1、第7章 漏洞掃描技術(shù),7.1 漏洞概述 7.2 網(wǎng)絡(luò)掃描技術(shù) 7.3 常用的網(wǎng)絡(luò)掃描工具 7.4 漏洞掃描實例 7.5 小結(jié) 思考與練習,7.1 漏洞概述,7.1.1 計算機漏洞的概念 是指計算機系統(tǒng)具有的某種可能被入侵者惡意利用的屬性。通常又稱作脆弱性。 簡單說，是系統(tǒng)的一組特性，惡意的供給者能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。,7.1.2 漏洞與網(wǎng)絡(luò)安全 漏洞的存在是網(wǎng)絡(luò)攻擊成功的必要條件之一，攻擊者要成功入侵關(guān)鍵在于及早發(fā)現(xiàn)和利用目標網(wǎng)絡(luò)系統(tǒng)的漏洞。 漏洞對網(wǎng)絡(luò)系統(tǒng)的安全威脅有：普通用戶權(quán)限提升、獲取本地管理員權(quán)限、獲取遠程管理員權(quán)限、本地

2、拒絕服務(wù)、遠程拒絕服務(wù)、服務(wù)器信息泄露、遠程非授權(quán)文件訪問、讀取受限文件、欺騙等。 表1是與漏洞相關(guān)的安全重大事件統(tǒng)計表。,表1 歷年重大安全事件與漏洞的統(tǒng)計,7.1.3 漏洞存在的原因 (1)軟件或協(xié)議設(shè)計和實現(xiàn)的缺陷，如NFS本身不包括認證機制；不對輸入數(shù)據(jù)的合法性進行檢查。 (2) 錯誤配置，如sql server的默認安裝；ftp服務(wù)器的匿名訪問。 (3) 測試不充分，大型軟件日益復雜，軟件測試不完善，甚至缺乏安全測試。 (4) 安全意識薄弱，如選取簡單口令。 (5) 管理人員的疏忽，如沒有良好的安全策略及執(zhí)行制度，重技術(shù)，輕管理。,7.1.4 漏洞信息的發(fā)布 漏洞發(fā)布是指向公眾或用戶

3、公開漏洞信息，幫助人們采取措施及時堵住漏洞，不讓攻擊者有機可乘，從而提高系統(tǒng)的安全性，減少漏洞帶來的危害和損失。 漏洞發(fā)布一般由軟、硬件開發(fā)商、安全組織、黑客或用戶來進行。漏洞發(fā)布方式主要有三種：網(wǎng)站、電子郵件以及安全論壇。網(wǎng)絡(luò)管理員通過訪問漏洞發(fā)布網(wǎng)站和安全論壇或訂閱漏洞發(fā)布電子郵件就能及時獲取漏洞信息。 漏洞信息一般包括：漏洞編號、發(fā)布日期、安全危害級別、漏洞名稱、漏洞影響平臺、漏洞解決建議等。例如，如圖1所示，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心于2005年2月10日發(fā)布微軟的漏洞信息。,圖1 漏洞信息內(nèi)容顯示,1CVE 通用漏洞和曝光（CVE，Common Vulnerabilities

4、 and Exposures)是Mitre公司開發(fā)的項目，致力于漏洞名稱的標準化工作，提供正式的通用漏洞命名標準服務(wù)。 目前，CVE已發(fā)布的正式漏洞有兩千余條。 網(wǎng)址是。,2CERT 是Computer Emer Response Team的縮寫，是世界上第一個計算機安全應(yīng)急響應(yīng)組織，該組織發(fā)布漏洞信息，提供漏洞數(shù)據(jù)庫，可以通過名字、ID號、CVE名字、公布日期、更新日期、嚴重性等方法查詢漏洞信息。漏洞記錄包括漏洞描述、影響、解決方案、受影響系統(tǒng)等信息。 網(wǎng)址是。,3BugTrap漏洞數(shù)據(jù)庫 是由Security Focus

