《漏洞扫描技术》PPT课件.ppt

1、第7章 漏洞扫描技术,7.1 漏洞概述 7.2 网络扫描技术 7.3 常用的网络扫描工具 7.4 漏洞扫描实例 7.5 小结 思考与练习,7.1 漏洞概述,7.1.1 计算机漏洞的概念 是指计算机系统具有的某种可能被入侵者恶意利用的属性。通常又称作脆弱性。 简单说，是系统的一组特性，恶意的供给者能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。,7.1.2 漏洞与网络安全 漏洞的存在是网络攻击成功的必要条件之一，攻击者要成功入侵关键在于及早发现和利用目标网络系统的漏洞。 漏洞对网络系统的安全威胁有：普通用户权限提升、获取本地管理员权限、获取远程管理员权限、本地

2、拒绝服务、远程拒绝服务、服务器信息泄露、远程非授权文件访问、读取受限文件、欺骗等。 表1是与漏洞相关的安全重大事件统计表。,表1 历年重大安全事件与漏洞的统计,7.1.3 漏洞存在的原因 (1)软件或协议设计和实现的缺陷，如NFS本身不包括认证机制；不对输入数据的合法性进行检查。 (2) 错误配置，如sql server的默认安装；ftp服务器的匿名访问。 (3) 测试不充分，大型软件日益复杂，软件测试不完善，甚至缺乏安全测试。 (4) 安全意识薄弱，如选取简单口令。 (5) 管理人员的疏忽，如没有良好的安全策略及执行制度，重技术，轻管理。,7.1.4 漏洞信息的发布 漏洞发布是指向公众或用户

3、公开漏洞信息，帮助人们采取措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安全性，减少漏洞带来的危害和损失。 漏洞发布一般由软、硬件开发商、安全组织、黑客或用户来进行。漏洞发布方式主要有三种：网站、电子邮件以及安全论坛。网络管理员通过访问漏洞发布网站和安全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息。 漏洞信息一般包括：漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等。例如，如图1所示，国家计算机网络应急技术处理协调中心于2005年2月10日发布微软的漏洞信息。,图1 漏洞信息内容显示,1CVE 通用漏洞和曝光（CVE，Common Vulnerabilities

4、 and Exposures)是Mitre公司开发的项目，致力于漏洞名称的标准化工作，提供正式的通用漏洞命名标准服务。 目前，CVE已发布的正式漏洞有两千余条。 网址是。,2CERT 是Computer Emer Response Team的缩写，是世界上第一个计算机安全应急响应组织，该组织发布漏洞信息，提供漏洞数据库，可以通过名字、ID号、CVE名字、公布日期、更新日期、严重性等方法查询漏洞信息。漏洞记录包括漏洞描述、影响、解决方案、受影响系统等信息。 网址是。,3BugTrap漏洞数据库 是由Security Focus

5、公司开发并维护的漏洞信息库，提供5种检索方式：软件提供商、标题、关键字、BugTrap ID和CVE ID。 网址是。,4CNCERT/CC CNCERT/CC是国家计算机网络应急技术处理协调中心的简称，负责协调处理我国公共互联网的安全紧急事件，为我国的公共互联网、主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息。 网络地址是。,5CCERT CCERT是中国教育和科研计算机网紧急响应组的简称，对中国教育和科研计算机网及会员单位的网络安全事件提供响应或技术支持服务，也对社会其他网络用户提供与安全

6、事件响应相关的咨询服务。 网址是。,6软件厂商网站 微软公司： 紧急升级通告： 安全通告服务： 升级： Office升级： ,产品支持服务： 个人安全建议： SUN公司： 技术支持： 知识库： 补丁网站： ,补丁搜索引擎： CISCO公司： 安全建议： 技术援助中心： Cisco Internetworking Operating System (IOS) 参考指南： Cisco产品安全应急： ,苹果公司： 技术支持： 操作系统和应用程序补丁： ,7.2 网络扫描技术,黑客在入侵系统之前，通常先对攻击目标进行扫描。一次完整的网络扫描主要分为3个阶段： （1）发现目标主机或网络； （2）搜集目标

7、信息（OS类型、服务、服务软件版本）； （3）判断或检测目标系统是否存在安全漏洞。,7.2.1 发现目标 通过发送不同类型的ICMP或TCP、UDP请求，检测目标主机是否存活。使用的技术通常称作ping扫射，包括ICMP扫射、广播ICMP、非回显ICMP、TCP扫射、UDP扫射。 1、 ICMP扫射 使用ICMP回显请求轮询目标主机 优点：简单 缺点：较慢；不十分可靠，如果目标关闭了对ICMP回显请求的响应，则不能发现。,2、广播ICMP 发送ICMP回显请求到目标网络的网络地址或广播地址 优点：简单；速度比ICMP扫射快 缺点：只对unix系统有效；如果目标关闭了对ICMP回显请求的响应，则

