安全掃描技術(shù)第十章

安全掃描技術(shù)第十章安全掃描技術(shù)210.1安全威脅分析10.1.1入侵行為分析

怎樣才算是受到了黑客的入侵和攻擊呢？狹義的定義認(rèn)為：攻擊僅僅發(fā)生在入侵行為完成且入侵者已經(jīng)在其目標(biāo)網(wǎng)絡(luò)中。廣義的定義認(rèn)為：使網(wǎng)絡(luò)受到入侵和破壞的所有行為都應(yīng)被稱為“攻擊”。本書采用廣義的定義，即認(rèn)為當(dāng)入侵者試圖在目標(biāo)機(jī)上“工作”的那個(gè)時(shí)刻起，攻擊就已經(jīng)發(fā)生了。下面我們從以下幾個(gè)方面對入侵行為進(jìn)行分析：（1）入侵目的執(zhí)行過程獲取文件和數(shù)據(jù)獲取超級用戶權(quán)限進(jìn)行非授權(quán)操作使用系統(tǒng)拒絕服務(wù)篡改信息披露信息3（2）實(shí)施入侵的人員偽裝者：未經(jīng)授權(quán)使用計(jì)算機(jī)者或者繞開系統(tǒng)訪問機(jī)制獲得合法用戶賬戶權(quán)限者。違法者：未經(jīng)授權(quán)訪問數(shù)據(jù)庫、程序或資源的合法用戶，或者是具有訪問權(quán)限錯(cuò)誤使用其權(quán)利的用戶。秘密用戶：擁有賬戶管理權(quán)限者，利用這種機(jī)制來逃避審計(jì)和訪問數(shù)據(jù)庫，或者禁止收集審計(jì)數(shù)據(jù)的用戶。（3）入侵過程中的各個(gè)階段和各個(gè)階段的不同特點(diǎn)窺探設(shè)施顧名思義也就是對環(huán)境的了解，目的是要了解目標(biāo)采用的是什么操作系統(tǒng)，哪些信息是公開的，有何價(jià)值等問題，這些問題的答案對入侵者以后將要發(fā)動(dòng)的攻擊起著至關(guān)重要的作用。攻擊系統(tǒng)在窺探設(shè)施的工作完成后，入侵者將根據(jù)得到的信息對系統(tǒng)發(fā)動(dòng)攻擊。攻擊系統(tǒng)分為對操作系統(tǒng)的攻擊、針對應(yīng)用軟件的攻擊和針對網(wǎng)絡(luò)的攻擊三個(gè)層次。掩蓋蹤跡入侵者會(huì)千方百計(jì)的避免自己被檢測出來。410.1.2安全威脅分析計(jì)算機(jī)面臨的安全威脅有來自計(jì)算機(jī)系統(tǒng)外部的，也有來自計(jì)算機(jī)系統(tǒng)內(nèi)部的。來自計(jì)算機(jī)系統(tǒng)外部的威脅主要有：自然災(zāi)害、意外事故；計(jì)算機(jī)病毒人為行為，比如使用不當(dāng)、安全意識差等；“黑客”行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)、非法連接等；內(nèi)部泄密外部泄密信息丟失電子諜報(bào)，比如信息流量分析、信息竊取等；信息戰(zhàn)；5計(jì)算機(jī)系統(tǒng)內(nèi)部存在的安全威脅主要有：操作系統(tǒng)本身所存在的一些缺陷；數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性；管理員缺少安全方面的知識，缺少安全管理的技術(shù)規(guī)范，缺少定期的安全測試與檢查；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題；應(yīng)用系統(tǒng)缺陷，等等；在此，我們關(guān)注的重點(diǎn)是來自計(jì)算機(jī)系統(tǒng)外部的黑客的攻擊和入侵。6

