系統(tǒng)脆弱性分析技術(shù)課件

1、系統(tǒng)脆弱性分析技術(shù)第 7 章基本內(nèi)容針對網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)應(yīng)用的安全技術(shù)，本章首先從自我檢查的角度入手，分析系統(tǒng)不安全的各種因素，采用工具檢測并處理系統(tǒng)的各種脆弱性。 7.1 漏洞掃描概述 漏洞源自“vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。 標(biāo)準(zhǔn)化組織CVE（Common Vulnerabilities and Exposures, 即“公共漏洞與暴露”）致力于所有安全漏洞及安全問題的命名標(biāo)準(zhǔn)化，安全產(chǎn)品對漏洞的描述與調(diào)用一般都與CVE兼容。7.1.1 漏洞的概念信息安全的“木桶理論”對一個信息

2、系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。7.1 漏洞掃描概述 7.1.2 漏洞的發(fā)現(xiàn) 一個漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個工作主要是由以下三個組織之一來完成的：黑客、破譯者、安全服務(wù)商組織。 每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會警告安全組織機(jī)構(gòu)；破譯者也許不會警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會以不同的方式呈現(xiàn)在公眾面前。 通常收集安全信息的途徑包括：新聞組、郵件列表、Web站點(diǎn)、FTP文檔。 網(wǎng)絡(luò)管理者的部

3、分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動態(tài)。管理者需要制定一個收集、分析以及抽取信息的策略，以便獲取有用的信息。 7.1 漏洞掃描概述 7.1.3 漏洞對系統(tǒng)的威脅 漏洞對系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對系統(tǒng)的威脅，因為只有利用硬件、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。 目前，因特網(wǎng)上已有3萬多個黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)上千種。 目前我國95的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢非常不容樂觀。漏洞可能影響一個單位或公司的生存問題。 7.1 漏洞掃描概述 7

4、.1.4 漏洞掃描的必要性 幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況對資產(chǎn)進(jìn)行風(fēng)險評估的依據(jù)安全配置的第一步向領(lǐng)導(dǎo)上報數(shù)據(jù)依據(jù)7.2 系統(tǒng)脆弱性分析 信息系統(tǒng)存在著許多漏洞，這些漏洞來自于組成信息系統(tǒng)的各個方面。在前幾章我們已陸續(xù)介紹了軟硬件組件（組件脆弱性）存在的問題、網(wǎng)絡(luò)和通信協(xié)議的不健全問題、網(wǎng)絡(luò)攻擊（特別是緩沖區(qū)溢出問題）等方面的內(nèi)容，這里重點(diǎn)介紹協(xié)議分析和基于應(yīng)用層的不安全代碼或調(diào)用問題。 7.2 系統(tǒng)脆弱性分析 7.2.1 協(xié)議分析 1、DNS協(xié)議分析 域名服務(wù)器在Internet上具有舉足輕重的作用，它負(fù)責(zé)在域名和IP地址之間進(jìn)行轉(zhuǎn)換。 域名服務(wù)系統(tǒng)是一個關(guān)于互聯(lián)網(wǎng)上主機(jī)信息的分布式數(shù)據(jù)庫，

5、它將數(shù)據(jù)按照區(qū)域分段，并通過授權(quán)委托進(jìn)行本地管理，使用客戶機(jī)/服務(wù)器模式檢索數(shù)據(jù)，并且通過復(fù)制和緩存機(jī)制提供進(jìn)發(fā)和冗余性能。 域名服務(wù)系統(tǒng)包含域名服務(wù)器和解析器兩個部分：域名服務(wù)器存儲和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶機(jī)檢索數(shù)據(jù)；解析器即客戶機(jī)，向域名服務(wù)器遞交查詢請求，翻譯域名服務(wù)器返回的結(jié)果并遞交給高層應(yīng)用程序，通常為操作系統(tǒng)提供的庫函數(shù)之一。 域名查詢采用UDP協(xié)議，而區(qū)域傳輸采用TCP協(xié)議。域名解析過程分為兩種方式：遞歸模式和交互模式。 7.2 系統(tǒng)脆弱性分析 7.2.1 協(xié)議分析 1、DNS協(xié)議分析（續(xù)） 對DNS服務(wù)器的威脅 1）地址欺騙。地址欺騙攻擊利用了RFC標(biāo)準(zhǔn)協(xié)議中

