（计算机系统结构专业论文）网络安全评估模型研究.pdf

华中科技大学硕士学位论文 摘要 前，网络安全事件层出不穷，导致网络安全成为人们日益关注的问 题。；如何对计算机网络系统进行全面的安全评估，及时修补存在的安全漏 洞j 最大程度地降低系统安全的风险程度，确保系统安全运行，己成为网 络安全领域一个重要的研究内容。 在充分分析了网络安全漏洞、网络扫描与攻击的主要类型和方法的基 础之上，给出了网络安全评估的原则和方法，从“质”和“量”的双重 角度建立了定性与定量评估相结合的网络安全评估模型。定性评估模型从 系统安全漏洞的性质、成因、风险程度等方面出发，对系统的安全状况进 行分析：定量评估模型通过收集系统的漏洞信息，利用矩阵、向量、集合 建立安全评估的一般表达式，结合经验值对系统的安全状况进行评估。 遵循网络安全评估的原则与方法，基于网络安全评估模型，设计与实 现了网络安全评估的原型系统x a s s e s s 。x a s s e s s 系统采用基于插件机制 的开放式模块化结构，给出了通用的接口规范，保证了较高的可扩充性。 x a s s e s s 遵循相关的国际标准，使用通用的c v e 列表来描述漏洞，进一步 增强了系统的通用性。 x a s s e s s 系统通过模拟多种攻击方法对目标系统的漏洞进行检测，在 对检测结果进行定性与定量分析的基础上，给出了较为全面的漏洞修补建 议。、 v 关键词：网络安全评估；安全漏洞；扫描；攻击：评估模型；插件 华中科技大学硕士学位论文 a b s t r a c t a tp r e s e n t ，t h ef r e q u e n tn e t w o r ks e c u r i t yi n c i d e n t sl e a dt ot h ef a c tt h a t p e o p l ep a ym o r e a n dm o r ea t t e n t i o nt on e t w o r ks e c u r i t y t h ew a yt og i v ea n o v e r a l la s s e s s m e n ta n dm e n dt h ee x i s t i n gs e c u r i t yl o o p h o l e so fn e t w o r k s ，t o r e d u c et h es e v e r i t yt ot h em i n i m u ma n dt og u a r a n t e et h e ms a f e l yo p e r a t i n g ， h a sb e c o m ea ni m p o r t a n tr e s e a r c hf i l e do f n e t w o r k s e c u r i t y b a s e do nt h e f u l l ya n a l y s i s o fn e t w o r ks e c u r i t y l o o p h o l e s ，n e t w o r k s c a n n i n g ，n e t w o r ka t t a c k ，t h ep r i n c i p l e s a n dt h em e t h o d st oa s s e s sn e t w o r k s e c u r i t ya r eg i v e n a n da na s s e s s m e n tm o d e lf o rn e t w o r ks e c u r i t yh a sb e e n g i v e n ，t o o ，w h i c h i sm a d e u p o ft w o p a r t s ：t h e a s s e s s m e n tm o d e lf o r q u a l i t a t i v ea n a l y s i sa n dt h ea s s e s s m e n tm o d e lf o rq u a n t i t a t i v ea n a l y s i s t h e f o r m e ra n a l y z e st h et a r g e tf r o mt h ea t t r i b u t e so ft h el o o p h o l e s ，s u c ha si t s c h a r a c t e r s ，c a u s a t i o n ，s e v e r i t y ，e t c a n d t h el a t e r a n a l y z e s t h e t a r g e tb y c o l l e c t i n gi t sl o o p h o l e s ，b yag e n e r a le x p r e s s i o nt h a ti sb u i l tw i t hm a t r i x e s ， v e c t o r sa n d a g g r e g a t e s f o l l o w e dt h ep r i n c i p l e sa n dt h em e