计算机网络信息安全理论与实践教程第10章

第 10章 漏洞扫描技术的原理与应用 第 10章 漏洞扫描技术的原理与应用 10.1 网络系统漏洞概述 10.2 漏洞扫描技术 10.3 漏洞扫描器组成结构10.4 常用网络漏洞扫描工具 10.5 漏洞扫描器安装模式及实例 10.6 本章小结本章思考与练习 第 10章 漏洞扫描技术的原理与应用 10.1 网络系统漏洞概述 10.1.1 漏洞概念漏洞又称为脆弱性，它是指计算机系统中与安全策略相冲突的状态或错误，这些状态或错误将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。 CC标准指出，威胁主体利用漏洞实现攻击。然而，网络系统的漏洞是广泛存在的，包括通信协议、操作系统软件应用系统和网络管理等都有或多或少的漏洞，这些漏洞的存在成为网络系统的安全隐患。因此，漏洞管理已经成为网络管理的重要工作之一。 第 10章 漏洞扫描技术的原理与应用 10.1.2 漏洞与网络安全研究表明，网络系统中漏洞的存在是网络攻击成功的必要条件之一，攻击者要成功入侵关键在于及早发现和利用目标网络系统的漏洞。攻击者利用漏洞对网络系统安全构成的威胁有：普通用户权限提升、获取本地管理员权限、获取远程管理员权限、本地拒绝服务、远程拒绝服务、服务器信息泄露、远程非授权文件访问、读取受限文件、口令恢复、欺骗等。表 10-1是与漏洞相关的安全重大事件统计表。 第 10章 漏洞扫描技术的原理与应用 表 10-1 历年重大安全事件与安全漏洞的统计 第 10章 漏洞扫描技术的原理与应用 10.1.3 网络系统漏洞来源网络系统中漏洞的来源有许多种，主要有以下几类：(1) 软件编程错误，如未对用户输入数据的合法性进行验证，使攻击者非法进入系统。(2) 安全配置不当，如系统和应用的配置有误，或配置参数、访问权限、策略安装位置有误。(3) 测试不充分，大型软件日益复杂，软件测试不完善，甚至缺乏安全测试。(4) 安全意识薄弱，如选取简单口令。(5) 安全管理人员的疏忽，如没有良好的安全策略及执行制度，重技术，轻管理，从而导致安全隐患。 第 10章 漏洞扫描技术的原理与应用 10.1.4 网络系统漏洞发布机制漏洞发布机制是一种向公众或用户公开漏洞信息的一套方法。将漏洞信息公布给用户，帮助人们采取措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安全性，减少漏洞带来的危害和损失。漏洞发布一般由软、硬件开发商、安全组织、黑客或用户来进行。漏洞发布方式主要有三种形式：网站、电子邮件以及安全论坛。网络管理员通过访问漏洞发布网站和安全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息。漏洞信息公布内容一般包括：漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。例如，如图10-1所示，国家计算机网络应急技术处理协调中心于 2005年 2月10日发布微软的漏洞信息。 第 10章 漏洞扫描技术的原理与应用 图 10-1 漏洞信息内容显示 第 10章 漏洞扫描技术的原理与应用 10.1.5 网络系统漏洞信息公布网址1 CERTCERT是 Computer Emer Response Team的缩写，该组织建立于 1988年，是世界上第一个计算机安全应急响应组织，其主要的工作任务是提供入侵事件响应与处理。目前，该组织也发布漏洞信息，网络地址是 。 第 10章 漏洞扫描技术的原理与应用 2 Security Focus Vulnerability DatabaseSecurity Focus Vulnerability Database是由 Security Focus公司开发并维护的漏洞信息库，它将许多原本零零散散的、与计算机安全相关的讨论结果加以结构化整理，组成了一个数据库。网络地址是 。 第 10章 漏洞扫描技术的原理与应用 3 CVE CVE(Common Vulnerabilities and Exposures)是 Mitre公司开发的项目，它提供正式的通用漏洞命名标准服务。目前， CVE已发布的正式漏洞有两千余条。网络地址是 。 第 10章 漏洞扫描技术的原理与应用 4 CNCERT/CCCNCERT/CC是国家计算机网络应急技术处理协调中心的简称，它是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络安全事件应急小组 (CERT)共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流的组织。网络地址是 。 第 10章 漏洞扫描技术的原理与应用 5 CCERTCCERT是中国教育和科研计算机网紧急响应组的简称，它对中国教育和科研计算机网及会员单位的网络安全事件提供快速的响应或技术支持服务，也对社会其他网络用户提供与安全事件响应相关的咨询服务。