第5章-漏洞检测.ppt

1 为什么需要漏洞检测 对于网络信息系统的安全而言 仅具有事后追查或实时报警功能的安全检测装备是不够的 还需要具备系统安全漏洞扫描能力的事先检查型安全工具 系统漏洞检测又称漏洞扫描 即对重要网络信息系统进行检查 发现其中可被攻击者利用的漏洞 2 漏洞的危害 漏洞也叫脆弱性 Vulnerability 是计算机系统在硬件 软件和协议的具体实现或系统安全策略上存在的缺陷或者不足 漏洞一旦被发现 就可以使用这个漏洞获得计算机系统的额外权限 使攻击者能够在未授权的情况下访问或者破坏系统 从而危害计算机系统安全 3 漏洞产生的原因 漏洞的成因很多 一般有以下几类 网络协议漏洞应用软件系统漏洞配置不当引起的漏洞 4 网络协议漏洞 TCP IP协议组是目前使用最为广泛的网络互连协议之一 TCP IP协议将网络互连和开放性作为首要考虑的问题 而没有过多的考虑安全性 造成了TCP IP协议族本身的不安全性 导致一系列基于TCP IP的网络服务的安全性也相当脆弱 5 应用软件系统漏洞 任何一种软件系统都或多或少存在一定的脆弱性 因为很多软件在设计时忽略或者很少考虑安全性问题 应用软件系统的漏洞有两种 由于操作系统本身设计缺陷带来的安全漏洞 这种漏洞将被运行在该系统上的应用程序所继承 应用软件程序的安全漏洞 6 配置不当引起的漏洞 在一些网络系统中忽略了安全策略的制定 即使采取了一定的网络安全措施 但由于系统的安全配置不合理或不完整 安全机制没有发挥作用 或者在网络系统发生变化后 由于没有及时更改系统的安全配置而造成安全漏洞 7 漏洞的分类标准 系统安全漏洞主要概括为以下几方面特征属性 漏洞被攻击者利用的方式漏洞形成的主要原因漏洞对系统安全造成的危害漏洞对系统安全造成的直接威胁漏洞的触发条件漏洞的操作角度漏洞的发生时序 这里我们根据这几个方面对系统漏洞进行分类 8 漏洞的分类标准 根据漏洞被攻击者利用的方式分为 本地漏洞远程漏洞 9 本地漏洞 攻击者是系统本地的合法用户或已经通过其他攻击方法获得了本地权限的非法用户 攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞 比较典型的是本地权限提升漏洞 这类漏洞在Unix系统中广泛存在 能让普通用户获得最高管理员权限 10 远程漏洞 攻击者是指通过网络 对连接在网络上的任意一台机器的进行攻击 可分为入侵攻击与破坏攻击两种方式 这类漏洞危害极大 攻击者能随心所欲的通过此漏洞操作他人的电脑 此类漏洞很容易导致蠕虫攻击 11 漏洞的分类标准 根据漏洞形成的主要原因分为 输入验证错误 InputValidationError 缓冲区溢出 BufferOverflow 设计错误 DesignError 意外情况处置错误 ExceptionalConditionHandlingError 访问验证错误 AccessValidationError 配置错误 ConfigurationError 竞争条件 RaceCondition 环境错误 ConditionError 12 漏洞的分类标准 根据漏洞对系统安全造成的危害分为 获得普通用户权限获得其他用户权限 13 漏洞的分类标准 根据漏洞对系统安全造成的直接威胁分为 普通用户访问权限权限提升本地管理员权限远程管理员权限本地拒绝服务远程拒绝服务服务器信息泄露远程非授权文件存取读取受限文件口令恢复欺骗 14 漏洞的分类标准 根据漏洞的触发条件分为 主动触发漏洞 攻击者可以主动利用该漏洞进行攻击 如直接访问他人计算机 被动触发漏洞 必须要计算机的操作人员配合才能进行攻击利用的漏洞 比如攻击者给管理员发一封邮件 带了一个特殊的jpg图片文件 如果管理员打开图片文件就会导致看图软件的某个漏洞被触发 从而系统被攻击 但如果管理员不看这个图片则不会受攻击 15 漏洞的分类标准 根据漏洞的操作角度分为 文件操作类型内存覆盖逻辑错误 16 文件操作类型 主要为操作的目标文件路径可被控制 如通过参数 配置文件 环境变量 符号链接等 导致下面两个问题 写入内容可被控制 从而可伪造文件内容 