計算機(jī)網(wǎng)絡(luò)安全第六章 網(wǎng)絡(luò)漏洞掃描技術(shù)

1、第6章網(wǎng)絡(luò)漏洞掃描技術(shù),網(wǎng)絡(luò)安全掃描是一項重要的網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全主要來自于網(wǎng)絡(luò)中存在的漏洞。網(wǎng)絡(luò)安全掃描就是網(wǎng)絡(luò)漏洞掃描。網(wǎng)絡(luò)漏洞掃描與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。,本章內(nèi)容提要: 網(wǎng)絡(luò)漏洞概述 實施網(wǎng)絡(luò)掃描 常用的網(wǎng)絡(luò)掃描工具 不同的掃描策略 網(wǎng)絡(luò)漏洞掃描技術(shù)發(fā)展趨勢,網(wǎng)絡(luò)漏洞的概念,存在網(wǎng)絡(luò)漏洞的原因,6.1 網(wǎng)絡(luò)漏洞概述,漏洞的

2、危害,公開的網(wǎng)絡(luò)漏洞信息,漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。,基于訪問控制的定義 基于狀態(tài)的定義 基于模糊概念的定義,系統(tǒng)中主體對象的訪問是通過訪問控制矩陣實現(xiàn)的，這個訪問控制矩陣就是安全策略的具體實現(xiàn)，當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時，就產(chǎn)生了漏洞,計算機(jī)系統(tǒng)是由一系列描述該系統(tǒng)各個組成實體的當(dāng)前狀態(tài)所構(gòu)成。系統(tǒng)通過狀態(tài)轉(zhuǎn)換來改變它的狀態(tài)。,Dennis Longley和Michael Shain在“Data & Computer SecurityDictionary of Standard concept

3、s and Terms”一書中對漏洞的定義,網(wǎng)絡(luò)漏洞的概念,存在網(wǎng)絡(luò)漏洞的原因,6.1 網(wǎng)絡(luò)漏洞概述,漏洞的危害,公開的網(wǎng)絡(luò)漏洞信息,網(wǎng)絡(luò)安全漏洞是“不可避免”，這是由網(wǎng)絡(luò)系統(tǒng)的高度復(fù)雜性所決定的。,網(wǎng)絡(luò)協(xié)議漏洞 應(yīng)用軟件系統(tǒng)漏洞 配置不當(dāng)引起的漏洞,TCP/IP協(xié)議族是目前使用最為廣泛的網(wǎng)絡(luò)互連協(xié)議族，但TCP/IP協(xié)議在設(shè)計時是將它置于可信任的環(huán)境之下的，并將網(wǎng)絡(luò)互連和開放性作為首要考慮的問題，而沒有過多的考慮安全性，這就造成了TCP/IP協(xié)議族本身的不安全性，導(dǎo)致一系列基于TCP/IP的網(wǎng)絡(luò)服務(wù)的安全性也相當(dāng)脆弱。,應(yīng)用軟件系統(tǒng)的漏洞分為兩種：一是由于操作系統(tǒng)本身設(shè)計缺陷帶來的安全漏洞，

4、這種漏洞將被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承；二是應(yīng)用軟件程序的安全漏洞,在一些網(wǎng)絡(luò)系統(tǒng)中忽略了安全策略的制定，即使采取了一定的網(wǎng)絡(luò)安全措施，但由于系統(tǒng)的安全配置不合理或不完整，安全機(jī)制沒有發(fā)揮作用?；蛘咴诰W(wǎng)絡(luò)環(huán)境發(fā)生變化后，由于沒有及時更改系統(tǒng)的安全配置而造成安全漏洞,網(wǎng)絡(luò)漏洞的概念,存在網(wǎng)絡(luò)漏洞的原因,6.1 網(wǎng)絡(luò)漏洞概述,漏洞的危害,公開的網(wǎng)絡(luò)漏洞信息,從以下五個方面來評估漏洞對系統(tǒng)安全特性造成的危害,系統(tǒng)的完整性 系統(tǒng)的可用性 系統(tǒng)的機(jī)密性 系統(tǒng)的可控性 系統(tǒng)的可靠性,攻擊者利用漏洞入侵系統(tǒng)，對系統(tǒng)數(shù)據(jù)進(jìn)行篡改，從而破壞數(shù)據(jù)的完整性（Integrity）,攻擊者利用漏洞破壞系統(tǒng)或者網(wǎng)絡(luò)的

