第4章 漏洞扫描
《第4章 漏洞扫描》由会员分享,可在线阅读,更多相关《第4章 漏洞扫描(34页珍藏版)》请在文档大全上搜索。
1、第四章 漏洞扫描4.1 系统漏洞 n漏洞的概念 n漏洞也叫脆弱性(Vulnerability ),是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。n当程序遇到一个看似合理,但实际无法处理的问题时,而引发的不可预见的错误。n系统漏洞又称安全缺陷,一旦被发现,就可使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未授权的情况下访问或破坏系统,从而导致危害计算机系统安全。 4.1 系统漏洞n漏洞的概念n在计算机安全中,漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷,它能够被威胁利用,从而获得对信息的非授权访问或者破坏关键数据处理。n在计算机安全中,漏洞是指在
2、物理层、组织、程序、人员、软件或硬件方面的缺陷,它能够被利用而导致对自动数据处理系统或行为的损害。漏洞的存在并不能导致损害,漏洞仅仅是可以被攻击者利用,对自动数据处理系统或行为进行破坏的条件。n在计算机安全中,漏洞是指系统中存在的任何不足或缺陷。不同于前面的两个定义,这个定义指出漏洞是在许多不同层次和角度下可以觉察得到的预期功能。按照这个定义,漏洞是对用户、管理员和设计者意愿的一种违背,特别是对这种违背是由外部对象触发的 4.1 系统漏洞n已知系统漏洞 nLSASS相关漏洞 (缓冲区溢出漏洞)nRPC接口相关漏洞 nRPC-RPC(Remote Procedure Call Protocol)
3、远程过程调用协议nIE浏览器漏洞 (泄露用户信息)nURL处理漏洞 (访问某网站,更改浏览器主页)nURL规范漏洞 (恶意链接,中木马病毒)nFTP溢出系列漏洞 (破坏服务器)nGDI+漏洞 (图片携带病毒)n图形设备接口(GraphicsDeviceInterface)4.2 漏洞扫描相关知识 n漏洞扫描基本原理 n漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。n漏洞扫描方法n在端口扫描后得知目标主机操作系统类型、开启的端口以及端口上的网络服务,将这些相关信息
4、与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在n通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描对象分类n基于网络的扫描n从外部攻击者的角度对网络及系统架构进行的扫描,主要用于查找网络服务和协议中的漏洞。n可以及时获取网络漏洞信息,有效的发现那些网络服务和协议的漏洞,比如利用低版本的DNS Bind漏洞n能够监测到这些低版本的DNS Bind是否在运行。n一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,他根据不同漏洞的特性,
5、构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描对象分类n基于主机的扫描n从一个内部用户的角度来检测操作系统级的漏洞(主要用于检测注册表和用户配置中的漏洞。n通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。n优势在于它能直接获取主机操作系统的底层细节(如特殊服务和配置的细节等。其缺点在于只有控制了目标主机,并将检测工具安装在目标主机,才能实施正常的扫描活动。 基于网络的扫描和基于主机的扫描各有优势,也各自存在
6、了一定的局限性。只有把二者结合起来,才能尽可能多的获取漏洞信息,为系统管理员评估系统的安全风险提供有力的保证。4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描方式分类 n主动扫描n传统的扫描方式,拥有较长的发展历史n通过给目标主机发送特定的包并收集回应包来取得相关信息的,当然,无响应本身也是信息,它表明可能存在过滤设备将探测包或探测回应包过滤了。n优势在于通常能较快获取信息,准确性也比较高n缺点在于易于被发现,很难掩盖扫描痕迹;要成功实施主动扫描通常需要突破防火墙,但突破防火墙是很困难的 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描方式分类n被动扫描n通过监听网络包来取得信息。n由于被动扫
7、描具有很多优点。近来倍受重视,其主要优点是对它的检测几乎是不可能的。n被动扫描一般只需要监听网络流量而不需要主动发送网络包,也不易受防火墙影响。n缺点在于速度较慢而且准确性较差,当目标不产生网络流量时,就无法得知目标的任何信息。4.2 漏洞扫描相关知识n漏洞扫描器的组成 4.2 漏洞扫描相关知识n发送数据包机制n漏洞扫描是一种主动探测行为,需要根据漏洞的特征码来构造数据包并发送到目标主机。该机制的实现有两种:一种是建立正常的TCP/IP连接,构造数据段的内容。另外一种要求能够构造一些数据包的特殊字段,例如IP的分片标志和偏移量等等。n接收数据包机制n对于网络远程扫描,对方主机所回应的数据包就是
8、评估漏洞的原始资料,快速准确地接收数据包是漏洞扫描的基本保证因素。除了通过正常的TCP/IP协议栈进行处理,另外还可能需要接收原始数据包,这是由于对不同的漏洞所要分析的数据包的层次是不相同的,例如需要查看端口号或者查看TCP的标志位等,而一般的操作系统不提供内核中对原始数据包的处理。4.2 漏洞扫描相关知识n漏洞特征码数据库n漏洞特征码数据库是一种抽象的提法,是一个漏洞扫描器最为重要的部分。n发送机制需要根据特征码来发送探测数据包,接收数据包后也需要根据特征码来进行判断。n它的真实含义是指网络漏洞扫描器应该具备一个漏洞的知识库,主要包括每个漏洞的特征码,网络漏洞扫描器归根结底就是对网络数据包的
9、操作,所以特征码应该能够保证探测数据包的有效性和接收回应数据包后的判断的准确性。n虽然特征码最终会归结为数据包中某一字段的数值或者字符串,但是它决不是一个单一的值而是几个字段与其他判断条件相结合的值的集合。n由于漏洞的种类千差万别,提取漏洞的特征值是件比较困难的工作,所以实现漏洞扫描的关键其实是一个分析漏洞的过程,是一个建立、维护漏洞知识库并且能够及时更新它的工作。4.2 漏洞扫描相关知识n基于网络的漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等,而这些漏洞扫描的关键部分就是它所使用的漏洞库。n通过采用基于规则的匹配技术,即根据安全专家对网络系统安令漏洞、黑客攻击案例的分析和系统
10、管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础上构成相应的匹配规则,由扫描程序自动进行漏洞扫描。n漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间,因此漏洞库的编制要对每个存在安全隐患的网络服务建立对应的漏洞库文件。4.3 扫描策略与防范 n端口扫描与防范 n端口扫描就是通过连接到目标系统的TCP或UDP端口,来确定什么服务正在运行。n一个端口就是一个潜在的通信通道,也就是一个入侵通道。n从对黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。n对目标计算