导致权限提升或直接修改重要数据 如修改存贷数据 内容信息可被输出 包含内容被打印到屏幕 记录到可读的日志文件 产生可被用户读的core文件等等 17 内存覆盖 主要为内存单元可指定 写入内容可指定 这样就能执行攻击者想执行的代码 缓冲区溢出 格式串漏洞 PTrace漏洞 历史上Windows2000的硬件调试寄存器用户可写漏洞 或能直接修改内存中的机密数据 18 逻辑错误 这类漏洞广泛存在 但很少有范式 所以难以查觉 可细分为 外部命令执行问题SQL注入问题 19 漏洞的分类标准 根据漏洞发生的时序分为 已发现很久的漏洞刚发现的漏洞Oday 20 漏洞的分级规范 一套完善的系统安全漏洞分级分类标准是基础 系统安全漏洞分类与分级是对漏洞不同抽象层次的特征属性进行描述 某些系统的分类是在系统安全漏洞的分类基础上进行的 还有一些安全事件的处理方法也要依据系统安全漏洞来制定 21 漏洞的分级规范 根据漏洞对系统造成的潜在威胁 破坏性 危害性 严重性 以及被利用的可能性为依据将系统安全漏洞分为四级 第一等级 紧急第二等级 重要第三等级 中等第四等级 低等 22 第一等级 紧急 定义 对 紧急 级别漏洞的利用可以导致网络蠕虫和病毒在用户不知情的情况下在网络上任意传播和繁殖 对于被评为 紧急 的安全漏洞 需要立即安装升级包 补丁程序 23 第二等级 重要 定义 对 重要 级别漏洞的利用可以导致严重的后果 以致危害到用户数据 相关资源的机密性 完整性和有效性 对于被评为 重要 的安全漏洞 需要安装升级包 补丁程序 24 第三等级 中等 定义 由于默认配置 审核或难以利用等因素的影响 中等 级别漏洞的利用效果显著降低 关于 中等 系统安全漏洞则应该在阅读安全信息以后判断该安全漏洞是否对此系统产生影响 在此基础上 确认升级包不会影响到系统之后 可以采用并安装 25 第四等级 低等 定义 对于 低等 级别漏洞的利用效果己降至最低限度 漏洞利用难度非常大 几乎所有的用户都不会受到影响的安全性漏洞将被评级为 低等 但关于 低等 系统安全漏洞仍应该在阅读安全信息以后判断该安全漏洞是否对此系统产生影响 在此基础上 确认升级包不会影响到系统之后 可以采用并安装 26 漏洞数据库概述 漏洞数据库的基本功能主要包括以下三点 帮助用户确认自身应用环境中可能存在的安全漏洞 提供基本的漏洞信息查询 安全产品厂商可以基于持续更新的漏洞数据库和用户的应用布置情况 为用户提供及时的安全预警 为安全产品厂商基于安全漏洞发现和攻击保护类产品开发提供技术和数据支持 27 漏洞数据库的特点 一个好的漏洞数据库应该体现在如下几个方面 覆盖面广准确性高及时性完全性 28 漏洞数据库的详细信息 漏洞数据库一般包括如下详细信息 漏洞基本信息 漏洞名称 CVE编号 本地编号 发布 更新时间等 漏洞分类分级信息 漏洞级别 类型 攻击类型 效果等 参考资源信息 权威网站中与此漏洞相关的信息 受影响的系统 此漏洞对哪些系统构成威胁的信息 关键字 描述此漏洞最关键的信息 补丁信息 漏洞补救方法 补丁信息和补丁下载地址信息等 29 CVE漏洞库 CVE是安全漏洞及其他信息安全风险标准名称的列表 目的是使所有已知漏洞和安全风险的名称标准化 CVE是一个字典 对每种漏洞没有详细说明 但CVE是构建权威的漏洞库的标准 30 CVE的特点 CVE的建立有以下的特点 一个漏洞或者一个暴露有自己单独的名称 对于目前出现的每个漏洞和暴露都进行了标准描述 它是一个字典 而不是数据库 能够让分开的数据库和安全工具用同一种语言 交谈 提供了一种协同工作的方式 使得安全覆盖面更广 提供了安全工具和数据库安全评估的标准 能方便得在Internet上下载和讨论 通过CVE编辑板得到行业认可 31 漏洞数据库的表结构 CVE中漏洞数据库表应有的结构 32 其它漏洞库 其它比较著名的网络安全公司或组织 如Securityfocus公司 ISS公司 AUSCERT和DEBIAN等也都建立了自己的漏洞数据库 我国在这方面的研究还处于起步阶段 必须尽快建立符合我国实际 权威 完备的漏洞库 以满足我国信息产业的发展需要 