网络安全检测与评估技术课件2

1第6章网络安全检测与评估技术内容提要：网络安全漏洞

网络安全漏洞检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结2022/11/191第6章网络安全检测与评估技术内容提要：2022/1126.1网络安全漏洞1.网络安全漏洞威胁（1）安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在”。2022/11/1926.1网络安全漏洞1.网络安全漏洞威胁2022/13（2）安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。2022/11/193（2）安全威胁的定义2022/11/114可以按照风险等级对安全漏洞进行归类，表6-1，6-2，6-3对漏洞分类方法进行了描述。表6-1漏洞威胁等级分类严重度等级影响度低严重度:漏洞难以利用，并且潜在的损失较少。1低影响度:漏洞的影响较低，不会产生连带的其他安全漏洞。中等严重度:漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。2中等影响度:漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。高严重度:漏洞易于利用，并且潜在的损失较大。3高影响度:漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。

2022/11/194可以按照风险等级对安全漏洞进行归类，表6-15表6-2漏洞威胁综合等级分类严重等级影响等级1231123223433452022/11/195表6-2漏洞威胁综合等级分类影响等级12311232236表6-3漏洞威胁等级分类描述等级描述1低影响度，低严重度2低影响度，中等严重度；中等影响度，低严重度3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度4中等影响度，高严重度；高影响度，中等严重度5高影响度，高严重度2022/11/196表6-3漏洞威胁等级分类描述等级描述1低影响度，低严72.网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类2022/11/1972.网络安全漏洞的分类方法2022/11/118（1）按漏洞可能对系统造成的直接威胁分类可以将漏洞分为：远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。2022/11/198（1）按漏洞可能对系统造成的直接威胁分类2022/11/9（2）按漏洞的成因分类可以分为：输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。2022/11/199（2）按漏洞的成因分类2022/11/11106.2网络安全漏洞检测技术网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。

通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通过安全漏洞探测可以发现系统中可能存在的安全漏洞。2022/11/19106.2网络安全漏洞检测技术网络安全漏111.端口扫描技术端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。端口扫描技术分为：TCP端口扫描技术UDP端口扫描技术6.2.1网络安全漏洞检测技术2022/11/19111.端口扫描技术6.2.1网络安全漏洞检测技术212（1）TCP端口扫描技术TCP端口扫描技术主要有全连接扫描技术、半连接（SYN）扫描技术、间接扫描技术和秘密扫描技术等。全连接扫描技术全连接扫描的工作方式是：对目标主机上感兴趣的端口进行connect()连接试探，如果该端口被监听，则连接成功，否则表示该端口未开放或无法到达。2022/11/1912（1）TCP端口扫描技术2022/11/1113全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接（SYN）端口扫描技术半连接端口扫描不建立完整的TCP连接，而是只发送一个SYN信息包，就如同正在打开一个真正的TCP连接，并等待对方的回应一样。2022/11/1913全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准14半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全连接扫描要少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。2022/11/1914半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进15（2）UDP端口扫描技术UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端口就是开放的。2022/11/1915（2）UDP端口扫描技术2022/11/11166.2.2操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统的类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：获取标识信息探测技术基于TCP/IP协议栈的指纹探测技术基于ICMP响应分析探测技术2022/11/19166.2.2操作系统探测技术2022/11/1117（1）获取标识信息探测技术获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。通常，可以利用telnet这个简单命令得到主机操作系统的类型。2022/11/1917（1）获取标识信息探测技术2022/11/1118（2）基于TCP/IP协议栈的指纹探测技术指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。操作系统指纹探测步骤为：形成一个全面的操作系统指纹特征库；向目标发送多种特意构造的信息包，检测其是否响应这些信息包以及其响应方式；把从目标返回的特征信息与指纹特征库进行匹配，判断目标机器的操作系统类型等信息。2022/11/1918（2）基于TCP/IP协议栈的指纹探测技术2022/1119（3）基于ICMP响应分析探测技术

ICMP响应分析探测技术是一种较新的操作系统探测技术。该技术通过发送UDP或ICMP的请求报文，然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。

本质也是一种基于TCP/IP协议栈的操作系统指纹探测技术。2022/11/1919（3）基于ICMP响应分析探测技术2022/11/11206.2.3安全漏洞探测技术安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。按照漏洞探测的技术特征，可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。2022/11/19206.2.3安全漏洞探测技术2022/11/1121（1）信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。2022/11/1921（1）信息型漏洞探测技术2022/11/1122为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入:顺序扫描技术多重服务检测技术2022/11/1922为提高信息型漏洞探测技术的准确率和效率，许23（2）攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。

