主机漏洞扫描ppt课件.ppt

主机漏洞扫描 1 学习目标 1 知识目标 2 能力目标 返回 下页 上页 2 1 知识目标 返回 下页 上页 理解漏洞的概念 1 理解漏洞产生的原因 2 掌握扫描器的工作原理 3 掌握主机漏洞扫描的作用 4 3 2 能力目标 返回 下页 上页 能安装360安全卫士 1 能使用360安全卫士扫描系统漏洞 2 4 工作任务 2 工作任务背景 4 条件准备 1 工作名称 3 工作任务分析 返回 下页 上页 5 任务背景 网管中心张老师负责学校网络维护 管理 近期学校网站经常出现蓝屏 死机等现象 学校责成张老师对此现象进行分析并进行防范 任务名称 利用扫描工具扫描主机提高主机安全性 任务名称与背景 返回 下页 上页 6 微软公司的操作系统是目前个人计算机上使用最广泛的操作系统 从最初的DOS1 0发展到目前的WindowsVista 微软的操作系统经历了重大变革 但是仍然出现蓝屏 死机 上网资料遗失 服务器遭受攻击等问题 综合分析漏洞成因主要分为3类 一是用户操作和管理不当引入的漏洞 二是Windows系统在设计实现过程中存在的漏洞 三是黑客行为 系统管理员误配置 大部分计算机安全问题是由于管理不当引起的 不同的系统配置直接影响系统的安全性 系统管理漏洞包括系统管理员对系统的设置存在漏洞 如直接影响主机安全的设置信息 例如注册表设置 弱势口令等 系统部分功能自身存在安全漏洞 在Windows的操作系统中 由于它们本身就是基于网络 工作任务分析 返回 下页 上页 7 返回 下页 上页 任务分析 服务平台而设计的操作系统 在默认的情况下 它们都会打开许多服务端口 这些端口就是攻击者们攻击的对象 所以管理员使用这些操作系统时就要关闭一些不需要的服务端口 操作系统和应用软件自身的缺陷 据统计调查数据显示 大半数攻击行为都是针对系统漏洞的 例如WindowsIIS4 0 5 0存在Unicode解码漏洞 会导致用户可以远程通过IIS执行任意命令 当用户用IIS打开文件时 如果该文件名包含Unicode字符 系统会对其进行解码 如果用户提供一些特殊的编码 将导致IIS错误地打开或者执行某些Web根目录以外的文件 未经授权的用户可能会利用IUSR machinename账号的上下文空间访问任何已知的文件 因为该账号在默认情况下属于 8 返回 下页 上页 任务分析 Everyone和Users组的成员 因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除 修改或执行 对应用软件而言 首先 这些软件在最初设计时可能考虑不周全 很少考虑到抵挡黑客的攻击 因而在安全设计上存在着严重的漏洞 此外 软件在实现上可能没正确实现设计中引入的安全机制 一个大型软件通常需要很多程序员共同协作 受编程人员的能力 经验和安全技术所限 程序中难免会有不足之处 在一个相互作用的系统里 小小的缺陷就有可能被黑客利用 黑客行为 如木马程序 木马一般通过电子邮件或捆绑在一些下载的可执行文件中进行传播 它们通过一些提示诱使用户打开它们 然后潜伏到用户系统并且安装 同时利用各种技术手段对自己进行简单或复杂 9 返回 下页 上页 任务分析与条件准备 的隐身 并且发送相关信息给攻击者 等待攻击者的响应 导致攻击者可以像操作自己的机器一样控制你的机器 甚至可以远程监控你的所有操作 总之 主机的漏洞通常涉及系统内核 文件属性 操作系统补丁 口令解密等问题 因此为确保主机的安全可靠 应该对系统中不合适的设置 脆弱的口令以及其他同安全规则相抵触的对象进行检查 准确定位系统中存在的问题 提前发现系统漏洞 经过分析 学校网站服务器采用的是Windows2003Server操作系统 正是由于张老师的一时疏忽 没有及时地对漏洞进行修补 才导致服务器出现以上症状 因此建议其它用户及时下载并安装安装补丁 降低安全威胁 4 条件准备 安全卫士360 10 实践操作 1 使用360安全卫士 扫描系统漏洞 上页 返回 下页 11 1 使用安全卫士扫描系统漏洞 360安全卫士安装简捷 直接从360网站上下载安装即可 运行360安全卫士 选择 修复系统漏洞 选项卡 如图所示 上页 返回 下页 12 1 使用安全卫士扫描系统漏洞 360安全卫士会自动扫描系统漏洞 列出系统没有安装的补丁和系统的安全配置方面的相关漏洞 因计算机不同扫描的结果会有所不同 扫描结束后弹出如图所示的窗口 上页 返回 下页 13 1 使用安全卫士扫描系统漏洞 所示 其中红色表示安全等级为严重的相关软件补丁 如不修复可能导致远程代码执行等非常危险的后果 必须立即修复 以加强系统安全 选择 查看并修复漏洞 进入修复漏洞界面 选择相关补丁前的复选框 单击 修复选择漏洞 按钮 即可自动下载Windows系统补丁并安装 消除系统漏洞 如图 上页 返回 下页 14 问题探究 2 扫描器基本工作原理 1 漏洞 3 主机漏洞扫描 上页 返回 下页 15 1 漏洞 网络攻击 入侵等安全事件频繁发生多数是因为系统存在安全隐患引起的 计算机系统在硬件 软件及协议的具体实现或系统安全策略上存在的这类缺陷 称为漏洞 漏洞 Vulnerability 也称为脆弱性 它一旦被发现 就可以被攻击者用以在未授权的情况下访问或破坏系统 不同的软硬件设备 不同的系统或者同种系统在不同的配置下 都会存在各自的安全漏洞 返回 下页 上页 16 2 扫描器基本工作原理 在系统发生安全事故之前对其进行预防性检查 及时发现问题并予以解决不失为一种很好的办法 扫描器是一种自动检测远程或本地主机安全脆弱点的程序 通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本 