5、公司開發(fā)并維護的漏洞信息庫，提供5種檢索方式：軟件提供商、標題、關(guān)鍵字、BugTrap ID和CVE ID。 網(wǎng)址是。,4CNCERT/CC CNCERT/CC是國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的簡稱，負責協(xié)調(diào)處理我國公共互聯(lián)網(wǎng)的安全緊急事件，為我國的公共互聯(lián)網(wǎng)、主要網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)以及關(guān)鍵部門提供計算機網(wǎng)絡(luò)安全的監(jiān)測、預警、應(yīng)急、防范等安全服務(wù)和技術(shù)支持，及時收集、核實、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息。 網(wǎng)絡(luò)地址是。,5CCERT CCERT是中國教育和科研計算機網(wǎng)緊急響應(yīng)組的簡稱，對中國教育和科研計算機網(wǎng)及會員單位的網(wǎng)絡(luò)安全事件提供響應(yīng)或技術(shù)支持服務(wù)，也對社會其他網(wǎng)絡(luò)用戶提供與安全

6、事件響應(yīng)相關(guān)的咨詢服務(wù)。 網(wǎng)址是。,6軟件廠商網(wǎng)站 微軟公司： 緊急升級通告： 安全通告服務(wù)： 升級： Office升級： ,產(chǎn)品支持服務(wù)： 個人安全建議： SUN公司： 技術(shù)支持： 知識庫： 補丁網(wǎng)站： ,補丁搜索引擎： CISCO公司： 安全建議： 技術(shù)援助中心： Cisco Internetworking Operating System (IOS) 參考指南： Cisco產(chǎn)品安全應(yīng)急： ,蘋果公司： 技術(shù)支持： 操作系統(tǒng)和應(yīng)用程序補丁： ,7.2 網(wǎng)絡(luò)掃描技術(shù),黑客在入侵系統(tǒng)之前，通常先對攻擊目標進行掃描。一次完整的網(wǎng)絡(luò)掃描主要分為3個階段： （1）發(fā)現(xiàn)目標主機或網(wǎng)絡(luò)； （2）搜集目標

7、信息（OS類型、服務(wù)、服務(wù)軟件版本）； （3）判斷或檢測目標系統(tǒng)是否存在安全漏洞。,7.2.1 發(fā)現(xiàn)目標 通過發(fā)送不同類型的ICMP或TCP、UDP請求，檢測目標主機是否存活。使用的技術(shù)通常稱作ping掃射，包括ICMP掃射、廣播ICMP、非回顯ICMP、TCP掃射、UDP掃射。 1、 ICMP掃射 使用ICMP回顯請求輪詢目標主機 優(yōu)點：簡單 缺點：較慢；不十分可靠，如果目標關(guān)閉了對ICMP回顯請求的響應(yīng)，則不能發(fā)現(xiàn)。,2、廣播ICMP 發(fā)送ICMP回顯請求到目標網(wǎng)絡(luò)的網(wǎng)絡(luò)地址或廣播地址 優(yōu)點：簡單；速度比ICMP掃射快 缺點：只對unix系統(tǒng)有效；如果目標關(guān)閉了對ICMP回顯請求的響應(yīng)，則

8、不能發(fā)現(xiàn)；可能造成掃描者的DoS。 3、非回顯ICMP 發(fā)送其它類型ICMP報文到目標主機（如類型13、17） 優(yōu)點：不受目標阻止ICMP回顯請求的影響 缺點：由于不同OS的實現(xiàn)，某些類型的ICMP請求會受限。,4、TCP掃射 發(fā)送TCP SYN或TCP ACK到目標主機 優(yōu)點：最有效的目標發(fā)現(xiàn)方法 缺點：對入侵者而言，防火墻可能影響這種方法的可靠性。 5、 UDP掃射 發(fā)送UDP數(shù)據(jù)報到目標網(wǎng)絡(luò)的廣播地址或主機 優(yōu)點：不受目標阻止ICMP回顯請求的影響 缺點：可靠性低。,7.2.2 搜集信息 獲得目標主機的操作系統(tǒng)信息和開放的服務(wù)信息。用到的主要技術(shù)有：端口掃描、操作系統(tǒng)探測。 1、 端口掃

9、描 獲得目標主機開放的端口和服務(wù)信息。 （1）TCP connect（）掃描 利用操作系統(tǒng)提供的connect（）系統(tǒng)調(diào)用，與目標主機的端口進行連接。,（2）TCP SYN掃描 向目標主機的端口發(fā)送一個TCP SYN報文，辨別收到的響應(yīng)是SYN/ACK報文還是RST報文。 又稱“半開掃描”。 （3）TCP FIN掃描 向目標主機的端口發(fā)送一個TCP FIN報文，開放的端口不作回應(yīng)，關(guān)閉的端口響應(yīng)一個RST報文。 通常只對unix的tcp/ip協(xié)議棧有效。 （4）TCP 空掃描,2、 操作系統(tǒng)探測 確定操作系統(tǒng)類型。主要方法是利用TCP/IP協(xié)議棧指紋。 每個操作系統(tǒng)通常都使用自己的TCP/IP