t h o d so fn e t w o r k s e c u r i t ya s s e s s m e n t ， ap r o t o t y p ex a s s e s si sd e s i g n e da n di m p l e m e n t e db a s e do nt h es e c u r i t ym o d e l x a s s e s s ，w h i c hi sb a s e do np l u g i nt e c h n o l o g y ，h a sa no p e nm o d u l a r i z a t i o n s t r u c t u r e t h eg e n e r a li n t e r f a c ei sg i v e n ，a n dt h i sp r o v i d e sh i g he x p a n s i b i l i t y i no r d e rt ok e e pt ot h er e l e v a n ti n t e r n a t i o n a is t a n d a r d s x a s s e s sd e s c r i b e st h e l o o p h o l e sw i t ht h ec v ee n t r i e s ，w h i c hm a k e s i tb eu s e dw i d e l y w i t hm a n ys i m u l a t i n ga t t a c k s ，x a s s e s s i n s p e c t st h el o o p h o l e so ft h e t a r g e tc o m p r e h e n s i v e l y a f t e rt h eq u a l i t a t i v ea n dq u a n t i t a t i v ea n a l y s i s ，o v e r a l l s u g g e s t i o n sa r ep r o v i d e d k e y w o r d s ：n e t w o r k s e c u r i t ya s s e s s m e n t ；s e c u r i t yl o o p h o l e ；s c a n n i n g ；a t t a c k ； a s s e s s m e n t m o d e l ；p l u g - i n i l 华中科技大学硕士学位论文 。1 1 网络安全概述 1 绪言 随着计算机和网络技术的发展，i n t e r n e t 已成为当今世界规模最大的 互联网络，提供多种网络信息服务。随着i n t e r n e t 的普及，人们对互联 网的依赖程度也越来越大。但是作为一个面向大众的开放系统，i n t e r n e t 自从诞生以来，安全问题就相伴而生一一它对信息的保密和系统的安全性 考虑的并不是很完备，导致互联网上的攻击和破坏事件不胜枚举【l 】。网络 安全问题已涉及到人们工作和生活的方方面面，轻则干扰人们的正常生 活，重则造成重大的经济损失，甚至威胁到国家安全。网络安全问题已成 为亟待解决的重大问题【2 ，3 j 。 1 1 1 网络安全的概念与对策 1 网络安全的概念 网络安全是指计算机网络系统的部件、程序和数据安全，不受偶然的 或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠地正常运行，网 络服务不中断。网络安全的目标就是保护网络的程序、数据或设备，使其 免受非授权的使用或访问【4 , 5 1 。 网络安全保护的内容包括保护信息和资源、保护用户、保证数据的私 有性f 6 j 。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用 性、真实性和可控性的相关技术和理论都是网络安全的研究领域f 7 ，甜。 从技术角度看，网络安全是一个涉及计算机技术、网络技术、通信技 术、密码技术、信息安全、应用数学、数论、信息论等多种学科的边缘性 华中科技大学硕士学位论文 综合学科。 网络安全研究的内容包括物理安全和逻辑安全。对于物理安全，需要 加强计算机机房管理，如门卫、出入者身份检查、下班锁门以及各种软硬 件安全手段等预防措施；对于后者，则需要首先对网络状况进行一个安全 评估，再根据评估结果采取相应的措施，如采用防火墙、v p n 、入侵检测 系统等 g j o 。 2 网络所面临的安全威胁 基于网络的信息共享给整个社会带来了前所未有的变化，信息化已成 为整个社会发展的大趋势。但是，网络在给人类带来巨大便利的同时，也 正在成为恶意攻击者和竞争对手的重点攻击对象【1 1 , 1 2 1 。 计算机网络所面临的威胁主要来源于三个方面： ( 1 ) 人为的无意失误 如操作员安全配置不当造成的安全漏洞；用户安全意识不强；用户口 令选择不慎；用户将自己的账号随意转借他人或与他人共享等，都会对网 络安全带来威胁。 ( 2 ) 人为的恶意攻击 这是计算机网络所面临的最大威胁”】，黑客的攻击和计算机犯罪就属 于这一类。此类攻击又可以分为两种：种是主动攻击。