攻擊的分類方法是多種多樣的。這里根據(jù)入侵者使用的方式和手段，將攻擊進(jìn)行分類?？诹罟舻挚谷肭终叩牡谝坏婪谰€是口令系統(tǒng)。幾乎所有的多用戶系統(tǒng)都要求用戶不但提供一個(gè)名字或標(biāo)識符（ID），而且要提供一個(gè)口令?？诹钣脕龛b別一個(gè)注冊系統(tǒng)的個(gè)人ID。在實(shí)際系統(tǒng)中，入侵者總是試圖通過猜測或獲取口令文件等方式來獲得系統(tǒng)認(rèn)證的口令，從而進(jìn)入系統(tǒng)。入侵者登陸后，便可以查找系統(tǒng)的其他安全漏洞，來得到進(jìn)一步的特權(quán)。為了避免入侵者輕易的猜測出口令，用戶應(yīng)避免使用不安全的口令。有時(shí)候即使好的口令也是不夠的，尤其當(dāng)口令需要穿過不安全的網(wǎng)絡(luò)時(shí)將面臨極大的危險(xiǎn)。很多的網(wǎng)絡(luò)協(xié)議中是以明文的形式傳輸數(shù)據(jù)，如果攻擊者監(jiān)聽網(wǎng)絡(luò)中傳送的數(shù)據(jù)包，就可以得到口令。在這種情況下，一次性口令是有效的解決方法。7

拒絕服務(wù)攻擊拒絕服務(wù)站DOS(DenialofServices)使得目標(biāo)系統(tǒng)無法提供正常的服務(wù)，從而可能給目標(biāo)系統(tǒng)帶來重大的損失。值得關(guān)注的是，現(xiàn)實(shí)情況中破壞一個(gè)網(wǎng)絡(luò)或系統(tǒng)的運(yùn)行往往比取得訪問權(quán)容易得多。像TCP/IP之類的網(wǎng)絡(luò)互聯(lián)協(xié)議是按照在彼此開放和信任的群體中使用來設(shè)計(jì)的，在現(xiàn)實(shí)環(huán)境中表現(xiàn)出這種理念的內(nèi)在缺陷。此外，許多操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧也存在缺陷，從而削弱了抵抗DOS攻擊的能力。下面介紹4種常見的DOS攻擊類型及原理。（1）帶寬耗用（bandwidth-consumption）：其本質(zhì)是攻擊者消耗掉通達(dá)某個(gè)網(wǎng)絡(luò)的所有可用帶寬。（2）資源耗竭（resource-starvation）：一般地說，它涉及諸如CPU利用率、內(nèi)存、文件系統(tǒng)限額和系統(tǒng)進(jìn)程總數(shù)之類系統(tǒng)資源的消耗。（3）編程缺陷（programmingflaw）：是應(yīng)用程序、操作系統(tǒng)或嵌入式CPU在處理異常文件上的失敗。（4）路由和DNS攻擊：基于路由的DOS攻擊涉及攻擊者操縱路由表項(xiàng)以拒絕對合法系統(tǒng)或網(wǎng)絡(luò)提供服務(wù)。8利用型攻擊利用型攻擊是一種試圖直接對主機(jī)進(jìn)行控制的攻擊。它有兩種主要的表現(xiàn)形式：特洛伊木馬和緩沖區(qū)溢出。（1）特洛伊木馬：表面看是有用的軟件工具，而實(shí)際上卻在啟動(dòng)后暗中安裝破壞性的軟件。（2）緩沖區(qū)溢出攻擊（BufferOverflow）：通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行一段惡意代碼，以達(dá)到攻擊的目的。信息收集型攻擊信息收集型攻擊并不直接對目標(biāo)系統(tǒng)本身造成危害，它是為進(jìn)一步的入侵提供必須的信息，這種攻擊手段大部分在黑客入侵三部曲中的第一步—窺探設(shè)施時(shí)使用。