8、不能发现；可能造成扫描者的DoS。 3、非回显ICMP 发送其它类型ICMP报文到目标主机（如类型13、17） 优点：不受目标阻止ICMP回显请求的影响 缺点：由于不同OS的实现，某些类型的ICMP请求会受限。,4、TCP扫射 发送TCP SYN或TCP ACK到目标主机 优点：最有效的目标发现方法 缺点：对入侵者而言，防火墙可能影响这种方法的可靠性。 5、 UDP扫射 发送UDP数据报到目标网络的广播地址或主机 优点：不受目标阻止ICMP回显请求的影响 缺点：可靠性低。,7.2.2 搜集信息 获得目标主机的操作系统信息和开放的服务信息。用到的主要技术有：端口扫描、操作系统探测。 1、 端口扫

9、描 获得目标主机开放的端口和服务信息。 （1）TCP connect（）扫描 利用操作系统提供的connect（）系统调用，与目标主机的端口进行连接。,（2）TCP SYN扫描 向目标主机的端口发送一个TCP SYN报文，辨别收到的响应是SYN/ACK报文还是RST报文。 又称“半开扫描”。 （3）TCP FIN扫描 向目标主机的端口发送一个TCP FIN报文，开放的端口不作回应，关闭的端口响应一个RST报文。 通常只对unix的tcp/ip协议栈有效。 （4）TCP 空扫描,2、 操作系统探测 确定操作系统类型。主要方法是利用TCP/IP协议栈指纹。 每个操作系统通常都使用自己的TCP/IP

10、协议栈，在实现时都有自己的特点，一些可选的特性并不总被实现，甚至对协议做某些改进。 技术有：ICMP响应分析、TCP响应分析、,（1） ICMP响应分析 向目标发送UDP或ICMP报文，根据不同的响应特征来判断操作系统。需注意的是TOS、总长度、标识、DF位、TTL、校验和字段。 a、ICMP差错报文引用大小； b、ICMP差错报文完整性； c、ICMP差错报文的“优先权”字段； d、ICMP差错报文IP头部的不分片位（DF）； e、ICMP差错报文IP头部的TTL字段缺省值；,（2） TCP响应分析 通过不同操作系统对特定TCP报文的不同响应来区分操作系统。 a、FIN探测； b、伪标记位探

11、测； c、TCP ISN取样； d、DF位监视； e、ACK值； f、TCP选项。,7.2.3 漏洞检测 目标主机存在哪些漏洞？ 方法有：直接测试、推断。 直接测试：利用漏洞的特点。如IIS5.0的unicode漏洞。 推断：版本检查、程序行为分析、协议栈指纹分析。,7.3 常用网络漏洞扫描工具,7.3.1 Nessus Nessus是典型的网络扫描器，由客户端和服务器端两部分组成，支持即插即用的漏洞检测脚本。它是一套免费、功能强大、结构完整、时时更新且相当容易使用的安全漏洞扫描软件。这套软件的发行目的是帮助系统管理者搜寻网络系统中存在的漏洞。Nessus的使用模式如图所示。,图5 Nessu

12、s的使用模式,7.3.2 LANguard网络扫描器 LANguard网络扫描器允许使用者扫描局域网内部的电脑，搜集它们的NetBIOS信息、打开端口、共享情况和其他相关资料，这些资料可以被管理员利用来进行安全维护，通过它可以强行关闭指定端口和共享目录。,7.3.3 X-scan X-scan是由国内安全组织Xfocus开发的漏洞扫描工具，运行在Windows环境中。,7.4 漏洞扫描实例,7.4.1 漏洞扫描工作模式 漏洞扫描工作模式有两种：一种是把漏洞扫描器安装在被扫描的系统中，这种情形适合于单机漏洞扫描；另一种则是把漏洞扫描器安装在一台专用的计算机中，然后通过该计算机来扫描其他系统的漏洞

13、，这种模式适合于扫描网络系统。,7.4.2 Windows系统漏洞扫描实例 假设管理员想远程检查某台Windows服务器是否存在RPC漏洞，以防止蠕虫攻击。该服务器的IP地址是00，则漏洞扫描解决方案如下： 第一步，网络管理员从网络下载具有RPC漏洞扫描功能的软件retinarpcdcom.exe； 第二步，网络管理员把retinarpcdcom.exe安装到管理机上； 第三步，网络管理员运行retinarpcdcom.exe； 第四步，网络管理员输入Windows服务器的IP地址； 第五步，网络管理员查看扫描结果，如图7所示。,图7 RPC漏洞扫描信息,7.5 小 结,本章首先给出了漏洞的概念，阐述了漏洞与网