33 扫描器的基本概念 扫描器是一种自动检测远程或本地系统安全性弱点 漏洞 的程序 安全评估工具系统管理员保障系统安全的有效工具 目标可以是工作站 服务器 交换机 数据库应用等各种对象 网络漏洞扫描器网络入侵者收集信息的重要手段 34 扫描器的分类 根据不同的标准 安全扫描器主要可以分为以下两类 主机安全扫描器和网络安全扫描器端口安全扫描器和漏洞安全扫描器 35 主机扫描技术 传统技术 主机扫描的目的是确定在目标网络上的主机是否可达 这是信息收集的初级阶段 其效果直接影响到后续的扫描 常用的传统扫描手段有 ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non EchoICMP扫描 36 ICMPecho扫描 实现原理 发送ICMPEcho请求 然后等待ICMPEcho应答 如果收到了应答 则表明目标系统可达 否则表明系统不可达或发送的包被对方的设备过滤掉 其实就是使用常规的ping命令 优点 简单 多种系统支持缺点 很容易被防火墙限制 37 ICMPSweep扫描 ICMPSweep扫描就是通过并行发送 同时扫描多个目标主机 以提高扫描效率 38 BroadcastICMP扫描 实现原理 将ICMPECHOrequest包的目标地址设为广播地址或网络地址 则可以探测广播域或整个网络范围内的主机 缺点 只适合于UNIX Linux系统 Windows会忽略这种请求包 这种扫描方式容易引起广播风暴 39 Non EchoICMP扫描 一些其它ICMP类型包也可以用于对主机或网络设备的探测 如 StampRequest Type13 Reply Type14 InformationRequest Type15 Reply Type16 AddressMaskRequest Type17 Reply Type18 40 主机扫描技术 高级技术 防火墙和网络过滤设备常常导致传统的探测手段变得无效 为了突破这种限制 必须采用一些非常规的手段 利用ICMP协议提供网络间传送错误信息的手段 往往可以更有效的达到目的 非常规扫描手段有如下几种 异常的IP包头在IP头中设置无效的字段值错误的数据分片通过超长包探测内部路由器反向映射探测 41 异常的IP包头 向目标主机发送包头错误的IP包 目标主机或过滤设备会反馈ICMPParameterProblemError信息 常见的伪造错误字段为HeaderLengthField和IPOptionsField 根据RFC1122的规定 主机应该检测IP包的VersionNumber Checksum字段 路由器应该检测IP包的Checksum字段 不同厂家的路由器和操作系统对这些错误的处理方式不同 返回的结果也各异 如果结合其它手段 可以初步判断目标系统所在网络过滤设备的访问列表ACL 42 在IP头中设置无效的字段值 向目标主机发送的IP包中填充错误的字段值 目标主机或过滤设备会反馈ICMPDestinationUnreachable信息 这种方法同样可以探测目标主机和网络设备以及其ACL 43 错误的数据分片 当目标主机接收到错误的数据分片 如某些分片丢失 并且在规定的时间间隔内得不到更正时 将丢弃这些错误数据包 并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文 利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL 44 通过超长包探测内部路由器 若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志 该路由器会反馈FragmentationNeededandDon tFragmentBitwasSet差错报文 从而获取目标系统的网络拓扑结构 45 反向映射探测 该技术用于探测被过滤设备或防火墙保护的网络和主机 通常这些系统无法从外部直接到达 当我们想探测某个未知网络内部的结构时 可以构造可能的内部IP地址列表 并向这些地址发送数据包 