9假消息攻擊攻擊者用配備不正確的消息來欺騙目標(biāo)系統(tǒng)，以達(dá)到攻擊的目的。常見的假消息攻擊形式有以下幾種。（1）電子郵件欺騙：對于大部分普通因特網(wǎng)用戶來說，電子郵件服務(wù)是他們使用的最多的網(wǎng)絡(luò)服務(wù)之一。常見的通過電子郵件的攻擊方法有：隱藏發(fā)信人的身份，發(fā)送匿名或垃圾信件；使用用戶熟悉的人的電子郵件地址騙取用戶的信任；通過電子郵件執(zhí)行惡意的代碼。（2）IP欺騙：IP欺騙的主要?jiǎng)訖C(jī)是隱藏自己的IP地址，防止被跟蹤。（3）Web欺騙：由于Internet的開放性，任何用戶都可以建立自己的Web站點(diǎn)，同時(shí)并不是每個(gè)用戶都了解Web的運(yùn)行規(guī)則。常見的Web欺騙的形式有：使用相似的域名；改寫URL、Web會(huì)話挾持等。（4）DNS欺騙：修改上一級DNS服務(wù)記錄，重定向DSN請求，使受害者獲得不正確的IP地址10安全掃描技術(shù)概論安全掃描技術(shù)是指手工的或使用指定的軟件工具----安全掃描器，對系統(tǒng)脆弱點(diǎn)進(jìn)行評估，尋找對系統(tǒng)掃成損害的安全漏洞。掃描可以分為系統(tǒng)掃描和網(wǎng)絡(luò)掃描兩個(gè)方面，系統(tǒng)掃描側(cè)重主機(jī)系統(tǒng)的平臺安全性以及基于此平臺的系統(tǒng)安全性，而網(wǎng)絡(luò)掃描則側(cè)重于系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)以及相關(guān)的協(xié)議分析。11掃描的目的

掃描的主要目的是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)存在的隱患，以利于己方及時(shí)修補(bǔ)或發(fā)動(dòng)對敵方系統(tǒng)的攻擊。同時(shí)，自動(dòng)化的安全掃描器要對目標(biāo)系統(tǒng)進(jìn)行漏洞檢測和分析，提供詳細(xì)的漏洞描述，并針對安全漏洞提出修復(fù)建議和安全策略，生成完整的安全性分析報(bào)告，為網(wǎng)路管理完善系統(tǒng)提供重要依據(jù)。12安全掃描器的類型安全掃描其主要有兩種類型：（1）本地掃描器或系統(tǒng)掃描器：掃描器和待檢系統(tǒng)運(yùn)行于統(tǒng)一結(jié)點(diǎn)，進(jìn)行自身檢測。（2）遠(yuǎn)程掃描器或網(wǎng)絡(luò)掃描器：掃描器和待檢查系統(tǒng)運(yùn)行于不同結(jié)點(diǎn)，通過網(wǎng)絡(luò)遠(yuǎn)程探測目標(biāo)結(jié)點(diǎn)，尋找安全漏洞。13（3）網(wǎng)絡(luò)掃描器通過網(wǎng)絡(luò)來測試主機(jī)安全性，它檢測主機(jī)當(dāng)前可用的服務(wù)及其開放端口，查找可能被遠(yuǎn)程試圖惡意訪問者攻擊的大量眾所周知的漏洞，隱患及安全脆弱點(diǎn)。甚至許多掃描器封裝了簡單的密碼探測，可自設(shè)定規(guī)則的密碼生成器、后門自動(dòng)安裝裝置以及其他一些常用的小東西，這樣的工具就可以稱為網(wǎng)絡(luò)掃描工具包,也就是完整的網(wǎng)絡(luò)主機(jī)安全評價(jià)工具[比如鼻祖SATAN和國內(nèi)最負(fù)盛名的流光14(4).系統(tǒng)掃描器用于掃描本地主機(jī)，查找安全漏洞，查殺病毒，木馬，蠕蟲等危害系統(tǒng)安全的惡意程序，此類非本文重點(diǎn)，因此不再祥細(xì)分析

(5).另外還有一種相對少見的數(shù)據(jù)庫掃描器，比如ISS公司的DatabaseScanner，工作機(jī)制類似于網(wǎng)絡(luò)掃描器，主要用于檢測數(shù)據(jù)庫系統(tǒng)的安全漏洞及各種隱患。

15掃描技術(shù)工具信息收集是入侵及安全狀況分析的基礎(chǔ)，傳統(tǒng)地手工收集信息耗時(shí)費(fèi)力，于是掃描工具出現(xiàn)了，它能依照程序設(shè)定自動(dòng)探測及發(fā)掘規(guī)則內(nèi)的漏洞，是探測系統(tǒng)缺陷的安全工具。16掃描器主要功能(1)端口及服務(wù)檢測