5、正常運(yùn)行，導(dǎo)致信息或網(wǎng)絡(luò)服務(wù)的可用性（Availability）被破壞，合法用戶的正常服務(wù)要求得不到滿足,攻擊者利用漏洞給非授權(quán)的個人和實體泄露受保護(hù)信息。很多時候，機(jī)密性（Confidentiality）和完整性是交疊的,攻擊者利用漏洞使得系統(tǒng)對于合法用戶而言是處在“失控”狀態(tài)，使系統(tǒng)的可控性（Controllability）被破壞,攻擊者利用漏洞對用戶認(rèn)可的質(zhì)量特性（信息傳遞的迅速性、準(zhǔn)確性以及連續(xù)地轉(zhuǎn)移等）造成危害，使系統(tǒng)的可靠性（Reliability）被破壞,【例】 據(jù)調(diào)研公司Aberdeen于2005年7月對162家公司的調(diào)查顯示，蠕蟲、病毒等對互聯(lián)網(wǎng)產(chǎn)生破壞作用的每起事件對企業(yè)造

6、成了近200萬美元的收入損失，有83的公司在過去三年受到了互聯(lián)網(wǎng)安全問題的影響，大概每年一起，但在三年內(nèi)給15的公司業(yè)務(wù)帶來了七次以上的停滯。2003年7月16日，微軟發(fā)布MS03-26的RPC系統(tǒng)漏洞，隨后不久就于2003年8月11日出現(xiàn)利用此漏洞的“沖擊波”病毒（W32.Blast.Worm）。因為此漏洞幾乎存在于一切Windows系統(tǒng)中，影響范圍極廣，在全世界范圍里迅速傳播，造成了巨大的破壞。,網(wǎng)絡(luò)漏洞的概念,存在網(wǎng)絡(luò)漏洞的原因,6.1 網(wǎng)絡(luò)漏洞概述,漏洞的危害,公開的網(wǎng)絡(luò)漏洞信息,漏洞信息的公開可以讓系統(tǒng)管理員更有針對性地對自己管理的系統(tǒng)進(jìn)行配置和管理。另外，也可以促使提供軟件或硬件的

7、廠商更快地解決問題。,通用漏洞披露 BugTraq漏洞數(shù)據(jù)庫 ICAT漏洞數(shù)據(jù)庫 CERT/CC漏洞信息數(shù)據(jù)庫 X-Force數(shù)據(jù)庫 中國“國家漏洞庫”,CVE （Common Vulnerabilities & Exposures，通用漏洞披露）。,BugTraq是由Security Focus公司維護(hù)的一個關(guān)于計算機(jī)安全漏洞詳細(xì)信息討論的郵件列表，討論內(nèi)容包括漏洞的描述、漏洞的滲透方法以及漏洞的修補(bǔ)方法等。,ICAT是由美國標(biāo)準(zhǔn)技術(shù)研究所（National Institute of Standard Technology，NIST）維護(hù)的一個CVE兼容的漏洞信息檢索索引。,CERT/CC漏

8、洞數(shù)據(jù)庫也是一個CVE兼容的數(shù)據(jù)庫?？梢酝ㄟ^名字、ID號、CVE名字、公布日期、更新日期、嚴(yán)重性等方法檢索漏洞信息,X-Force數(shù)據(jù)庫由ISS公司維護(hù)，是一個比較全面的漏洞信息數(shù)據(jù)庫。,基于中國的國情，中國建立了自己的漏洞庫，即“國家漏洞庫”。,6.2 實施網(wǎng)絡(luò)掃描,傳統(tǒng)的黑客在入侵一個主機(jī)前，會先進(jìn)行下面三項工作：踩點、掃描和查點。而掃描又可以劃分為三個不同的階段，即發(fā)現(xiàn)目標(biāo)、搜集信息和漏洞檢測。 1）發(fā)現(xiàn)目標(biāo)：發(fā)現(xiàn)存活的目標(biāo)主機(jī)。 2）搜集信息：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括目標(biāo)的操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由