6、的某些不完善的地方，達(dá)到修改域名指向的目的。 2）遠(yuǎn)程漏洞入侵。 3）拒絕服務(wù)。 保護(hù)DNS服務(wù)器的措施 1）使用最新版本的DNS服務(wù)器軟件。 2）關(guān)閉遞歸查詢和線索查找功能。 3）限制對DNS進(jìn)行查詢的IP地址。 4）限制對DNS進(jìn)行遞歸查詢的IP地址。 5）限制區(qū)域傳輸。 6）限制對BIND軟件的版本信息進(jìn)行查詢。 7.2 系統(tǒng)脆弱性分析 7.2.1 協(xié)議分析 2、FTP協(xié)議分析 文件傳輸協(xié)議FTP是一個被廣泛應(yīng)用的協(xié)議，它使得我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。 FTP模型是典型的客戶機(jī)/服務(wù)器模型。兩個TCP連接分別是控制連接和數(shù)據(jù)連接。 FTP協(xié)議漏洞分析與防范 1）FTP反彈（FTP

7、Bounce）。 2）有限制的訪問（Restricted Access）。3）保護(hù)密碼（Protecting Passwords）。4）端口盜用（Port SteaUng）。7.2 系統(tǒng)脆弱性分析 7.2.2 應(yīng)用層的不安全調(diào)用 1、應(yīng)用安全概述 應(yīng)用層漏洞才是最直接、最致命的，因為互聯(lián)網(wǎng)的應(yīng)用必須開放端口，這時防火墻等設(shè)備已無能為力；網(wǎng)絡(luò)應(yīng)用連接著單位的核心數(shù)據(jù)，漏洞直接威脅著數(shù)據(jù)庫中的數(shù)據(jù)；內(nèi)部人員通過內(nèi)網(wǎng)的應(yīng)用安全也不受防火墻控制?；贐/S結(jié)構(gòu)應(yīng)用的普及使得應(yīng)用層安全問題越來越受到重視。據(jù)OWASP相關(guān)資料顯示，2007年的十大應(yīng)用安全問題排名如下： （1）跨站腳本（XSS）（2）注入

8、缺陷（3）不安全的遠(yuǎn)程文件包含（4）不安全的直接對象引用（5）跨站請求偽造（6）信息泄漏和異常錯誤處理（7）損壞的驗證和會話管理（8）不安全的加密存儲（9）不安全的通信（10） URL訪問限制失敗7.2 系統(tǒng)脆弱性分析 7.2.2 應(yīng)用層的不安全調(diào)用 2、常見Web應(yīng)用安全漏洞 常見的Web應(yīng)用安全漏洞有： SQL注入（SQL injection） 跨站腳本攻擊 惡意代碼 已知弱點(diǎn)和錯誤配置 隱藏字段 后門和調(diào)試漏洞 參數(shù)篡改 更改cookie 輸入信息控制 緩沖區(qū)溢出 直接訪問瀏覽 攻擊者利用網(wǎng)站系統(tǒng)的代碼漏洞，精心構(gòu)造攻擊代碼，完成對網(wǎng)站系統(tǒng)的非法訪問或控制，中國、美國、德國和俄羅斯是惡意

9、代碼最為活躍的地區(qū)。2006年黑客利用SQL注入成功入侵中國移動網(wǎng)站，首頁被黑2006年底中國工商銀行遭遇“跨站腳本”攻擊惡意代碼 應(yīng)對措施在網(wǎng)站投入使用之前，應(yīng)該通過“應(yīng)用層安全檢測”。目前比較常見的有“Watchfire AppScan”、 “數(shù)據(jù)庫弱點(diǎn)深度掃描器”、 “Web應(yīng)用弱點(diǎn)深度掃描”、 “網(wǎng)上木馬自動分析溯源器”等產(chǎn)品供檢測使用。 8.1.2 漏洞的發(fā)現(xiàn) 7.3 掃描技術(shù)與原理 掃描是檢測Internet上的計算機(jī)當(dāng)前是否是活動的、提供了什么樣的服務(wù)，以及更多的相關(guān)信息，主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識別。掃描所收集的信息主要可以分為以下幾種：1）標(biāo)識主機(jī)上運(yùn)

10、行的TCPUDP服務(wù)。2）系統(tǒng)的結(jié)構(gòu)(SPARC、ALPHA、X86)。3）經(jīng)由INTERNET可以到達(dá)主機(jī)的詳細(xì)IP地址信息。4）操作系統(tǒng)的類型。 掃描的幾個分類 Ping掃描：ICMPTCP掃描UDP掃描端口掃描7.4 掃描器的類型和組成 掃描器的作用就是用檢測、掃描系統(tǒng)中存在的漏洞或缺陷。目前主要有兩種類型的掃描工具，即主機(jī)掃描器和網(wǎng)絡(luò)掃描器，它們在功能上各有側(cè)重。1主機(jī)掃描器主機(jī)掃描器又稱本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯誤。 2網(wǎng)絡(luò)掃描器 網(wǎng)絡(luò)掃描器又稱遠(yuǎn)程掃描器，一般它和待檢