主要是指以各种 方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、 病毒等：另一种是被动攻击，它是在不影响网络正常工作的情况下，进行 监听、截获、窃取、破译和业务流量分析及电磁泄露等。这两种攻击均可 对计算机网络造成极大的危害，并导致机密数据的泄漏。 ( 3 ) 各种软件的漏洞和“后门” 任何软件不可能是百分之百的无缺陷和无漏洞的，而这些漏洞和缺陷 恰恰是黑客进行攻击的突破口。另外，软件所存在的“后门”也为黑客攻 击提供了可能【h 1 5 1 。 3 网络安全技术的发展现状 由于网络中存在诸多不安全因素，网络安全问题日益突出，越来越多 2 华中科技大学硕士学位论文 ! = = _ i m = 2 i i i i = = = = = = = ! = ! ! = = ! ! ! ! ! 的网络安全技术正被广泛地用于保护各种敏感信息。网络安全技术可以分 为被动与主动两种【l 。 当前，被动安全技术使用较为广泛，它们大多是静态的，如认证系统、 口令、密码协议、h a s h 函数加密( 包括软件加密和硬件加密) 、数字签名、 信息伪装、防火墙和v p n 等技术。其中，以防火墙为最常见，它能够抵御 外部攻击，保护内部网络系统m 1 8 ，1 9 】。防火墙的缺点是比较被动，一旦入 侵者攻破就会严重威胁系统安全，而且对网管人员的要求较高，维护费用 大。 主动安全技术能主动地检测出网络的溥弱环节、实时监视入侵行为并 予以反击，主要包括网络安全评估、入侵检测、动态响应和审计分析等技 术。主动安全技术的最大优点在于其“主动性”。网络安全评估技术能够 主动地探测目标系统的安全漏洞，在分析其安全状况的基础上给出安全评 估报告与漏洞修补建议。入侵检测系统( i b s ) 2 0 1 能够根据特定的攻击模式 库，对网络的通信数据与系统的审计日志进行分析，检测出入侵行为，发 出警报并采取相应的保护措施【2 “。 4 网络安全技术的发展趋势 网络安全问题日益突现1 22 1 ，网络安全技术取得了很大的进展，防火墙、 入侵检测等技术也在迅速发展之中。但是，大量实践表明，仅仅依靠防火 墙或i d s 等单一的网络安全防护技术已满足不了保护网络安全的要求，将 多种安全技术有机结合在一起是未来的发展趋势f 2 3 1 。通过将主动检铡安全 漏洞的网络安全评估、静态防范非法访问的防火墙与实时检测黑客入侵的 i d s 等多种安全技术有机地结合，能够实现多种层次和角度的协同防御， 从整体上增强网络的安全，为系统的正常运行与敏感信息的保护提供有力 保障f 24 1 。 3 华中科技大学硕士学位论文 1 1 2 网络安全评估的概念与发展现状 网络安全评估就是通过对计算机网络系统的安全状况进行安全性分 析，及时发现并指出存在的安全漏洞，以保证系统的安全。网络安全评估 在网络安全技术中具有重要的地位，其基本原理是采用多种方法对网络系 统可能存在的已知安全漏洞进行检测，找出可能被黑客利用的安全隐患， 并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补 建议，以便及早采取措施，保护系统信息资源【2 5 1 。 网络安全评估主要关注的问题是网络是否存在以及存在什么样的漏 洞，可能会对网络产生什么样的威胁以及后果，如何才能解决这个问题， 有没有相应的修补方案及如何修补等【2 “。 网络安全评估可以分为硬件安全评估和软件安全评估。硬件安全评估 所关注的是服务器、路由器、交换机、调制解调器、传输介质等设备的安 全；软件安全评估所关注的是指运行于设备上的操作系统、数据库系统、 开放的服务以及其他服务软件的安全【2 ”。 在网络安全体系的建设中，安全评估工具与网络的运行相对独立，具 有安装运行简单、可以在适宜的时候运行、网络带宽消耗少、维护费用低 以及见效比较快等优点。因此，网络安全评估正日益引起人们的高度重视。 1 2 关于本课题 1 2 1 研究意义 在实践中，由于没有对网络的安全状况进行全面评估而导致系统被非 法入侵，造成重大损失的例子不胜枚举，所以加强网络安全评估的研究意 义重大。网络安全评估主要是从入侵者的角度对内部网络的安全状况进行 全面的分析与评估，及时发现存在的安全漏洞，增强系统安全，伢护内部 4 华中科技大学硕士学位论文 网络。 1 2 2 研究内容及主要任务 本研究课题将重点放在网络安全评估模型的研究与实现上。主要研究 内容包括： ( 1 ) 分析网络安全评估所涉及的内容； ( 2 ) 分析典型的网络攻击方法及其风险程度； ( 3 ) 研究网络安全评估方法； ( 4 ) 网络安全评估模型建模与原型系统实现。 1 2 3 研究目标 当前，网络安全已成为一个广为关注的问题，增强网络安全迫在眉睫。 鉴于网络安全评估在网络安全建设中占有十分重要的地位，所以本研究课 题的研究目标是给出一种网络安全评估模型的构建方法，遵循这种方法设 计并实现网络安全评估的原型系统。 华中科技大学硕士学位论文 2 网络扫描与攻击方法分析 本章是网络安全评估的基础，分析了网络不安全的主要因素，包括网 络安全漏洞、网络扫描和网络攻击，主要从技术角度探讨网络安全威胁的 成因以及网络安全评估的主要内容。 