9、設(shè)備以及各主機(jī)的信息。 3）漏洞檢測：根據(jù)搜集到的信息進(jìn)行分析、判斷或者進(jìn)一步檢測目標(biāo)是否存在安全漏洞。,發(fā)現(xiàn)目標(biāo),搜集信息,6.2 實施網(wǎng)絡(luò)掃描,漏洞檢測,在這一階段使用的技術(shù)通常稱為Ping掃描（Ping Sweep），包括ICMP掃描、廣播ICMP、非回顯ICMP、TCP掃描、UDP掃描,ICMP掃描,作為IP協(xié)議一個組成部分，ICMP用來傳遞差錯報文和其他需要注意的信息。日常使用最多的是用戶的Ping。,ICMP報文和IP報文的關(guān)系如圖所示，ICMP報文的格式如圖所示,如果發(fā)送者接收到來自目標(biāo)的ICMP回顯應(yīng)答，就能知道目標(biāo)目前處于活動狀態(tài)，否則可以初步判斷主機(jī)不可達(dá)或發(fā)送的包被對方的

10、設(shè)備過濾掉。使用這種方法輪詢多個主機(jī)的方式稱為ICMP掃描。,該掃描的優(yōu)點是：簡單、系統(tǒng)支持。缺點是：很容易被防火墻限制,可用于ICMP掃描的工具很多。在UNIX環(huán)境中主要有Ping和Fping。在Windows環(huán)境中可以使用出自Rhino9的Pinger。,廣播 ICMP,與ICMP掃描相同點：廣播ICMP也是利用了ICMP回顯請求和ICMP回顯應(yīng)答這兩種報文。 與ICMP掃描不同點：廣播ICMP只需要向目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)地址和/或廣播地址發(fā)送一兩個回顯請求，就能夠收到目標(biāo)網(wǎng)絡(luò)中所有存活主機(jī)的ICMP回顯應(yīng)答。,缺點：這種掃描方式容易引起廣播風(fēng)暴，如果有很多機(jī)器回應(yīng)的話，甚至?xí)?dǎo)致網(wǎng)絡(luò)出現(xiàn)拒絕服

11、務(wù)（Dos）現(xiàn)象,非回顯 ICMP,1）ICMP時間戳請求允許系統(tǒng)向另一個系統(tǒng)查 詢當(dāng)前的時間。 2）ICMP地址掩碼請求用于無盤系統(tǒng)引導(dǎo)過程中獲得自己的子網(wǎng)掩碼。 3）對于ICMP地址掩碼請求報文而言，雖然RFC1122規(guī)定，除非是地址掩碼的授權(quán)代理，否則一個系統(tǒng)不能發(fā)送地址掩碼應(yīng)答。,TCP掃描,傳輸控制協(xié)議（Transmission Control Protocol，TCP）為應(yīng)用層提供一種面向連接的、可靠的字節(jié)流服務(wù)。它使用“三次握手”的方式建立連接。如圖所示,UDP掃描,用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）是一個面向數(shù)據(jù)報的傳輸層協(xié)議。UDP數(shù)據(jù)報也

12、封裝在IP數(shù)據(jù)報之中，如圖所示,UDP協(xié)議的規(guī)則：如果接收到一份目的端口并沒有處于偵聽狀態(tài)的數(shù)據(jù)報，則發(fā)送一個ICMP端口不可到達(dá)報文，否則不作任何響應(yīng)。,缺點： 1）這種方法很不可靠，因為路由器和防火墻都有可能丟棄UDP數(shù)據(jù)報。 2）逐一掃描UDP端口通常是很慢的，因為RFC1812的節(jié)對路由器產(chǎn)生ICMP錯誤消息的速率作了規(guī)定,優(yōu)點：它可以使用IP廣播地址，如果向廣播地址的高端端口發(fā)送一個UDP數(shù)據(jù)報，在沒有防火墻過濾的情況下，將收到很多來自目標(biāo)網(wǎng)絡(luò)的ICMP端口不可到達(dá)的錯誤消息。當(dāng)然，這也可能造成掃描者出現(xiàn)自己的DoS。,發(fā)現(xiàn)目標(biāo),搜集信息,6.2 實施網(wǎng)絡(luò)掃描,漏洞檢測

13、,搜集信息采用的技術(shù)包括端口掃描（Port Scanning）、服務(wù)識別（Service Distinguishing）和操作系統(tǒng)探測（Operating System Detection）。,端口掃描,端口掃描取得目標(biāo)主機(jī)開放的端口和服務(wù)信息，從而為“漏洞檢測”作準(zhǔn)備。進(jìn)行端口掃描，可以快速獲得目標(biāo)主機(jī)開設(shè)的服務(wù)。,優(yōu)點： 1）不需要任何特殊權(quán)限，系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。 2）可以同時打開多個套接字，從而加速掃描，使用非阻塞I/O還允許設(shè)置一個低的時間用盡周期，同時觀察多個套接字。,缺點： 1）端口掃描容易被過濾或記錄。 2）對于安全管理員而言，使用該方法速度較慢。,常用的端口