2022/11/1923（2）攻击型漏洞探测技术2022/11/1124（3）漏洞探测技术按其技术特征可分为：基于应用的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术2022/11/1924（3）漏洞探测技术按其技术特征可分为：2022/11/1256.3网络安全检测评估系统简介计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。我们以InternetScanner和Nessus为例来介绍网络安全检测评估系统。2022/11/19256.3网络安全检测评估系统简介计算机网络信息系266.3.1InternetScanner简介InternetScanner是ISS公司开发的网络安全评估工具，可以对网络漏洞进行分析和提供决策支持。InternetScanner可以对计算机网络信息系统进行全面的检测和评估。2022/11/19266.3.1InternetScanner简介2022272.InternetScanner的扫描评估过程InternetScanner有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描，查找最容易被用来攻击的漏洞，探测、调查和模拟攻击网络。最后InternetScanner对漏洞情况进行分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。2022/11/19272.InternetScanner的扫描评估过程2028InternetScanner的扫描评估过程2022/11/1928InternetScanner的扫描评估过程2022/29（1）定义扫描会话（Session）InternetScanner利用会话（Session）来定义哪些设备需要被扫描。创建了某个新的会话时，其中会包含以下三个属性：用来定义扫描测试内容的策略（Policy）；用来定义扫描范围的KEY文件；按IP地址定义的需要被扫描的设备组；2022/11/1929（1）定义扫描会话（Session）2022/11/1130（2）定义扫描策略扫描策略（Policy）是用来定义InternetScanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。获得策略定义的方法有如下两种：直接利用InternetScanner默认设置的策略定义；点击AddPolicy按钮来自定义策略。2022/11/1930（2）定义扫描策略2022/11/1131（3）确定被扫描评估的目标确定被扫描主机的方法有如下三种：利用某个已经存在的主机文件。利用行输入方式输入某个或多个IP地址或网段来确定扫描的主机。ping所有key文件定义网段范围的所有IP地址，只要是可以ping通的设备均会被扫描。2022/11/1931（3）确定被扫描评估的目标2022/11/1132（4）生成报告InternetScanner提供多种类型的报告，报告的格式也有多种可选。行政管理人员报告技术管理人员报告技术人员报告用户定制报告2022/11/1932（4）生成报告2022/11/11336.3.2Nessus简介Nessus是一套非常简单易用且功能强大的网络安全检测工具。Nessus的主要特色包括：Client/Server架构采用plug-in技术调用外部程序增强测试能力Nessus3和Nessus2.x两者在操作使用方面的区别并不明显，因此下面我们将以Nessus2.x为对象来介绍。2022/11/19336.3.2Nessus简介2022/11/11342.Nessus安装Nessus安装一般包括：服务端安装、服务端配置、漏洞库插件升级、客户端安装等步骤。在安装之前，推荐先安装最新版本的NMAP、Hydra、Nikto。Nessus安装的时候会自动识别这些已安装的外部程序，并集成这些程序来增强Nessus的功能。

服务器推荐在Linux平台下安装，客户端推荐使用NessusWX。2022/11/19342.Nessus安装2022/11/11353.Nessus使用Nessus使用一般包括：插件选择、选项部分的配置、端口扫描的配置、扫描对象的输入和启动扫描等步骤。2022/11/19353.Nessus使用2022/11/11366.4小结网络安全检测与评估是保证计算机网络系统安全的有效手段。网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统的安全漏洞，并对计算机网络系统的安全状况作出正确的评价。网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。2022/11/19366.4小结网络安全检测与评估是保证计算机37本章到此结束，谢谢！2022/11/1937本章到此结束，谢谢！2022/11/1138第6章网络安全检测与评估技术内容提要：网络安全漏洞

网络安全漏洞检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结2022/11/191第6章网络安全检测与评估技术内容提要：2022/11396.1网络安全漏洞1.网络安全漏洞威胁（1）安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在”。2022/11/1926.1网络安全漏洞1.网络安全漏洞威胁2022/140（2）安全威胁的定义安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。2022/11/193（2）安全威胁的定义2022/11/1141可以按照风险等级对安全漏洞进行归类，表6-1，6-2，6-3对漏洞分类方法进行了描述。表6-1漏洞威胁等级分类严重度等级影响度低严重度:漏洞难以利用，并且潜在的损失较少。1低影响度:漏洞的影响较低，不会产生连带的其他安全漏洞。中等严重度:漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。2中等影响度:漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。高严重度:漏洞易于利用，并且潜在的损失较大。3高影响度:漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。