当对方路由器接收到这些数据包时 会进行IP识别并路由 对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文 没有接收到相应错误报文的IP地址会可被认为在该网络中 当然 这种方法也会受到过滤设备的影响 46 漏洞扫描 定义 漏洞扫描是指检测远程或本地系统存在的安全缺陷 网络安全漏洞扫描器是指在Internet上通过向远程或本地主机发送探测数据包 获取主机的响应 并根据反馈的数据包 进行解包和分析 从而检测目标网络或主机系统漏洞的程序 47 漏洞扫描器的主要功能 探测扫描目标主机并且对其工作状态进行识别对于正在运行的主机 能够识别开放的端口的状态及提供的服务识别目标主机系统及服务程序的类型和版本 获取相应主机的系统信息根据已知漏洞信息 进行脆弱性分析 48 漏洞扫描的策略 被动式策略主动式策略 49 被动式策略 定义 被动式策略就是扫描基于主机之上 从一个内部用户的角度来检测操作系统级的漏洞 主要用于检测注册表和用户配置中的漏洞 优点 能直接获取主机操作系统的底层细节 如特殊服务和配置的细节等 缺点 只有控制了目标主机 并将检测工具安装在目标主机 才能实施正常的扫描活动 50 主动式策略 定义 主动式策略是基于网络的 它通过执行一些脚本文件 模拟对系统进行攻击的行为并记录系统的反应 从而发现其中的安全漏洞 它从外部攻击者的角度对网络及系统架构进行扫描 主要用于查找目标开放的端口 提供的网络服务及协议中的漏洞 优点 能够有效的发现那些基于主机的扫描所不能发现的网络设备漏洞 如路由器 交换机 远程访问服务和防火墙等存在的漏洞 51 端口扫描方式 当确定了目标主机可达后 就可以使用端口扫描技术 发现目标主机的开放端口 包括网络协议和各种应用监听的端口 常见的端口扫描方式主要有以下几种 TCPConnect 扫描TCPSYN扫描TCPFIN扫描TCPNull扫描TCPXmasTree扫描TCPMaimon扫描TCPFragmentationUDP扫描 52 TCPConnect 扫描 原理 扫描主机通过与扫描的目标机器的制定端口建立一次完整的TCP连接 以确定目标主机所开放的端口 扫描主机调用系统的Connect 函数 尝试与目标主机建立一个TCP连接 如果被扫描的端口开放 则连接建立成功 否则 返回 1 表明该端口关闭 优点 不需要任何特殊的权限 系统任何用户都可以调用connect 函数 且该方法的速度快 缺点 容易被发觉 容易被防火墙过滤掉 并且目标主机的日志文件会记录一系列有关该服务的连接信息 53 一个TCPconnect 扫描例子 利用nmap的 sT选项可以进行TCPconnect 扫描 我们对202 119 201 74进行扫描 结果如下图所示 通过扫描结果我们可以得到202 119 201 74的4个端口的信息 54 TCPSYN扫描 原理 首先扫描程序发送一个SYN数据包 假装要打开一个实际的连接并等待反应 如果返回Synlack信息就表示端口处于侦听状态 如果返回RST则表示端口没有处于侦听态 假如收到一个Synlack 则扫描程序就发送一个RST信号来关闭这个连接过程而不是发送ACK包 这种技术通常认为是 半开放 扫描 因为它不完成一次完整的TCP连接 优点 一般不会在目标计算机上留下记录缺点 必须要有管理员权限才能建立自己的SYN数据包 55 一个TCPSYN扫描例子 利用nmap的 sS选项可进行TCPSYN扫描 我们对202 119 201 74进行扫描 结果下图所示 56 TCPFIN扫描 原理 TCPFIN扫描通过向目标主机发送包含FIN标志的TCP包探测端口 如果被探测的目标主机的端口处于关闭状态 则目标主机返回一个RST信号 如果目标主机的端口处于侦听状态 则目标主机会忽略对FIN数据包的回复 即主机不会返回RST信号 通过是否返回RST信号 可以判定目标主机开放了哪些端口 优点 由于这种技术不包含标准的TCP三次握手协议的任何部分 所以无法被记录下来 从而必SYN扫描隐蔽得多 FIN数据包能够通过只监测SYN包的包过滤器 缺点 跟SYN扫描类似 