14、掃描類型,TCP Connect()掃描 TCP SYN掃描 TCP ACK掃描 TCP FIN掃描 TCP XMAS掃描 TCP空掃描,TCP Connect()掃描是最基本的TCP掃描方式。Connect()是一種系統(tǒng)調(diào)用，由操作系統(tǒng)提供，用來打開一個連接。如果目標(biāo)端口有程序監(jiān)聽，Connect()就會成功返回，否則這個端口是不可達(dá)的,地主機(jī)向目標(biāo)主機(jī)發(fā)送一個SYN數(shù)據(jù)段，如果目標(biāo)主機(jī)的回應(yīng)報文中SYN=1，ACK=1，則說明該端口是活動的，那么接著再發(fā)一個RST給目標(biāo)主機(jī)，拒絕建立連接。,TCP ACK并不能確定目標(biāo)機(jī)器開放了哪些端口，但是可以用來試探目標(biāo)機(jī)器上安裝的防撞的防火墻的過濾規(guī)

15、則?？梢源_定防火墻是簡單的包過濾還是狀態(tài)檢測機(jī)制,在TCP報文結(jié)構(gòu)中，F(xiàn)IN段負(fù)責(zé)表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要傳輸了，希望釋放連接。用戶會發(fā)送一個FIN=1的報文到一個關(guān)閉的端口時，該報文會被丟掉，并返回一個RST報文。,向目標(biāo)主機(jī)發(fā)送一個FIN+URG+PUSH分組，根據(jù)RFC793，如果目標(biāo)主機(jī)的相應(yīng)端口是關(guān)閉的，那么應(yīng)該返回一個RST標(biāo)志,向目標(biāo)發(fā)送一個所有標(biāo)記位都置0的報文，即關(guān)掉所有的標(biāo)志，如果目標(biāo)系統(tǒng)所有端口關(guān)閉，則返回RST包，如果端口打開則不會返回任何信息,FTP反彈掃描 UDP掃描,FTP協(xié)議的一個特點是它支持代理FTP連接，即入侵者可以將自己的計算機(jī)和目標(biāo)主機(jī)的FTP服務(wù)器建立

16、一個控制通信連接。,當(dāng)向目標(biāo)主機(jī)的UDP端口發(fā)送數(shù)據(jù)，并不能收到一個開放端口的確認(rèn)信息或是關(guān)閉端口的錯誤信息。,服務(wù)識別,掃描端口的目的是為了獲取目標(biāo)主機(jī)提供的服務(wù)信息，通過服務(wù)器開放的端口號，可以參照RFC1700標(biāo)準(zhǔn)推斷出目標(biāo)主機(jī)提供的服務(wù),用戶分析目標(biāo)主機(jī)提供服務(wù)的判斷出現(xiàn)錯誤,1）該主機(jī)將某服務(wù)故意開設(shè)到了非標(biāo)準(zhǔn)端口。 2）該主機(jī)開設(shè)了RFC1700中未定義的服務(wù)。 3）該主機(jī)被安置了后門程序。,目前兩種服務(wù)的識別方法如下,1）對于主動提供旗標(biāo)信息或者握手信息的服務(wù)可以使用Netcat嘗試與目標(biāo)的該端口建立連接，根據(jù)返回的信息作出初步判斷 2）另外還有一類服務(wù)需要客戶端首先發(fā)送一個命令

17、，然后再作出響應(yīng)。要判斷這樣的服務(wù)，必須首先猜測服務(wù)類型，然后模仿客戶端發(fā)送命令，等待服務(wù)器的回應(yīng)。,識別服務(wù)的一般步驟應(yīng)該如圖所示,操作系統(tǒng)探測,目前用于探測操作系統(tǒng)的方法主要可以分為兩類：利用系統(tǒng)旗標(biāo)信息和利用TCP/IP堆棧指紋,（1）利用系統(tǒng)旗標(biāo)信息是最原始的探測方法 （2）利用TCP/IP堆棧指紋識別操作系統(tǒng),利用TCP/IP堆棧指紋識別操作系統(tǒng)是近年來發(fā)展迅速的一類技術(shù)，它迅速發(fā)展的原因是因為：,1）每個操作系統(tǒng)通常都使用自己特有的IP棧實現(xiàn)。 2）TCP/IP規(guī)范并不是被嚴(yán)格地執(zhí)行，每個不同的實現(xiàn)將會擁有它們自己的特性，這樣就為成功探測帶來了可能。 3）規(guī)范中一些可供選擇性的特性

