计算机网络信息安全理论与实践教程 第10章.ppt

第10章漏洞扫描技术的原理与应用 10 1网络系统漏洞概述10 2漏洞扫描技术10 3漏洞扫描器组成结构10 4常用网络漏洞扫描工具10 5漏洞扫描器安装模式及实例10 6本章小结本章思考与练习 10 1网络系统漏洞概述 10 1 1漏洞概念漏洞又称为脆弱性 它是指计算机系统中与安全策略相冲突的状态或错误 这些状态或错误将导致攻击者非授权访问 假冒用户执行操作及拒绝服务 CC标准指出 威胁主体利用漏洞实现攻击 然而 网络系统的漏洞是广泛存在的 包括通信协议 操作系统软件应用系统和网络管理等都有或多或少的漏洞 这些漏洞的存在成为网络系统的安全隐患 因此 漏洞管理已经成为网络管理的重要工作之一 10 1 2漏洞与网络安全研究表明 网络系统中漏洞的存在是网络攻击成功的必要条件之一 攻击者要成功入侵关键在于及早发现和利用目标网络系统的漏洞 攻击者利用漏洞对网络系统安全构成的威胁有 普通用户权限提升 获取本地管理员权限 获取远程管理员权限 本地拒绝服务 远程拒绝服务 服务器信息泄露 远程非授权文件访问 读取受限文件 口令恢复 欺骗等 表10 1是与漏洞相关的安全重大事件统计表 表10 1历年重大安全事件与安全漏洞的统计 10 1 3网络系统漏洞来源网络系统中漏洞的来源有许多种 主要有以下几类 1 软件编程错误 如未对用户输入数据的合法性进行验证 使攻击者非法进入系统 2 安全配置不当 如系统和应用的配置有误 或配置参数 访问权限 策略安装位置有误 3 测试不充分 大型软件日益复杂 软件测试不完善 甚至缺乏安全测试 4 安全意识薄弱 如选取简单口令 5 安全管理人员的疏忽 如没有良好的安全策略及执行制度 重技术 轻管理 从而导致安全隐患 10 1 4网络系统漏洞发布机制漏洞发布机制是一种向公众或用户公开漏洞信息的一套方法 将漏洞信息公布给用户 帮助人们采取措施及时堵住漏洞 不让攻击者有机可乘 从而提高系统的安全性 减少漏洞带来的危害和损失 漏洞发布一般由软 硬件开发商 安全组织 黑客或用户来进行 漏洞发布方式主要有三种形式 网站 电子邮件以及安全论坛 网络管理员通过访问漏洞发布网站和安全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息 漏洞信息公布内容一般包括 漏洞编号 发布日期 安全危害级别 漏洞名称 漏洞影响平台 漏洞解决建议等 例如 如图10 1所示 国家计算机网络应急技术处理协调中心于2005年2月10日发布微软的漏洞信息 图10 1漏洞信息内容显示 10 1 5网络系统漏洞信息公布网址1 CERTCERT是ComputerEmerResponseTeam的缩写 该组织建立于1988年 是世界上第一个计算机安全应急响应组织 其主要的工作任务是提供入侵事件响应与处理 目前 该组织也发布漏洞信息 网络地址是http www cert org 2 SecurityFocusVulnerabilityDatabaseSecurityFocusVulnerabilityDatabase是由SecurityFocus公司开发并维护的漏洞信息库 它将许多原本零零散散的 与计算机安全相关的讨论结果加以结构化整理 组成了一个数据库 网络地址是 3 CVECVE CommonVulnerabilitiesandExposures 是Mitre公司开发的项目 它提供正式的通用漏洞命名标准服务 目前 CVE已发布的正式漏洞有两千余条 网络地址是www cve mitre org 4 CNCERT CCCNCERT CC是国家计算机网络应急技术处理协调中心的简称 它是在信息产业部互联网应急处理协调办公室的直接领导下 负责协调我国各计算机网络安全事件应急小组 CERT 共同处理国家公共互联网上的安全紧急事件 为国家公共互联网 国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测 预警 应急 防范等安全服务和技术支持 及时收集 核实 汇总 发布有关互联网安全的权威性信息 组织国内计算机网络安全应急组织进行国际合作和交流的组织 网络地址是 5 CCERTCCERT是中国教育和科研计算机网紧急响应组的简称 它对中国教育和科研计算机网及会员单位的网络安全事件提供快速的响应或技术支持服务 也对社会其他网络用户提供与安全事件响应相关的咨询服务 网络地址是 6 软件厂商网站微软公司 紧急升级通告 产品支持服务 补丁搜索引擎 苹果公司 技术支持 10 2漏洞扫描技术 1 主机漏洞扫描器主机漏洞扫描器不需要通过建立网络连接就可以进行 通过检查本地系统中各种关键性文件的内容及安全属性 来发现因配置不当引入的漏洞 这种扫描漏洞技术方法通常称为基于主机漏洞检测技术 扫描器的运行需要安装目标系统访问权限 甚至需要安装在目标系统中 因此 基于主机漏洞扫描器必须与被扫描系统在同一台主机上 并且只能进行单机检测 2 