2 1 网络安全漏洞 网络安全漏洞就是在计算机网络系统中，以某种形式存在的安全方面 的脆弱性或弱点一一硬件、软件或策略上的缺陷，从而给入侵者以可乘之 机，使其能够在未授权的情况下访问系统，进而破坏系统安全。 2 1 1 概述 网络安全漏洞主要是由黑客、破译者、安全服务商组织发现的，也有 个别是被偶然发现的。 网络安全漏洞的分类方法有多种，可以按其属性分类，如漏洞可能造 成的直接威胁、漏洞的成因、漏洞的严重性、漏洞被利用的方式等；也可 以按照旌加给目标系统的威胁严重程度分类，如本地威胁、远程威胁、跨 越防火墙的威胁等；还可以按系统平台、数据库、协议、服务、应用程序 等方面分类，这是最常见的分类方法，也比较通用。 本文中所分析的安全漏洞大都是比较严重的软件漏洞。其它一些存在 的漏洞，通信链路、电磁辐射和电磁泄漏、搭线窃听、串音等问题均不在 讨论之列。 6 华中科技大学硕士学位论文 竺竺竺! ! ! ! ! ! ! ! ! = ! ! i i =i ! 竺竺! ! ! ! ! ! = ! ! ! 竺竺竺竺! ! = 竺竺! ! ! = 2 1 2 操作系统漏洞 1 w i n d o w s 常见漏洞 在常用的操作系统中，w i n d o w s 系统存在的安全漏洞是最多的。目前， 在w i n d o w s 系列的操作系统中，9 5 、9 8 及更早的版本已逐步被淘汰，n t 、 2 k 系列居于主流地位，所以本文安全漏洞的讨论与分析主要围绕后两者展 开。随着使用的普及，在n t 与2 k 平台上越来越多的安全漏洞暴露出来。 通过使用补丁程序可以修补n t 与2 k 的部分漏洞，但这也可能引入新的安 全漏洞。w i n d o w sn t 2 k 的常见弱点与漏洞见表2 1 。 表2 1n t 2 k 常见漏洞 安全弱点与漏洞 描述 序列号攻击透过猜测t c p 序列号截获会话，远程用户可获得n t 系统管理 员特权，影响非常严重 w i n n u k e即o u to fb a n d 漏洞，利用n e t b i o s 进行的服务拒绝攻击，对 n t 影响严重 n b t s t a t 漏洞攻击者只需将目标加入其l m h o s t s 文件，打开一个新n t 的 n e t b i o s 进程，就可以访问共享目录了，影响严重 n e t b l o s 共享漏洞w i n d o w s 主机允许文件共享使得它们容易受到黑客和某种快 与空会话信息泄露速移动的病毒的攻击。通过与n e t b i o s 对话服务连接的个 “空对话”过程，可获得用户和组信息( 用户名，上次登录时 间，口令策略，r a s 信息) ，系统信息和某种注册密钥n t 2 k 均受影响，见微软公告m s ：m s 9 9 - 0 0 4 、b u g t r a q ：2 0 0 0 0 2 1 5 w i n d o w s2 0 0 0i n s t a l l a t i o np r o c e s sw e a k n e s s 文本文件命令行调即使某 d o c 文件不是真正的 d o c 文件，也可在命令行调用 用漏洞 时被执行。攻击者可以编写一个d e s t o r y s e r v e r e x e 文件， 将其改名为d e s o r ys e r v e r d o c 并放到批处理文件中隐藏调 用，n t 2 k 均受影响 华中科技大学硕士学位论文 n t 2 k 存在大量的安全漏洞，究其原因是它的a d m i n i s t r a t o r 账户拥 仃过大的权限，i3 5 、i 3 9 4 4 5 等端口提供了过多的功能。相对说来，2 k 要比n t 安全得多，系统安全漏洞已大大减少。例如缓冲区溢出、木马攻 击、拒绝服务攻击等攻击手段只与具体服务软件i i s 、s o ls e r v e r 、i e 等 仃火。 2 l i n u x 常见漏洞 l i n u x 以其源代码公开、小巧玲珑、配置灵活而受到广大用户的欢迎， 因而其安全性也受到广泛关注，表2 2 列出了其常见的安全漏洞。 表2 2l i n u x 常见漏洞 安全弱点与漏洞 描述 r e d h a tl i n u xr e d h a tl i n u x 系统上的防火墙结构体系，使用一c 选项建立的 i p t a b l e s 存在漏保存文件不会被i p t a b i e s 读取。在系统重启时，i p t a b l e s 重 洞新装载这个文件不会成功。一般情况下，系统管理员会误以为服 务器处于防火墙保护之下。受影响系统：r e d h a tl i n u x7 1i 3 8 6 ， r e d h a tl i n u x7 1 a l p h a ，r e d h a tl i n u x 7 2i 3 8 6 ，见 r e d h a t ：r h s a 一2 0 0 l ：0 5 2以及b u g t r a q ：2 0 0 1 0 4 i 6 t e m p e s t s e e u r i t yt e c h o n o l o g i e s 一一a d i v s o r y # 0 1 2 0 0 1 一一l i b h x i p t a b l e s m o u n t d 漏洞利用这个漏洞获得n f s 文件服务器的管理员权限。