间接的或直观的了解到远程主机所存在的安全问题 扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查 目标可以是工作站 服务器 交换机 数据库应用等各种对象 根据扫描结果向系统管理员提供周密可靠的安全性分析报告 为提高网络安全整体水平产生重要依据 在网络安全体系的建设中 安全扫描工具花费低 效果好 见效快 与网络的运行相对对立 安装运行简单 可以大规模减少安全管理员的手工劳动 有利于保持全网安全政策的统一和稳定 返回 下页 上页 17 2 扫描器基本工作原理 扫描器并不是一个直接的攻击网络漏洞的程序 它仅仅能帮助我们发现目标机的某些存在的弱点 一个好的扫描器能对它得到的数据进行分析 帮助我们查找目标主机的漏洞 但它不会提供进入一个系统的详细步骤 扫描器应该有三项功能 发现一个主机和网络的能力 一旦发现一台主机 有发现什么服务正运行在这台主机上的能力 通过测试这些服务 发现这些漏洞的能力 扫描器对Internet安全很重要 因为它能揭示一个网络的脆弱点 在任何一个现有的平台上都有几百个熟知的安全脆弱点 在大多数情况下 田这些脆弱点都是唯一的 仅影响一个网络服务 人工测试单台主机的脆弱点是一项极其繁琐的工作 而扫描程序能轻易的解决这些问题 扫描程序开发者利用可得到的常用攻击方法并把它们集成到整个扫描中 这样使用者就可以通过分析输出的结果发现系统的漏洞 返回 下页 上页 18 3 主机漏洞扫描 对于安全漏洞引起的安全问题 采用事先检测系统的脆弱点防患于未然 是减少损失的有效办法 漏洞的检测依赖于人的发现 因此它是一个动态的过程 一般而言 系统的规模 复杂度与自身的脆弱性成反比 系统越大 越复杂 就越脆弱 当发现系统的一个或多个漏洞时 对系统安全的威胁便随之产生 通常 黑客进行一次成功的网络攻击 首先会收集目标网络系统的信息 确定目标网络的状态 如主机类型 操作系统 开放的服务端口以及运行的服务器软件等信息 然后再对其实施具有针对性的攻击 而对目标系统信息及漏洞信息的获取 目前主要是通过漏洞扫描器实现的 返回 下页 上页 19 1 漏洞扫描技术的分类及实现 知识拓展 返回 下页 上页 2 漏洞扫描技术的比较 20 1 漏洞扫描技术的分类及实现 基于网络系统漏洞库 漏洞扫描大体包括CGI漏洞扫描 POP3漏洞扫描 FTP漏洞扫描 SSH漏洞扫描 HTTP漏洞扫描等 这些漏洞扫描是基于漏洞库 将扫描结果与漏洞库相关数据匹配比较得到漏洞信息 漏洞扫描还包括没有相应漏洞库的各种扫描 比如Unicode遍历目录漏洞探测 FTP弱势密码探测 OPENRelay邮件转发漏洞探测等 这些扫描通过使用插件 功能模块技术 进行模拟攻击 测试出目标主机的漏洞信息 漏洞库的匹配方法基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库 通过采用基于规则的匹配技术 即根 返回 下页 上页 21 1 漏洞扫描技术的分类及实现 据安全专家对网络系统安全漏洞 黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验 可以形成一套标准的网络系统漏洞库 然后再在此基础之上构成相应的匹配规则 由扫描程序自动的进行漏洞扫描的工作 这样 漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能 漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间 因此 漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件 而且应当能满足前面所提出的性能要求 返回 下页 上页 22 1 漏洞扫描技术的分类及实现 插件 功能模块技术 技术插件是由脚本语言编写的子程序 扫描程序可以通过调用它来执行漏洞扫描 检测出系统中存在的一个或多个漏洞 添加新的插件就可以使漏洞扫描软件增加新的功能 扫描出更多的漏洞 插件编写规范化后 甚至用户自己都可以用perl c或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能 这种技术使漏洞扫描软件的升级维护变得相对简单 而专用脚本语言的使用也简化了编写新插件的编程工作 使漏洞扫描软件具有强的扩展性 返回 下页 上页 23 2 漏洞扫描技术的比较 现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描 但是这两种方法在不同程度上也各有不足之处 系统配置规则库问题网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂所在 而系统漏洞的确认是以系统配置规则库为基础的 但是 这样的系统配置规则库存在其局限性 1 如果规则库设计的不准确 预报的准确度就无从谈起 2 它是根据已知的安全漏洞进行安排和策划的 而对网络系统的很多危险的威胁却是来自未知的漏洞 这样 如果规则库更新不及时 预报准确度也会逐渐降低 3 受漏洞库覆盖范围的限制 部分系统漏洞也可能 返回 下页 上页 24 2 漏洞扫描技术的比较 不会触发任何一个规则 从而不被检测到 因此 系统配置规则库应能不断地被扩充和修正 这样也是对系统漏洞库的扩充和修正 漏洞库信息要求漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据 如果漏洞库信息不全面或得不到即时的更新 不但不能发挥漏洞扫描的作用 还会给系统管理员以错误的引导 从而对系统的安全隐患不能采取有效措施并及时的消除 因此 漏