18、在某些系統(tǒng)中使用，而在其他的一些系統(tǒng)中則沒有使用。 4）個別系統(tǒng)對IP協(xié)議作了自己的改進(jìn)。,目前主要的網(wǎng)絡(luò)堆棧特征探測技術(shù)有ICMP響應(yīng)分析、TCP報文響應(yīng)分析、TCP報文延時分析和被動特征探測四類技術(shù),（1）ICMP響應(yīng)分析技術(shù),ICMP響應(yīng)分析技術(shù)是向目標(biāo)發(fā)送UDP或者ICMP報文，然后分析目標(biāo)響應(yīng)的ICMP報文的內(nèi)容，根據(jù)不同的響應(yīng)特征來判斷操作系統(tǒng)。,（2）TCP報文響應(yīng)分析,【例】 Nmap使用的操作系統(tǒng)探測技巧。一般具有以下八個步驟。 1）FIN探測。發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應(yīng)，但某些實現(xiàn)，例如，MS Windows、BSDI、Cisco、HP/UX、MV

19、S和IRIX會發(fā)回一個RESET。 2）偽標(biāo)記位探測。TCP報文的頭部有八個標(biāo)記位使用“偽標(biāo)記位”（BOGUS Flag），即把SYN報文的CWR標(biāo)記位的左邊一位置1，然后將這樣的非標(biāo)準(zhǔn)SYN報文發(fā)給目標(biāo)TCP端口，低于2.0.35版本的Linux內(nèi)核會在回應(yīng)包中保持這個標(biāo)記，而其他的操作系統(tǒng)似乎都沒有這個問題，不過有的操作系統(tǒng)在收到這樣的SYN/BOGUS報文時會發(fā)送一個RST復(fù)位連接。 3）TCP ISN取樣。通過在操作系統(tǒng)對連接請求的回應(yīng)中尋找TCP連接初始化序列號的特征。目前可以區(qū)分的類別有傳統(tǒng)的64K（舊的UNIX系統(tǒng)使用）、隨機(jī)增加（新版本的Solaris、IRIX、FreeBSD

20、、DigitalUNIX、Cray和其他許多系統(tǒng)使用）、真正“隨機(jī)”（Linux2.0.*及更高版本、OpenVMS和新版本的AIX等操作系統(tǒng)使用）等。Windows平臺（還有其他一些平臺）使用“基于時間”方式產(chǎn)生的ISN會隨著時間的變化而有著相對固定的增長。不必說，最容易受到攻擊的當(dāng)然是老式的64K方式。而最受人們喜愛的當(dāng)然是“固定”ISN。確實有些機(jī)器總是使用相同的ISN，如某些3Com集線器（使用0 x83）和AppleLaserWriter打印機(jī)（使用0 xC7001）。,4）DF位監(jiān)視。許多操作系統(tǒng)在它們發(fā)送的IP數(shù)據(jù)報中設(shè)置了DF位，這樣做的好處在于可以提高傳輸性能。但并不是所有操

21、作系統(tǒng)都進(jìn)行這種設(shè)置，或者有的系統(tǒng)只是在某些情況下使用這種設(shè)置。 5）TCP初始化窗口大小。檢查返回數(shù)據(jù)包的“窗口”大小。以前的探測器僅僅通過RST數(shù)據(jù)包的非零“窗口”值來標(biāo)識為“起源于BSD4.4”。而像queso和nmap這些新的探測器會記錄確切的窗口值，因為該窗口隨操作系統(tǒng)類型有較為穩(wěn)定的數(shù)值。這種探測能夠提供許多有用的信息，因為某些系統(tǒng)總是使用比較特殊的窗口值（例如，AIX是唯一使用0 x3F25窗口值的操作系統(tǒng)）。而在聲稱“完全重寫”的NT5的TCP堆棧中，Microsoft使用的窗口值總是0 x402E。更有趣的是，這個數(shù)值同時也被OpenBSD和FreeBSD使用。,6）ACK值