网络地址是 。 第 10章 漏洞扫描技术的原理与应用 6软件厂商网站微软公司：紧急升级通告：/support/kb/articles/Q224/4/20.ASP安全通告服务：/technet/security/bulletin/notify.asp升级：Office升级：/downloads 第 10章 漏洞扫描技术的原理与应用 产品支持服务：/directory个人安全建议：/technet/mpsa/start.aspSUN公司：技术支持：/supportraining/知识库：/pub-cgi/show.pl?target=home补丁网站：/pub-cgi/show.pl?target=home 第 10章 漏洞扫描技术的原理与应用 补丁搜索引擎：/pub-cgi/show.pl?target=patches/patch-accessCISCO公司：安全建议：/warp/public/707/advisory.html技术援助中心：/public/support/tac/home.shtmlCisco Internetworking Operating System (IOS) 参考指南：/warp/public/620/1.htmlCisco产品安全应急：/warp/public/707/sec_incident_response.shtml 第 10章 漏洞扫描技术的原理与应用 苹果公司：技术支持：/support/操作系统和应用程序补丁：/support/downloads.html 第 10章 漏洞扫描技术的原理与应用 10.2 漏洞扫描技术 1主机漏洞扫描器主机漏洞扫描器不需要通过建立网络连接就可以进行，通过检查本地系统中各种关键性文件的内容及安全属性，来发现因配置不当引入的漏洞。这种扫描漏洞技术方法通常称为基于主机漏洞检测技术，扫描器的运行需要安装目标系统访问权限，甚至需要安装在目标系统中。因此，基于主机漏洞扫描器必须与被扫描系统在同一台主机上，并且只能进行单机检测。 第 10章 漏洞扫描技术的原理与应用 2网络漏洞扫描器网络漏洞扫描器通过与待扫描的目标机建立网络连接，然后发送特定请求进行漏洞检查。网络漏洞扫描器与主机漏洞扫描器的区别在于，网络扫描需要与被扫描目标建立网络连接。通常把网络漏洞扫描器使用的漏洞检测技术称为网络漏洞检测技术。网络漏洞扫描器既可以扫描本地主机的网络漏洞，又可以扫描远程主机的网络漏洞，因此，网络漏洞扫描器可以对整个局域网上的所有主机进行漏洞检查。但是，由于没有主机系统的访问权限，网络漏洞扫描器也有其自身的缺陷：它只能获得有限的信息，主要是各种网络服务中的漏洞。第 10章 漏洞扫描技术的原理与应用 10.3 漏洞扫描器组成结构 1用户界面用户界面部分主要完成以下的功能：(1) 接受并处理用户输入、定制扫描策略、开始和终止扫描操作、分析扫描结果报告等。(2) 显示系统扫描器工作状态。 第 10章 漏洞扫描技术的原理与应用 2扫描引擎扫描引擎部分主要完成以下的功能：(1) 响应界面指令。(2) 读取扫描策略数据库，并依此制定执行方案。(3) 执行扫描方案，启动扫描进程和线程，并进行调度管理。(4) 将扫描结果存档保存。 第 10章 漏洞扫描技术的原理与应用 3漏洞扫描结果分析结果分析部分主要完成以下的功能：(1) 读取数据库中的扫描结果信息。(2) 形成扫描报告。 第 10章 漏洞扫描技术的原理与应用 4漏洞信息及配置参数库漏洞信息及配置参数库主要完成以下的功能：(1) 存放扫描结果，定制策略内容，描述脆弱性及其解决方法。(2) 提供数据查询和管理功能。 第 10章 漏洞扫描技术的原理与应用 10.4 常用网络漏洞扫描工具 10.4.1 COPS典型的主机系统扫描器是 COPS(Computer Oracle and Password System)， 它用来检查 UNIX系统的常见安全配置问题和系统缺陷。 tiger也是一个基于 shell语言脚本的漏洞检测程序，主要用于 UNIX系统的漏洞检查。图 10-2是 tiger检测 IP地址为2的主机漏洞过程。 第 10章 漏洞扫描技术的原理与应用 图 10-2 tiger扫描过程 第 10章 漏洞扫描技术的原理与应用 图 10-3 tiger扫描的结果信息 第 10章 漏洞扫描技术的原理与应用 10.4.2 SAINTSAINT(Security Administrators Integrated Network Tool)是一个基于 SATAN的安全评估工具，其特点有：* 能够透过防火墙扫描，漏洞库随 CERT 及时更新。* 采用不同颜色 (红，黄，褐，绿 )表示 4种不同的安全等级。* 采用和 Web相同的用户界面。SAINT下载地址： /saint/。 SAINT程序主界面如图 10-4所示。 第 10章 漏洞扫描技术的原理与应用 图 10-4 SAINT软件操作界面 第