2022/11/194可以按照风险等级对安全漏洞进行归类，表6-142表6-2漏洞威胁综合等级分类严重等级影响等级1231123223433452022/11/195表6-2漏洞威胁综合等级分类影响等级123112322343表6-3漏洞威胁等级分类描述等级描述1低影响度，低严重度2低影响度，中等严重度；中等影响度，低严重度3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度4中等影响度，高严重度；高影响度，中等严重度5高影响度，高严重度2022/11/196表6-3漏洞威胁等级分类描述等级描述1低影响度，低严442.网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类2022/11/1972.网络安全漏洞的分类方法2022/11/1145（1）按漏洞可能对系统造成的直接威胁分类可以将漏洞分为：远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。2022/11/198（1）按漏洞可能对系统造成的直接威胁分类2022/11/46（2）按漏洞的成因分类可以分为：输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。2022/11/199（2）按漏洞的成因分类2022/11/11476.2网络安全漏洞检测技术网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。

通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通过安全漏洞探测可以发现系统中可能存在的安全漏洞。2022/11/19106.2网络安全漏洞检测技术网络安全漏481.端口扫描技术端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。端口扫描技术分为：TCP端口扫描技术UDP端口扫描技术6.2.1网络安全漏洞检测技术2022/11/19111.端口扫描技术6.2.1网络安全漏洞检测技术249（1）TCP端口扫描技术TCP端口扫描技术主要有全连接扫描技术、半连接（SYN）扫描技术、间接扫描技术和秘密扫描技术等。全连接扫描技术全连接扫描的工作方式是：对目标主机上感兴趣的端口进行connect()连接试探，如果该端口被监听，则连接成功，否则表示该端口未开放或无法到达。2022/11/1912（1）TCP端口扫描技术2022/11/1150全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接（SYN）端口扫描技术半连接端口扫描不建立完整的TCP连接，而是只发送一个SYN信息包，就如同正在打开一个真正的TCP连接，并等待对方的回应一样。2022/11/1913全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准51半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全连接扫描要少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。2022/11/1914半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进52（2）UDP端口扫描技术UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端口就是开放的。2022/11/1915（2）UDP端口扫描技术2022/11/11536.2.2操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统的类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：获取标识信息探测技术基于TCP/IP协议栈的指纹探测技术基于ICMP响应分析探测技术2022/11/19166.2.2操作系统探测技术2022/11/1154（1）获取标识信息探测技术获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。通常，可以利用telnet这个简单命令得到主机操作系统的类型。2022/11/1917（1）获取标识信息探测技术2022/11/1155（2）基于TCP/IP协议栈的指纹探测技术指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。操作系统指纹探测步骤为：形成一个全面的操作系统指纹特征库；向目标发送多种特意构造的信息包，检测其是否响应这些信息包以及其响应方式；把从目标返回的特征信息与指纹特征库进行匹配，判断目标机器的操作系统类型等信息。2022/11/1918（2）基于TCP/IP协议栈的指纹探测技术2022/1156（3）基于ICMP响应分析探测技术

ICMP响应分析探测技术是一种较新的操作系统探测技术。该技术通过发送UDP或ICMP的请求报文，然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。

本质也是一种基于TCP/IP协议栈的操作系统指纹探测技术。2022/11/1919（3）基于ICMP响应分析探测技术2022/11/11576.2.3安全漏洞探测技术安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。按照漏洞探测的技术特征，可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。2022/11/19206.2.3安全漏洞探测技术2022/11/1158（1）信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。2022/11/1921（1）信息型漏洞探测技术2022/11/1159为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入:顺序扫描技术多重服务检测技术2022/11/1922为提高信息型漏洞探测技术的准确率和效率，许60（2）攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。

2022/11/1923（2）攻击型漏洞探测技术2022/11/1161（3）漏洞探测技术按其技术特征可分为：基于应用的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术2022/11/1924（3）漏洞探测技术按其技术特征可分为：2022/11/1626.3网络安全检测评估系统简介计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。我们以InternetScanner和Nessus为例来介绍网络安全检测评估系统。2022/11/19256.3网络安全检测评估系统简介计算机网络信息系636.3.1InternetScanner简介InternetScanner是ISS公司开发的网络安全评估工具，可以对网络漏洞进行分析和提供决策支持。InternetScanner可以对计算机网络信息系统进行全面的检测和评估。2022/11/19266.3.1InternetScanner简介2022642.InternetScanner的扫描评估过程InternetScanner有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描，查找最容易被用来攻击的漏洞，探测、调查和模拟攻击网络。最后InternetScanner对漏洞情况进行分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。2022/11/19272.InternetScanner的扫描评估过程2065InternetScanner的扫描评估过程2022/11/1928InternetScanner的扫描评估过程2022/66（1）定义扫描会话（Session）InternetScanner利用会话（Session）来定义哪些设备需要被扫描。创建了某个新的会话时，其中会包含以下三个属性：用来定义扫描测试内容的策略（Policy）；用来定义扫描范围的KEY文件；按IP地址定义的需要被扫描的设备组；2022/11/1929（1）定义扫描会话（Session）2022/11/1167（2）定义扫描策略扫描策略（Policy）是用来定义InternetScanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