10、協(xié)議棧，在實現(xiàn)時都有自己的特點，一些可選的特性并不總被實現(xiàn)，甚至對協(xié)議做某些改進。 技術(shù)有：ICMP響應(yīng)分析、TCP響應(yīng)分析、,（1） ICMP響應(yīng)分析 向目標發(fā)送UDP或ICMP報文，根據(jù)不同的響應(yīng)特征來判斷操作系統(tǒng)。需注意的是TOS、總長度、標識、DF位、TTL、校驗和字段。 a、ICMP差錯報文引用大??； b、ICMP差錯報文完整性； c、ICMP差錯報文的“優(yōu)先權(quán)”字段； d、ICMP差錯報文IP頭部的不分片位（DF）； e、ICMP差錯報文IP頭部的TTL字段缺省值；,（2） TCP響應(yīng)分析 通過不同操作系統(tǒng)對特定TCP報文的不同響應(yīng)來區(qū)分操作系統(tǒng)。 a、FIN探測； b、偽標記位探

11、測； c、TCP ISN取樣； d、DF位監(jiān)視； e、ACK值； f、TCP選項。,7.2.3 漏洞檢測 目標主機存在哪些漏洞？ 方法有：直接測試、推斷。 直接測試：利用漏洞的特點。如IIS5.0的unicode漏洞。 推斷：版本檢查、程序行為分析、協(xié)議棧指紋分析。,7.3 常用網(wǎng)絡(luò)漏洞掃描工具,7.3.1 Nessus Nessus是典型的網(wǎng)絡(luò)掃描器，由客戶端和服務(wù)器端兩部分組成，支持即插即用的漏洞檢測腳本。它是一套免費、功能強大、結(jié)構(gòu)完整、時時更新且相當容易使用的安全漏洞掃描軟件。這套軟件的發(fā)行目的是幫助系統(tǒng)管理者搜尋網(wǎng)絡(luò)系統(tǒng)中存在的漏洞。Nessus的使用模式如圖所示。,圖5 Nessu

12、s的使用模式,7.3.2 LANguard網(wǎng)絡(luò)掃描器 LANguard網(wǎng)絡(luò)掃描器允許使用者掃描局域網(wǎng)內(nèi)部的電腦，搜集它們的NetBIOS信息、打開端口、共享情況和其他相關(guān)資料，這些資料可以被管理員利用來進行安全維護，通過它可以強行關(guān)閉指定端口和共享目錄。,7.3.3 X-scan X-scan是由國內(nèi)安全組織Xfocus開發(fā)的漏洞掃描工具，運行在Windows環(huán)境中。,7.4 漏洞掃描實例,7.4.1 漏洞掃描工作模式 漏洞掃描工作模式有兩種：一種是把漏洞掃描器安裝在被掃描的系統(tǒng)中，這種情形適合于單機漏洞掃描；另一種則是把漏洞掃描器安裝在一臺專用的計算機中，然后通過該計算機來掃描其他系統(tǒng)的漏洞

13、，這種模式適合于掃描網(wǎng)絡(luò)系統(tǒng)。,7.4.2 Windows系統(tǒng)漏洞掃描實例 假設(shè)管理員想遠程檢查某臺Windows服務(wù)器是否存在RPC漏洞，以防止蠕蟲攻擊。該服務(wù)器的IP地址是00，則漏洞掃描解決方案如下： 第一步，網(wǎng)絡(luò)管理員從網(wǎng)絡(luò)下載具有RPC漏洞掃描功能的軟件retinarpcdcom.exe； 第二步，網(wǎng)絡(luò)管理員把retinarpcdcom.exe安裝到管理機上； 第三步，網(wǎng)絡(luò)管理員運行retinarpcdcom.exe； 第四步，網(wǎng)絡(luò)管理員輸入Windows服務(wù)器的IP地址； 第五步，網(wǎng)絡(luò)管理員查看掃描結(jié)果，如圖7所示。,圖7 RPC漏洞掃描信息,7.5 小 結(jié),本章首先給出了漏洞的概念，闡述了漏洞與網(wǎng)