需要自己构造数据包 要求由超级用户或者授权用户访问专门的系统调用 通常适用于UNIX目标主机 但在Windows95 NT环境下 该方法无效 因为不论目标端口是否打开 操作系统都返回RST包 57 一个TCPFIN扫描例子 利用nmap的 sF选项可进行TCPFIN扫描 我们对202 119 201 86 RedHatLinux9 进行扫描 结果下图所示 58 TCPNull扫描 原理 TCPNull扫描和TCPFIN扫描的原理相似 TCPNull扫描将发送的探测包的所有标志位置0 则如果被探测的目标主机的端口处于关闭状态 则目标主机返回一个RST信号 如果目标主机的端口处于侦听状态 则主机不会返回RST信号 通过是否返回RST信号 可以判定目标主机开放了哪些端口 59 一个TCPNull扫描例子 利用nmap的 sN选项可进行TCPNull扫描 我们对202 119 201 86进行扫描 结果下图所示 60 TCPXmasTree扫描 原理 TCPXmasTree扫描只是将探测包的标志位中的FIN PSH与URG设置为1 同样 对于TCPXmasTree的探测报文 如果端口开放则目标主机不返回RST信号 若端口关闭则返回RST信号 61 一个TCPXmasTree扫描例子 利用nmap的 sX选项可进行TCPXmasTree扫描 我们对202 119 201 86进行扫描 结果下图所示 62 TCPMaimon扫描 TCPMaimon扫描和Null FIN 以及Xmas扫描完全一样 除了探测报文中设置的标志位是FIN与ACK 根据RFC793 TCP 无论端口开放或者关闭 都应该对这样的探测响应RST报文 63 一个TCPMaimon扫描例子 利用nmap的 sM选项可进行TCPXmasTree扫描 我们对202 119 201 86进行扫描 结果下图所示 结果显示未扫出端口 64 TCPFragmentation 原理 通过把一个TCP报分割到多个IP包中 可使防火墙无法从一个IP包中找到完整的TCP报头 从而无法进行过滤 优点 隐蔽性好 可穿越防火墙缺点 可能被丢弃 某些程序在处理这些小数据包时会出现异常 65 UDP扫描 UDP是无连接的协议 不需要建立连接过程 但这个协议不能保证数据的安全到达 包括以下几种 UDPICMP端口不能到达扫描UDPrecvfrom 和write 扫描高级UDP扫描技术 66 UDPICMP端口不能到达扫描 这个协议很简单 所以扫描变得相对比较困难 这是由于打开的端口对扫描探测并不发送一个确认 关闭的端口也并不需要发送一个错误数据包 幸运的是 许多主机在你向一个未打开的UDP端口发送一个数据包时 会返回一个ICMP PORT UNREACH的错误 这样你就能发现那个端口是关闭的了 UDP和ICMP错误都不保证能到达 因此这种扫描方法还必须实现一个包 这种包看上去是丢失的时候能重新传输 缺点 速度慢 因为RFC对ICMP错误消息的产生速率作了规定 并且需要具有root权限 67 UDPrecvfrom 和write 扫描 当非root用户不能直接读到端口不能到达错误信息时 Linux能间接地在它们到达时通知用户 比如 对一个关闭的端口的第二个write 调用将失败 在非阻塞UDP套接字上调用recvfrom 时 如果ICMP出错还没有到达时返回eagain 重试 如果ICMP到达时 返回econnrefused连接被拒绝 这就是用来查看端口是否打开的技术 68 高级UDP扫描技术 在UDP实现的扫描中 多是利用和ICMP的组合进行 还有一些特殊的就是UDP回馈 比如SQLSERVER 对其1434端口发送 x02 或者 x03 就能够探测得到其连接端口 这种扫描主要针对应用程序的扫描 通过对应用程序常常打开的端口扫描得到该应用程序的信息 69 扫描工具 定义 扫描器是一种自动检测远程或本地主机安全性弱点的程序 通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本 从而间接或直观地了解到远程主机所存在的安全问题