22、。也許用戶會認(rèn)為ACK值總是很標(biāo)準(zhǔn)的，但事實上操作系統(tǒng)在ACK域值的實現(xiàn)也有所不同。例如，假設(shè)向一個關(guān)閉的TCP端口發(fā)送一個FIN|PSH|URG包，許多操作系統(tǒng)會將ACK值設(shè)置為ISN值，但Windows系統(tǒng)和某些打印機(jī)會設(shè)置為seq+1。如果向打開的端口發(fā)送SYN|FIN|URG|PSH包，Windows系統(tǒng)的返回值就會非常不確定。有時是seq序列號值，有時是S+，而有時回送的是一個似乎很隨機(jī)性的數(shù)值。 7）片段處理。不同操作系統(tǒng)在處理IP片段重疊時采用了不同的方式。有些用新的內(nèi)容覆蓋舊的內(nèi)容，而又有些是以舊的內(nèi)容為優(yōu)先。有很多探測方法能確定這些包是被如何重組的，從而能幫助確定操作系統(tǒng)類型

23、。 8）TCP選項?；谝韵略蛉藗儠J(rèn)為TCP選項是搜集信息的最有效方法之一。 它們通常是“可選的”，因為并不是所有的操作系統(tǒng)都使用它們。 向目標(biāo)主機(jī)發(fā)送帶有可選項標(biāo)記的數(shù)據(jù)包時，如果操作系統(tǒng)支持這些選項，會在返回包中也設(shè)置這些標(biāo)記。 可以一次在數(shù)據(jù)包中設(shè)置多個可選項，從而增加了探測的準(zhǔn)確度。,（3）TCP報文延時分析,在三次握手中，對目標(biāo)機(jī)器不發(fā)送SYN/ACK報文確認(rèn)。迫使其重傳，通過這個時間間隔來分析 固有缺點：這種探測方式需要花比nmap或Xprobe更多的時間。,（4）被動特征探測技術(shù) 被動的協(xié)議棧指紋探測和主動的協(xié)議棧指紋探測很相似，不同之處在于這種方法不主動向目標(biāo)系統(tǒng)發(fā)送分組，

24、而是通過嗅探目標(biāo)網(wǎng)絡(luò)的通信，抓取從遠(yuǎn)程主機(jī)上發(fā)送的數(shù)據(jù)報，獲取包括TTL、窗口大小、DF位、服務(wù)類型等在內(nèi)的數(shù)據(jù)報屬性，構(gòu)成目標(biāo)系統(tǒng)的指紋。,發(fā)現(xiàn)目標(biāo),搜集信息,6.2 實施網(wǎng)絡(luò)掃描,漏洞檢測,漏洞檢測就是對重要計算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。該技術(shù)通常采用兩種策略，即被動式策略和主動式策略。,被動式策略是基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行檢查； 主動式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。,漏洞檢測的主要方法：直接測試（Test）、推斷（Inference）和帶憑證的測

25、試（Test with Credentials）,直接測試,直接測試是指利用漏洞特點發(fā)現(xiàn)系統(tǒng)漏洞的方法。 根據(jù)滲透方法的不同，可以將測試分為兩種不同的類型：可以直接觀察到的測試和只能間接觀察到的測試。 直接測試的方法具有以下六大特點。 1）通常用于對Web服務(wù)器漏洞、拒絕服務(wù)（DoS）漏洞進(jìn)行檢測。 2）能夠準(zhǔn)確地判斷系統(tǒng)是否存在特定漏洞。 3）對于滲透所需步驟較多的漏洞速度較慢。 4）攻擊性較強(qiáng)，可能對存在漏洞的系統(tǒng)造成破壞。 5）對于DoS漏洞，測試方法會造成系統(tǒng)崩潰。 6）不是所有漏洞的信息都能通過測試方法獲得。,推斷,推斷是指不利用系統(tǒng)漏洞而判斷漏洞是否存在的方法。它并不直接滲透漏洞，