檢測目標(biāo)主機(jī)上開放端口及運(yùn)行的服務(wù)，并提示安全隱患的可能存在與否(2)后門程序檢測

檢測PCANYWAYVNCBO2K冰河等等遠(yuǎn)程控制程序是否有存在于目標(biāo)主機(jī)(3)密碼探測

檢測操作系統(tǒng)用戶密碼，F(xiàn)TP、POP3、Telnet等等登陸或管理密碼的脆弱性17探測

檢測各種拒絕服務(wù)漏洞是否存在(5)系統(tǒng)探測

檢測系統(tǒng)信息比如NT注冊表，用戶和組，網(wǎng)絡(luò)情況等(6)輸出報(bào)告

將檢測結(jié)果整理出清單報(bào)告給用戶，許多掃描器也會(huì)同時(shí)提出安全漏洞解決方案(7)用戶自定義接口

一些掃描器允許用戶自己添加掃描規(guī)則，并為用戶提供一個(gè)便利的接口，比如俄羅斯SSS的BaseSDK18系統(tǒng)掃描如何提高系統(tǒng)安全性安全掃描器可以通過兩種途徑提高系統(tǒng)安全性。一是提前警告存在的漏洞，從而預(yù)防入侵和誤用二是檢查系統(tǒng)中由于受到入侵或操作失誤而造成的新漏洞。19本地掃描器

本地掃描器分析文件的內(nèi)容，查找可能存在的配置問題。由于本地掃描器實(shí)際上是運(yùn)行于目標(biāo)結(jié)點(diǎn)上的進(jìn)程，具有以下幾個(gè)特點(diǎn)：

可以在系統(tǒng)上任意創(chuàng)建進(jìn)程。為了運(yùn)行某些程序，檢測緩沖區(qū)溢出攻擊，要求掃描器必須做到這一點(diǎn)?？梢詸z查到安全補(bǔ)丁一級，以確保系統(tǒng)安裝了最新的安全解決補(bǔ)丁?？梢酝ㄟ^在本地查看系統(tǒng)配置文件，檢查系統(tǒng)的配置錯(cuò)誤。20本地掃描器對Unix系統(tǒng)，需要進(jìn)行以下項(xiàng)目的檢查：系統(tǒng)完整性檢查關(guān)鍵系統(tǒng)文件變化檢測用戶賬戶變化檢測黑客入侵標(biāo)記檢測未知程序版本不常見文件名可疑設(shè)備文件未經(jīng)授權(quán)服務(wù)弱口令選擇檢測有安全漏洞程序版本檢測標(biāo)記可被攻擊程序報(bào)告需要安裝的安全補(bǔ)丁檢查系統(tǒng)配置安全性全局信任文件21crontab文件rc系統(tǒng)啟動(dòng)文件文件系統(tǒng)mount權(quán)限打印服務(wù)賬戶配置組配置檢查網(wǎng)絡(luò)服務(wù)安全性是否允許IP轉(zhuǎn)發(fā)標(biāo)記有風(fēng)險(xiǎn)服務(wù)FTP配置news服務(wù)器配置NFS配置本地掃描器對Unix系統(tǒng)，需要進(jìn)行以下項(xiàng)目的檢查：22本地掃描器對Unix系統(tǒng)，需要進(jìn)行以下項(xiàng)目的檢查：郵件服務(wù)器配置檢查用戶環(huán)境變量安全性系統(tǒng)文件屬主系統(tǒng)文件權(quán)限許可文件屬主及權(quán)限許可sell啟動(dòng)文件用戶信任文件應(yīng)用程序配置文檔其他23本地掃描器對WindowsNT/2000系統(tǒng)，還有一些特定的安全檢查項(xiàng)目是否允許建立guest賬戶guest賬戶有無口令口令構(gòu)造和過時(shí)原則弱口令選擇登陸失敗臨界值注冊表權(quán)限許可允許遠(yuǎn)程注冊訪問獨(dú)立的注冊設(shè)置對系統(tǒng)文件和目錄不正確的分配許可權(quán)非NT缺省配置的未知服務(wù)運(yùn)行易遭到攻擊的服務(wù)，如運(yùn)行在Web服務(wù)器上的SMB服務(wù)等帶有許可訪問控制設(shè)置的共享，可能給遠(yuǎn)程用戶全部訪問權(quán)其他24遠(yuǎn)程掃描器遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。遠(yuǎn)程掃描器通過執(zhí)行一整套綜合的穿透測試程序集，發(fā)送精心構(gòu)造的數(shù)據(jù)包來檢測目標(biāo)系統(tǒng)。被測系統(tǒng)和掃描器的操作系統(tǒng)可以是同一類型，也可以是不同類型的。25