这个漏洞不需 要目标机的账户也能被远程利用，见c e r tc a 一9 8 1 2 l i n u x 内核获取l i n u x 内核某些版本在处理p t r a c e ( 3 ) 时存在漏洞，本地攻击 特权漏洞 者利用此漏洞能获得系统特权。要攻击成功，u s r b i n n e w g r p 必须是s e t u i dr o o t 位，所有人可执行，且在无参数时不要求 密码。受影响系统：l i n u xk e r n e l s2 2 x ，x = i 9a n d2 4 y y = 9 ，见r e d h a t ：r h s a 一2 0 0 1 ：0 1 3 8 华中科技大学硕士学位论文 3 u n i x 常见漏洞 本系统目前主要围绕w i n d o w s 、l i n u x 平台展开研究，所以u n i x 漏洞 不列入讨论范围。 2 1 3 协议与服务漏洞 尽管o s i 标准颁布已经很久，但是互联网的实际工业标准却是 t c p i p 【29 1 。t c p i p 协议在设计和实现上力求运行效率，其本身就是造成 网络不安全的主要因素。t c p i p 协议是完全公开【2 9 的，专家们在设计 i n t e r n e t 之初将t c p i p 协议置于可信的环境之下，并将网络互连和开放 性作为首要考虑的问题，缺乏对安全性的总体构想和设计，从而忽视了对 安全保障的考虑。正因为t c p i p 协议族本身的不安全性m 3 1 1 ，导致一系 列基于t c p i p 的网络服务的安全性也相当脆弱，例如w e b 服务、电子邮 件服务、f t p 服务以及t e l n e t 服务等。 因此，对于连接到i n t e r n e t 的任何系统来说，一般的原则是尽可能 多地取消服务。因为任何服务都可能会有故障或隐藏的安全漏洞，从而会 为攻击者提供可乘之机。 1 w e b 服务 w e b 服务基于h t t p 协议，是i n t e r n e t 上信息共享的主要方式。随着 c g i ( c o m m o ng a t e w a yi n t e r f a c e ) 、j a v a 语言和脚本语言的发展，w e b 服 务已成为数据库集成、电子数据交换、电子商务甚至电视会议的渠道。 随着操作系统和网络协议的弱点以及漏洞逐步得到修补，w e b 服务器 和基于w e b 的应用程序所面临安全威胁日益突出。究其原因有两点：第一， 防火墙允许所有的w e b 通信，无法防止对w e b 服务器程序或基于w e b 的应 用程序的攻击；第二，w e b 服务器和基于w e b 的应用程序有时是在“功能 第一，安全其次”的指导思想下开发出来的。 根据平台的不同，其选用的w e b 服务器软件各异，存在的安全漏洞也 有所不同。即使是同一种软件，运行在不同版本的平台上时，其暴露出来 9 华中科技大学硕士学位论文 的安全漏洞也有所差异。 表2 3i i s4 、i i s5 和a s p 的常见漏洞 安全弱点与漏洞 描述 畸形u r l 能导致精心构造一个长度在一个特定范围内的u r l ，反复向受影响的系 l i s 5 0 拒绝服务统提交，可能导致i i s 内存分配发生错误，从而使得i i s 服务失 漏洞效，见m s 0 1 - 0 1 4 微软i i s5 0 索引利用了i s a p i 的id q d u 、i d a d l l 漏洞，允许远程入侵者在入 服务漏洞侵成功后的机器中运行任意代码，见m s 0 1 0 3 3 i s a p i 扩展缓冲也称为i s a p i 扩展缓冲区打印漏洞，属于访问验证错误。因为 区溢出漏洞i s a p i 没有目录限制，某些d l l 不做边界检查收到超长字符串 数据会造成缓冲区溢出，进而控制1 i s 服务器，见m s 0 1 0 2 3 r d s ( r e m o t ed a t a利用r d s 中的漏洞可以以a d m i n is t r a t o r 权限在远端执行命令。 s e r v i c e s ) 安全漏安装并运行i i s 、m d a c2 1 或更早版本的w i n d o w sn t 服务器最 洞易受攻击，见m s 9 9 0 2 5 i i s5 0s e a r c h w e b d a v 是h t t p 协议的扩展，允许从远程来编写和管理w e b 内容， 方法远程攻击漏在处理某些畸形的请求时存在缺陷，当提交一个超长的s e a r c h 洞 请求时可以使i i s 服务重启，见c v e - 2 0 0 0 0 9 5 1 w i n 2 ki i s 由于某些双字节的w i n 2 k 系统在处理某些特殊字符时与英文版 u n i c o d e 漏洞 本不同，通过这些特殊字符攻击者可绕过i i s 的目录审计远程 访问计算机上的任意文件或执行任意命令，见m s 0 0 0 7 8 w i n 2 0 0 0 的 当往目标机器( 在u r l 的结尾加上一个特殊字符”) 的 t r a n s l a t e ：f问 a s p a s a ( 或其它脚本文件) 发送含有t r a n s l a t e ：f ”文件头的 题泄露a s p a s ah t t pg e t 请求时，w i n d o w s 2 0 0 0 会返回该a s p a s a 的源代码而不 文件源码 是返回应该返回的经过处理的文件，见m s 0 0 0 5 8 a s p 源代码s d a t a 通过向h t t p 请求后缀：s d a t a ，有可能得到a s p 的源代码。