26、只是間接地尋找漏洞存在的證據(jù)。 采用推斷方法的檢測手段主要有版本檢查（Version Check）、程序行為分析、操作系統(tǒng)堆棧指紋分析和時序分析等。,1）版本檢查是推斷方法中最簡單的一個應(yīng)用。 2）行為分析在需要推翻某個“風(fēng)險假設(shè)”時非常有用。,原理：在需要推翻某個“風(fēng)險假設(shè)”時，它分析目標(biāo)程序的行為，如果發(fā)現(xiàn)該程序的行為和具有漏洞的版本的程序行為不一致，就認(rèn)為目標(biāo)程序不存在漏洞。 優(yōu)點：推斷的方法在快速檢查大量目標(biāo)時很有用，因為這種方法對計算機(jī)和網(wǎng)絡(luò)的要求都很低。它比滲透測試方法攻擊性更小。它也可以用于檢查DoS漏洞，因為它基本沒有攻擊性，所以可以在檢查很多DoS漏洞以后再重新啟動系統(tǒng)。 缺

27、點：該方法不如滲透測試方法可靠。,帶憑證的測試,憑證是指訪問服務(wù)所需要的用戶名或者密碼，包括UNIX的登錄權(quán)限和從網(wǎng)絡(luò)調(diào)用Windows NT的API的能力。,帶憑證的測試定義是：除了目標(biāo)主機(jī)IP地址以外，直接測試和推斷兩種方法都不需要其他任何信息。,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus,X-Scan,PScan,NetCat,在網(wǎng)絡(luò)工具中有“瑞士軍刀”美譽(yù)的NetCat，是一款使用多年，現(xiàn)在仍很實用的軟件。因為它短小精悍（這個用在它身上很適合，現(xiàn)在有人已經(jīng)將其修改成大約10KB左右，而且功能不減少），由Hobbit編寫，透過使用TCP或UDP協(xié)議的網(wǎng)絡(luò)

28、連接去讀寫數(shù)據(jù)。它被設(shè)計成一個穩(wěn)定的后門工具，能夠直接由其他程序和腳本輕松驅(qū)動。同時，它也是一個功能強(qiáng)大的網(wǎng)絡(luò)調(diào)試和探測工具，能夠建立用戶需要的幾乎所有類型的網(wǎng)絡(luò)連接。原始版本是一個UNIX程序，Weld Pond將其移植到了Windows NT平臺上。它能執(zhí)行的任務(wù)是如此之多，以至于被稱為網(wǎng)絡(luò)工具箱中的“瑞士軍刀”。,NetCat,命令行工具，在Windows和在Linux下的使用方法差不多,NetCat,我們下面將具體舉例介紹nc的用法： 1：監(jiān)聽本地機(jī)器的端口：,監(jiān)聽80端口，也即web服務(wù),2：掃描遠(yuǎn)程主機(jī)：,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus

29、,X-Scan,PScan,Nmap,由Fyodor編寫的Nmap（Network Mapper，網(wǎng)絡(luò)映射器）是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具。它的設(shè)計目標(biāo)是快速地掃描大型網(wǎng)絡(luò)，當(dāng)然用它掃描單個主機(jī)也沒有問題。,Nmap主要作用： 發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī) 主機(jī)提供的服務(wù) 服務(wù)運(yùn)行在什么操作系統(tǒng)（包括版本信息） 使用什么類型的報文過濾器/防火墻。,系統(tǒng)管理員和網(wǎng)絡(luò)管理員使用于： 查看整個網(wǎng)絡(luò)的信息、 管理服務(wù)升級計劃 監(jiān)視主機(jī)和服務(wù)的運(yùn)行。,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus,X-Scan,PScan,SATAN,Security Administrat

30、or Tool For Analyzing Networks的縮寫,SATAN 是一個軟件包，是為UNIX環(huán)境編寫的,主要是用C和Perl語言編寫,SATAN 是一個分析網(wǎng)絡(luò)的安全管理和測試、報告工具。 它用來搜集網(wǎng)絡(luò)上主機(jī)的許多信息，并可以識別且自動報告與網(wǎng)絡(luò)相關(guān)的安全問題。,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus,X-Scan,PScan,Nessus,Nessus是一個功能強(qiáng)大而又易于使用的網(wǎng)絡(luò)漏洞掃描工具 。它是免費(fèi)的，而且功能更強(qiáng)大。該系統(tǒng)被設(shè)計為客戶/服務(wù)器模式，服務(wù)器端負(fù)責(zé)進(jìn)行安全掃描，客戶端用來配置、管理服務(wù)器端，客戶端和服務(wù)器端之間的通信