11、查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過網(wǎng)絡(luò)遠(yuǎn)程探測目標(biāo)節(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。 7.4 掃描器的類型和組成 掃描器的組成一般說來，掃描器由以下幾個模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫、掃描輸出報告等。整個掃描過程是由用戶界面驅(qū)動的，首先由用戶建立新會話，選定掃描策略后，啟動掃描引擎，根據(jù)用戶制訂的掃描策略，掃描引擎開始調(diào)度掃描方法，掃描方法將檢查到的漏洞填入數(shù)據(jù)庫，最后由報告模塊根據(jù)數(shù)據(jù)庫內(nèi)容組織掃描輸出結(jié)果。 7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng) 天鏡漏洞掃描系統(tǒng)分單機(jī)、便攜和分布式三種版本，分布式產(chǎn)品組成包含幾個部分：1）管理控制中心。負(fù)責(zé)添加、修改掃

12、描引擎的屬性，進(jìn)行策略編輯和掃描任務(wù)制定和下發(fā)執(zhí)行，完成漏洞庫和掃描方法的升級，同時支持主、子控設(shè)置。2）綜合顯示中心。實時顯示掃描的結(jié)果信息?？梢赃M(jìn)行樹形分類察看和分窗口信息察看，顯示掃描進(jìn)度，提供漏洞解釋的詳細(xì)幫助。3）日志分析報表。查詢歷史掃描結(jié)果，提供多種報表模版，形成圖、表結(jié)合的豐富報表，以多種文件格式輸出。4）掃描引擎軟件。執(zhí)行管理控制中心發(fā)來的掃描任務(wù)，返回掃描結(jié)果到綜合顯示中心顯示并存入數(shù)據(jù)庫中。5）掃描對象授權(quán)。通過授權(quán)許可具體的掃描引擎軟件可掃描對象，包括同時掃描的數(shù)量，也可以指定那些目標(biāo)可以掃描或禁止掃描。6）數(shù)據(jù)庫。 產(chǎn)品缺省提供MSDE 的桌面數(shù)據(jù)庫安裝包，用戶可以根

13、據(jù)掃描規(guī)模的大小選用MSDE 或者SQL Server 作為使用數(shù)據(jù)庫。 7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng) 圖8-3 單中心分布式部署 7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng) 漸進(jìn)式掃描：根據(jù)被掃描主機(jī)的操作系統(tǒng)和主機(jī)應(yīng)用等信息智能確定進(jìn)一步的掃描流程； 授權(quán)掃描：系統(tǒng)支持用戶提供被掃描主機(jī)的權(quán)限信息，以獲取更深入、更全面的漏洞信息； 系統(tǒng)穩(wěn)定性高：掃描過程實時正確處理各種意外情況：如網(wǎng)卡故障、資源耗盡等； 掃描系統(tǒng)資源占用少、速度快、誤報低、漏報低、穩(wěn)定性高。天鏡掃描技術(shù)特點(diǎn)7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng) 支持掃描的主流操作系統(tǒng)：Windows9x/2000/2003/NT/XP、SunSolaris、HP

14、UNIX、IBMAIX、IRIX、Linux、BSD等。 天鏡可以掃描的對象包括各種服務(wù)器、工作站、網(wǎng)絡(luò)打印機(jī)以及相應(yīng)的網(wǎng)絡(luò)設(shè)備如：3Com交換機(jī)、CISCO 路由器、Checkpoint Firewall、HP 打印機(jī)、Cisco PIX Firewall 等。 天鏡可以提供掃描對象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。 掃描漏洞分類：Windows 系統(tǒng)漏洞、WEB 應(yīng)用漏洞、CGI 應(yīng)用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、RPC、 NFS、NIS、 SNMP、守護(hù)進(jìn)程、PROXY強(qiáng)力攻擊等1000 種以上。支持對MS SQLServer、Oracle、Sybase、DB2 數(shù)據(jù)庫的掃描功能。 自由定制掃描策略漏洞信息規(guī)范全面符合CNCVE 標(biāo)準(zhǔn)，兼容國際CVE 標(biāo)準(zhǔn)與BUGT