其中 漏洞 通常会包含一些较敏感的信息，如登陆名称，口令等，见 m s 9 8 0 0 3 l o 华中科技大学硕士学位论文 其中，w i n d o w s 平台上的w e b 服务器软件存在的安全漏洞最多，以i i s 为例，它存在如下的安全漏洞：遭受拒绝服务攻击、泄露信息、泄露源代 码非法获取更多权限、u n i c o d e 漏洞、执行任意命令、缓冲区溢出漏洞等。 在近期大规模爆发的网络蠕虫病毒事件中，c o d e r e d 、c o d e r e d l l 、 c o d eb l u e 与n i m d a 都利用了i i s 的漏洞。其中，c o d e r e d 、c o d e r e d i i 利 用了缓冲区溢出漏洞、索引服务漏洞；c o d eb l u e 利用了u n i c o d e 漏洞； n i m d a 利用了i f r a m e e x e c c o m m a n d 、u n i c o d e 漏洞。表2 3 分别给出了i i s 4 、i i s5 和a s p 的部分漏洞。 2 f t p 服务 大多数提供f t p 服务的服务器都可以匿名登陆，如果有可写目录，则 会大大降低其安全性；即使没有可写目录，提供服务的f t p 软件本身若有 漏洞，其受威胁程度也是不可轻视的。常见的f t p 服务软件，以运行在 w i n d o w s 上的s e r v u 和运行在l i n u x 上的w u f t p 为例，其常见的漏洞见 表2 4 。 表2 4 常见f t p 服务软件漏洞 安全弱点与漏洞 描述 s e r v u2 5 j 目录s e r v u 的缺省设置会在特定环境下泄露绝对路径信息，见 泄漏漏洞b u g t r a q ：2 0 0 0 1 2 0 5s e r v uf t pd i r e c t o r yt r a v e r s a l v u l n e r a b i l i t y ( a 1 1v e r s i o n s ) w u f t p2 6 0 发只要有一个匿名f t p 账号就可远程获得管理员权限，需要一个 现存在远程溢出可写目录，见c e r t ：c a 一9 9 - 1 3 漏洞 3 t e l n e t 漏洞 t e l n e t 是i n t e r n e t 上用来进行远程访问的重要协议之一，其锛议本 身及某些提供t e l n e t 服务的软件都存在较大安全问题【3 2 】，表2 5 给出了 t e l n e t 的常见漏洞。 l t 华中科技大学硕士学位论文 表2 5t e l n e 常见漏洞 安全弱点与漏洞 描述 明文传输所有的数据( 包括用户的口令和整个t e i n e t 会话过程) 在传 输过程中都没有任何加密措施，易被第三方利用网络嗅探工具 捕获或篡改 身份认证措施不强攻击者可以对每个账户的t e l n e t 口令进行任意次的猜测攻 击。t e n e t 本身并不记录猜测的次数，尽管这些错误的猜测 将被记录在曰志文件中 微软t e l n e t 服务缓w i n d o w s2 0 0 0 中提供了t e l n e t - 服务，但是其中包含一个缓冲 冲区溢出漏洞 区溢出漏洞，可能导致攻击者执行其攻击程序，见m s 0 2 0 0 4 微软t e l n e t 服务提当一个t e l n e t 服务进程建立时，该服务会创建一个命名管 升权限漏洞 道，并用它来执行命令。但是，该管道的名字能被预见。如果 t e l n e t 发现一个已存在的管道名，将会直接利用它。攻击者 利用此漏洞，能预先建立一个管道名，当下一次t e l n e t 创建 服务进程时，便会在本地s y s t e m 环境中运行攻击者代码，见 m s 0 1 一0 3 1 表2 6i e 部分漏洞 安全弱点与漏洞 描述 i e 缓冲溢出漏洞 i e 在处理h t m l 文档中的内嵌对象时存在一个缓冲溢出漏洞，它 会使用户在浏览网页或查看h t m l 邮件信息时，让攻击者在系统 上执行任意代码，见m s 0 2 0 0 5 i e 泄漏缓存数据 缓存机制存在漏洞，使得攻击者通过个w e b 页面或者一个b t m l 路径漏洞 邮件可以得知缓存数据所在的物理路径，见m s o i 一0 1 5 异常处理m i m e 头 i e 在处理m i m e 头中。c o n t e n t - t y p e ：。处指定的某些类型时，存 漏洞 在问题，攻击者可以利用这类缺陷在i e 客户端执行任意命令， 见m s o l - 0 2 0 1 2 华中科技大学硕士学位论文 2 1 4 应用程序漏洞 很多应用程序都在不同程度上存在着为数众多的安全漏洞。