网络漏洞扫描器网络漏洞扫描器通过与待扫描的目标机建立网络连接 然后发送特定请求进行漏洞检查 网络漏洞扫描器与主机漏洞扫描器的区别在于 网络扫描需要与被扫描目标建立网络连接 通常把网络漏洞扫描器使用的漏洞检测技术称为网络漏洞检测技术 网络漏洞扫描器既可以扫描本地主机的网络漏洞 又可以扫描远程主机的网络漏洞 因此 网络漏洞扫描器可以对整个局域网上的所有主机进行漏洞检查 但是 由于没有主机系统的访问权限 网络漏洞扫描器也有其自身的缺陷 它只能获得有限的信息 主要是各种网络服务中的漏洞 10 3漏洞扫描器组成结构 1 用户界面用户界面部分主要完成以下的功能 1 接受并处理用户输入 定制扫描策略 开始和终止扫描操作 分析扫描结果报告等 2 显示系统扫描器工作状态 2 扫描引擎扫描引擎部分主要完成以下的功能 1 响应界面指令 2 读取扫描策略数据库 并依此制定执行方案 3 执行扫描方案 启动扫描进程和线程 并进行调度管理 4 将扫描结果存档保存 3 漏洞扫描结果分析结果分析部分主要完成以下的功能 1 读取数据库中的扫描结果信息 2 形成扫描报告 4 漏洞信息及配置参数库漏洞信息及配置参数库主要完成以下的功能 1 存放扫描结果 定制策略内容 描述脆弱性及其解决方法 2 提供数据查询和管理功能 10 4常用网络漏洞扫描工具 10 4 1COPS典型的主机系统扫描器是COPS ComputerOracleandPasswordSystem 它用来检查UNIX系统的常见安全配置问题和系统缺陷 tiger也是一个基于shell语言脚本的漏洞检测程序 主要用于UNIX系统的漏洞检查 图10 2是tiger检测IP地址为192 168 0 92的主机漏洞过程 图10 2tiger扫描过程 图10 3tiger扫描的结果信息 10 4 2SAINTSAINT SecurityAdministrator sIntegratedNetworkTool 是一个基于SATAN的安全评估工具 其特点有 能够透过防火墙扫描 漏洞库随CERT及时更新 采用不同颜色 红 黄 褐 绿 表示4种不同的安全等级 采用和Web相同的用户界面 SAINT下载地址 图10 4SAINT软件操作界面 10 4 3NessusNessus是典型的网络扫描器 由客户端和服务器端两部分组成 支持即插即用的漏洞检测脚本 它是一套免费 功能强大 结构完整 时时更新且相当容易使用的安全漏洞扫描软件 这套软件的发行目的是帮助系统管理者搜寻网络系统中存在的漏洞 Nessus的使用模式如图10 5所示 图10 5Nessus的使用模式 图10 6Nessus软件操作界面 10 4 5LANguard网络扫描器LANguard网络扫描器允许使用者扫描局域网内部的电脑 搜集它们的NetBIOS信息 打开端口 共享情况和其他相关资料 这些资料可以被管理员利用来进行安全维护 通过它可以强行关闭指定端口和共享目录 10 4 6X scanX scan是由国内安全组织Xfocus开发的漏洞扫描工具 运行在Windows环境中 10 4 7WhiskerWhisker是一个CGI扫描器 能够扫描大量的CGI漏洞 并且具有逃避IDS扫描的功能 该扫描器下载网址是 10 5漏洞扫描器安装模式及实例 10 5 1漏洞扫描器安装模式漏洞扫描器安装模式有两种 一种是把漏洞扫描器安装在被扫描的系统中 这种情形适合于单机漏洞扫描 另一种则是把漏洞扫描器安装在一台专用的计算机中 然后通过该计算机来扫描其他系统的漏洞 这种模式适合于扫描网络系统 10 5 2Windows系统漏洞扫描实例假设某网络管理员想远程检查某台Windows服务器是否存在RPC漏洞 以防止蠕虫攻击 该服务器的IP地址是192 168 0 100 则漏洞扫描解决方案如下 第一步 网络管理员从网络下载具有RPC漏洞扫描功能的软件retinarpcdcom exe 第二步 网络管理员把retinarpcdcom exe安装到管理机上 第三步 网络管理员运行retinarpcdcom exe 第四步 网络管理员输入Windows服务器的IP地址 第五步 网络管理员查看扫描结果 如图10 7所示 图10 7RPC漏洞扫描信息 10 5 3CGI漏洞扫描假设某网络管理员想远程检查某台WWW服务器是否存在CGI漏洞 以防止CGI攻击 该服务器的IP地址是192 168 0 100 则CGI漏洞扫描方案如下 第一步 网络管理员从网络下载具有CGI漏洞扫描功能的软件TWWWSCAN 第二步 网络管理员把TWWWSCAN安装到管理机上 第三步 网络管理员运行TWWWSCAN 第四步 网络管理员输入Windows服务器的IP地址 第五步 网络管理员查看扫描结果 如图10 8所示 图10 8TWWWSCAN漏洞扫描信息 10 6本章小结 本章首先给出了漏洞的概念 阐述了漏洞与网络安全的关系 分析了漏洞来源 并给出了网络系统漏洞发布机制以及常用的漏洞信息公布网址 其次 本章还系统地说明了网络扫描技术方法和漏洞扫描器的软件组成 列举