目标l 非回显 ICMP 1）ICMP时间戳请求允许系统向另一个系统查 询当前的时间。 2）ICMP地址掩码

13、请求用于无盘系统引导过程 中获得自己的子网掩码。 3）对于ICMP地址掩码请求报文而言，虽然 RFC1122规定，除非是地址掩码的授权代理， 否则一个系统不能发送地址掩码应答。 *l l 发现目标发现目标l TCP扫描 传输控制协议（Transmission Control Protocol， TCP）为应用层提供一种面向连接的、可靠的字节流服 务。它使用“三次握手”的方式建立连接。如图所示 l UDP扫描 用户数据报协议（User Datagram Protocol，UDP ）是一个面向数据报的传输层协议。UDP数据报也 封装在IP数据报之中，如图所示 *l l 发现目标发现目标UDP协议的

14、规则：如果接收到一份目的端口并没有处 于侦听状态的数据报，则发送一个ICMP端口不可到达 报文，否则不作任何响应。 缺点： 1）这种方法很不可靠，因为路由器和防火墙都有可 能丢弃UDP数据报。 2）逐一扫描UDP端口通常是很慢的，因为RFC1812的 4.3.2.8节对路由器产生ICMP错误消息的速率作了规定 *l l 发现目标发现目标优点：它可以使用IP广播地址，如果向广播地址的高端 端口发送一个UDP数据报，在没有防火墙过滤的情况下， 将收到很多来自目标网络的ICMP端口不可到达的错误消 息。当然，这也可能造成扫描者出现自己的DoS。 *l l 发现目标发现目标 l l 搜集信息搜集信息

15、6.2 实施网络扫描l l 漏洞检测漏洞检测 *l l 搜集信息搜集信息搜集信息采用的技术包括端口扫描（Port Scanning）、服务识别（Service Distinguishing ）和操作系统探测（Operating System Detection ）。 l 端口扫描 端口扫描取得目标主机开放的端口和服务信 息，从而为“漏洞检测”作准备。进行端口扫描 ，可以快速获得目标主机开设的服务。 *l l 搜集信息搜集信息优点： 1）不需要任何特殊权限，系统中的任何用户都有权 利使用这个调用。 2）可以同时打开多个套接字，从而加速扫描，使用 非阻塞I/O还允许设置一个低的时间用尽周期，同时观

16、 察多个套接字。缺点： 1）端口扫描容易被过滤或记录。 2）对于安全管理员而言，使用该方法速度较慢。*l l 搜集信息搜集信息常用的端口扫描类型 l TCP Connect()扫描l TCP SYN扫描 l TCP ACK扫描 l TCP FIN扫描 l TCP XMAS扫描 l TCP空扫描 TCP Connect()扫描是最基本的TCP扫 描方式。Connect()是一种系统调用 ，由操作系统提供，用来打开一个连 接。如果目标端口有程序监听， Connect()就会成功返回，否则这个 端口是不可达的 地主机向目标主机发送一个 SYN数据段，如果目标主机的 回应报文中SYN=1，ACK=1，则 说明该端口是活动的，那么接 着再发一个RST给目标主机， 拒绝建立连接。 TCP ACK并不能确定目标机器开 放了哪些端口，但是可以用来试 探目标机器上安装的防撞的防火 墙的过滤规则。可以确定防火墙 是简单的包过滤还是状态检测机 制 在TCP报文结构中，FIN段负责 表