以最常用 的i e 浏览器为例，部分漏洞说明见表2 6 。 2 2 网络扫描方法分析 网络扫描是黑客“踩点”常用的手段，用于收集目标系统的相关信息， 为下一步的攻击做准备工作。同样，要对目标系统进行安全评估，首先需 要进行安全扫描，收集相关信息，为进一步的分析与评估做准备a 安全扫描就是使用扫描技术对计算机系统或者其它网络设备进行安 全相关的检测，以找出系统的安全漏洞的过程。 安全扫描通常采用两种策略：第一种是被动式策略，第二种是主动式 策略。被动式策略是基于主机的，对系统中不恰当的设置，脆弱的口令以 及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它 通过对系统进行模拟攻击并记录系统的反应，从而发现目标系统的安全漏 洞。利用被动式策略的安全扫描称为系统安全扫描，利用主动式策略的安 全扫描称为网络安全扫描。 2 2 1 概述 - 网络安全扫描就是通过查询目标系统的端口并记录目标的响应，收集 相关的系统信息，以检测本地或远程主机的安全弱点的技术。网络安全扫 描收集的系统信息包括：目标机是否在运行、运行何种操作系统、提供什 么服务、用户权限、是否支持匿名登录、是否有可写的目录等。 本文讨论的网络安全评估模型原型系统采用了主动式策略进行扫描， 利用了p i n g 扫描、端口扫描与操作系统识别等扫描技术，对目标系统进 1 3 华中科技大学硕士学位论文 行安全评估。 2 2 2p i n g 扫描 ! 瓤n g 扫描主要用于探测目标系统是否正在运行，主要有简单i c m p 响 应谱象【3 3 , 3 4 , 3 5 , 36 1 、广播i c m pe c h o 请求、n o n - e c h oi c m p 请求等几种类型。 1 ：简单i c m p 响应请求 通过向目标系统发送简单i c m p 响应请求( i c m p 类型8 ) 并对返回的 i c m p 响应进行分析，可以收集到目标主机的网络信息。处于运行状态的目 标系统会返回i c m pe c h o ( i c m p 类型0 ) 。如果发送者没有收到返回信息， 则表明目标系统可能不在运行。 2 广播i c m pe c h o 请求 通过向目标网络或主机的广播地址发送广播i c m p 响应请求并对返回 的i c m p 响应进行分析，可以收集到目标主机的相关信息。当处于运行状 态的目标主机收到一到两个i c m pe c h o 请求后，将返回i c m pe c h o 。通常， u n i x 主机直接返回它所有的网络信息，而w i n d o w s 主机将忽略这些请求。 3 n o n e c h oi c m p 请求 有的路由器或防火墙出于安全考虑会阻塞i c m pe c h o 请求，此时可以 使用无响应的i c m p 请求来收集主机信息。通过使用类型为1 3 ( t i m e s t a m p ) 的i c m p 包可以收集目标系统的时间信息，使用类型为1 7 ( a d d r e s sm a s k r e q u e s t ) 的i c m p 包可以收集目标主机的网络地址掩码。但是，由于有的 系统并不响应i c m p 的时间戳请求或地址掩码请求的数据包，所以这种方 法不像正常的i c m p 响应请求那样精确。 2 2 3 端口扫描技术 端口扫描主要用于探测目标操作系统的类型与版本信息，查询目标主 机上运行的服务类型、软件种类与版本信息等，主要涉及以下几种技术： 1 4 华中科技大学硕士学位论文 1 t c pc o n n e c t ( ) 扫插 正常的t c p 连接建立需要经过三次握手1 3 ”，其过程如图2 1 所示。第 一步，客户c 向服务器s 发送初始序列号为x 的s y n 分组：第二步，服务 器s 返回s y n a c k 分组，表示同意建立连接，其初始序列号为y ；最后， 客户c 发送a c k 分组，确认收到了服务器的信息。这是一个完整的三次握 。 手的全过程。 客户c 逸迎 渗 嗡 闯 服务器 图2 1 三次握手建立t c p 连接 t c pc o n n e c t 0 扫描通过调用套接字函数c o n n e c t 0 试图连接目标系 统的某个t c p 端口，完成一次完整的三次握手从而探测目标系统的相关信 息。如果连接成功，则表明目标系统的相应端口处于监听状态。但是这种 方法容易在目标系统中留下痕迹。 2 t c ps y n 扫描 t c ps y n 扫描也叫半打开扫描( h a l f - o p e ns c a n n i n g ) ，即不打开一个 完整的t c p 连接：首先，往目标主机的端口发送一个s y n 数据，如果收到 r s t a c k 的返回信息，则表明目标端口已经关闭；若收到s y n a c k 的返回 信息，则表明目标端口处于监听状态。随后，发送一个r s t a c k 分组来关 闭这个连接过程。由于不是一次完整的三次握手，所以在目标系统中不会 留下痕迹。 华中科技大学硕士学位论文 3 秘密扫描( s t e a l t hs c a n ) 秘密扫描技术是在建立网络连接的过程中，故意与t c p 三次握手规定 相冲突以逃避检查的扫描技术。