31、使用SSL加密。,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus,X-Scan,PScan,X-Scan,X-Scan是由“安全焦點”開發(fā)的一個免費(fèi)的漏洞掃描工具，運(yùn)行于Windows操作系統(tǒng)。采用多線程方式對指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測，具有插件功能，提供了圖形界面和命令行兩種操作方式。,NetCat,Nmap,6.3 常用的網(wǎng)絡(luò)掃描工具,SATAN,Nessus,X-Scan,PScan,PScan,雖然PScan不屬于網(wǎng)絡(luò)掃描工具的范疇，但是它非常有用。它能夠掃描C源代碼文件存在的某些緩沖區(qū)溢出缺陷（例如，格式化字符串安全缺陷），幫助程序員發(fā)現(xiàn)這

32、類編程錯誤，防止應(yīng)用程序出現(xiàn)某些安全漏洞。,6.4 不同的掃描策略,用戶可以從不同角度對掃描技術(shù)進(jìn)行不同的分類。從掃描對象來分，可以分為基于網(wǎng)絡(luò)的掃描（Network-based Scanning）和基于主機(jī)的掃描（Host-based Scanning）；從掃描方式來分，又可以分為主動掃描（Active Scanning）和被動掃描（Passive Scanning）。,基于網(wǎng)絡(luò)和基于主機(jī)的掃描,主動掃描和被動掃描,6.4 不同的掃描策略,目前，漏洞掃描，從底層技術(shù)來劃分，可以分為基于網(wǎng)絡(luò)的掃描和基于主機(jī)的掃描這兩種類型。,基于網(wǎng)絡(luò)的安全評估掃描策略,基于網(wǎng)絡(luò)的漏洞掃描器，就是通過網(wǎng)絡(luò)來掃描

33、遠(yuǎn)程計算機(jī)中的漏洞。它具有以下幾個特點。 1）運(yùn)行于單個或多個主機(jī)，掃描目標(biāo)為本地主機(jī)或者單/多個遠(yuǎn)程主機(jī)。 2）掃描器的設(shè)計和實現(xiàn)與目標(biāo)主機(jī)的操作系統(tǒng)無關(guān)。 3）通常的網(wǎng)絡(luò)安全掃描不能訪問目標(biāo)主機(jī)的本地文件（具有目標(biāo)主機(jī)訪問權(quán)限的掃描除外）。 4）掃描項目主要包括目標(biāo)的開放端口、系統(tǒng)網(wǎng)絡(luò)服務(wù)、系統(tǒng)信息、系統(tǒng)漏洞、遠(yuǎn)程服務(wù)漏洞、特洛伊木馬檢測和拒絕服務(wù)攻擊等。,基于主機(jī)的脆弱性評估掃描策略,基于主機(jī)的脆弱性評估分析文件內(nèi)容，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行檢查。它具有以下特點： 1）運(yùn)行于單個主機(jī)，掃描目標(biāo)為本地主機(jī)。 2）掃描器的設(shè)計和實現(xiàn)與目標(biāo)主機(jī)的操作系統(tǒng)

34、相關(guān)。 3）可以在系統(tǒng)上任意創(chuàng)建進(jìn)程。 4）掃描項目主要包括用戶賬號文件、組文件、系統(tǒng)權(quán)限、系統(tǒng)配置文件、關(guān)鍵文件、日志文件、用戶口令、網(wǎng)絡(luò)接口狀態(tài)、系統(tǒng)服務(wù)、軟件脆弱性等。,前面提到的兩種策略比較： 1）基于主機(jī)的脆弱性評估可以更準(zhǔn)確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞；然而其缺點是與平臺相關(guān)、升級復(fù)雜，而且掃描效率較低（一次只能掃描一臺主機(jī)）。 2）基于網(wǎng)絡(luò)的脆弱性評估從入侵者的角度進(jìn)行檢測，能夠發(fā)現(xiàn)系統(tǒng)中最危險、最可能被入侵者滲透的漏洞，掃描效率更高，而且由于與目標(biāo)平臺無關(guān)，通用性較強(qiáng)、安裝簡單；缺點是不能檢查不恰當(dāng)?shù)谋镜匕踩呗?，另外也可能影響網(wǎng)絡(luò)性能。,基于網(wǎng)絡(luò)和基于主機(jī)的掃描,主動掃描和被動掃描,6.4 不同的掃描策略,主動掃描是傳統(tǒng)的掃描方式，擁有較長的發(fā)展歷史，它是通過給目標(biāo)主機(jī)發(fā)送特定的包并收集回