这种类型的扫描技术或者能够穿过防火墙 的过滤规则，或者不会被目标系统日志记录，或者在正常的网站n 络流 量中隐藏自己。秘密扫描技术分为以下几种类型： ( 1 ) s y n a c k 扫描 在t c p 连接开始建立时，通过直接向目标端口发送s y n a c k 分组【3 7 1 ， ， 可以探测该端口的状态。当开放的端口收到s y n a c k 分组时，将会忽略； 当关闭的端口收到这样的分组时，系统t c p i p 协议栈会认为它是个错误 的分组，并将返回r s t 分组来终止当前连接，从而发送方可以据此判断目 标端口已经关闭。 ( 2 ) f i n 扫描 通过向目标端口发送f i n 分组 3 7 1 ( 或任何其他不带a c k 或s y n 标记 的分组) ，可以探测该端口的状态。若发送方收到r s t 分组，则表明目标 端口是关闭的；若发送方没有收到任何分组，则目标端口可能是开放的。 但是在许多实现中，例如w i n d o w s 系统，其开放的端口会返回r s t a c k 分组。 ( 3 ) x m a s 扫描( c h r i s t m a st r e e ) 通过向目标端口发送一个将首部所有标志位都置位的t c p 分组 3 7 】，可 以探测该端口的状态。这些标志位包括了u r g 、a c k 、p s t 、r s t 、s y n 和f i n 。 若发送方收到一个r s t 分组，则表明目标端口是关闭的。 ( 4 ) n u l l 扫描 与x m a s 扫描相反，通过向目标端口发送一个将首部所有标志位都复 位的t c p 分组，可以探测该端1 ：3 的状态。若发送方收到一个r s t 分组，则 表明目标端口是关闭的【3 。但事实上，当w i n d o w s 、c i s c o 、b s d i 、h p u x 、 m v s & i r i x 等操作系统的开放端口收到n u l l 扫描的分组时，也会回复r s t 分组。 华中科技大学硕士学位论文 2 2 4 操作系统识别技术 由于许多安全漏洞与具体的操作系统相关，所以作为收集目标系统相 关信息的第一步，操作系统的识别对于准确有效地评估目标系统的安全状 况具有重要的意义。最简单的方法是获取目标系统上某些服务的b a n n e r ， 通过探测目标系统的开放端口可以大致辨别操作系统的类型与版本。比 如，对于特定的目标系统，如果仅开放了1 3 9 端口，则有可能是w i n d o w s9 x 系统( 也有可能是安装了s m b 的l i n u x 系统) ：若1 3 5 和1 3 9 端l z ：l 均开放， 则有可能是w i n d o w sn t ；若还开放了4 4 5 端口，则有可能是w i n d o w s2 k 。 在操作系统识别技术中，准确度最高的是t c p i p 协议栈指纹识别技术。 由于在现实中，每个操作系统并没有完全遵循r f c 规范实现其t c p i p 协议栈 3 8 , 3 9 】，它们在t c p i p 通信过程中的表现也不尽相同。因此，利用 协议栈指纹识别技术就能识别出不同的操作系统。协议栈指纹识别技术的 基本思想就是给目标系统发送特定的分组，根据其做出的不同响应进行辨 识，大致可以分为下述9 种探测类型。通常需要将多种探测类型结合使用， 才能较为准确地识别目标操作系统。 1 f i n 探测 这种方法一般用于识别w i n d o w s 系统，具体分析详见2 2 3 节。 2 假标志探测( b o g u s f i np r o b e ) 通过在s y n 分组的t c p 首部设置一个未定义的t c p 标记并发送给目标 系统，可以识别特定的l i n u x 系统。版本号小于2 0 3 5 的l i n u x 系统在 返回的分组中会保持该标记。 3 初始i s n 取样( t c pi s ns 8 m p l i n g ) 探测 不同的t c p i p 协议栈实现，其初始序列数取样模式不同。通过获取 目标系统响应连接请求时的初始序列数取样模式，可以大致确定其操作系 统的类型。 4 不分段位( “d o n tf r a g m e n tb i t ”) 探测 华中科技大学硕士学位论文 有些操作系统会设置其发送分组的i p 首部的”d o n t f r a g m e n t ”位以 改变系统性能 4 0 , 4 1 。通过检查目标操作系统返回的信息，可以收集其操作 系统的有关信息。 5 t c p 初始化窗口( t c pi n i t i a lw i n d o w ) 探测 对于特定协议栈的实现来说，t c p 初始化窗口基本上是个常数，通过 检查返回分组的初始化窗口大小就可以大致确定其操作系统类型。 6 a c k 值( a c kv a l u e ) 探测 。 不同的t c p i p 实现中其a c k 域的值是不同的，通过向目标系统发送 某些特定的分组，检查返回分组的a c k 值可以大致确定其操作系统类型。 例如，向关闭的t c p 端口发送f i n p s h u r g 分组，大多数的t c p i p 实现 会在返回的分组里将a c k 值设置为收到分组的初始序列数，而w i n d o w s 和