遠(yuǎn)程掃描需要檢查的項(xiàng)目很多，這些項(xiàng)目又可以分為以下幾大類：遠(yuǎn)程掃描器26安全掃描系統(tǒng)的選擇與注意事項(xiàng)①升級問題②可擴(kuò)充性

③全面的解決方案④人員培訓(xùn)

27安全掃描技術(shù)也許有些計(jì)算機(jī)安全管理人員開始考慮購買一套安全掃描系統(tǒng)，那么，購買此類產(chǎn)品需要考慮哪些方面呢?28升級問題

由于當(dāng)今應(yīng)用軟件功能日趨復(fù)雜化、軟件公司在編寫軟件時(shí)很少考慮安全性等等多種原因，網(wǎng)絡(luò)軟件漏洞層出不窮，這使優(yōu)秀的安全掃描系統(tǒng)必須有良好的可擴(kuò)充性和迅速升級的能力。因此，在選擇產(chǎn)品時(shí)，首先要注意產(chǎn)品是否能直接從因特網(wǎng)升級、升級方法是否能夠被非專業(yè)人員掌握，同時(shí)要注意產(chǎn)品制造者有沒有足夠的技術(shù)力量來保證對新出現(xiàn)漏洞作出迅速的反應(yīng)

29可擴(kuò)充性

對具有比較深厚的網(wǎng)絡(luò)知識，并且希望自己擴(kuò)充產(chǎn)品功能的用戶來說，應(yīng)用了功能模塊或插件技術(shù)的產(chǎn)品應(yīng)該是首選。

30全面的解決方案

前面已經(jīng)指出，網(wǎng)絡(luò)安全管理需要多種安全產(chǎn)品來實(shí)現(xiàn)，僅僅使用安全掃描系統(tǒng)是難以保證網(wǎng)絡(luò)的安全的。選擇安全掃描系統(tǒng)，要考慮產(chǎn)品制造商能否提供包括防火墻、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等完整產(chǎn)品線的全面的解決方案。

31人員培訓(xùn)

前面已經(jīng)分析過，網(wǎng)絡(luò)安全中人是薄弱的一環(huán)，許多安全因素是與網(wǎng)絡(luò)用戶密切相關(guān)的，提高本網(wǎng)絡(luò)現(xiàn)有用戶、特別是網(wǎng)絡(luò)管理員的安全意識對提高網(wǎng)絡(luò)安全性能具有非同尋常的意義。因此，在選擇安全掃描產(chǎn)品時(shí)，要考慮制造商有無能力提供安全技術(shù)培訓(xùn)。

32安全掃描技術(shù)分析33掃描器工作過程階段1：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)階段2：進(jìn)一步發(fā)現(xiàn)目標(biāo)系統(tǒng)類型及配置等信息階段3：測試哪些服務(wù)具有安全漏洞34掃描技術(shù)端口掃描技術(shù)全開掃描（openscanning）半全開掃描（half-openscanning）秘密掃描(stealthscanning)區(qū)段掃描(sweepsscanning)系統(tǒng)類型檢測技術(shù)35端口掃描技術(shù)掃描類型全開掃描TCPconnect反向ident其他UDP/ICMPerrorFTPbounce半開掃描SYNflagIPIDheader“dumbscan”秘密掃描SYN/ACKflagACKflagsNULLflagsALLflags(XMAS)TCP分片F(xiàn)INflag區(qū)段掃描TCPechoUDPechoTCPACKTCPSYNICMPecho36全開掃描（openscan,TCPconnect）3次TCP/IP握手過程建立標(biāo)準(zhǔn)TCP連接來檢查主機(jī)的相應(yīng)端口是否打開優(yōu)點(diǎn)：快速，精確，不需要特殊用戶權(quán)限缺點(diǎn)：不能進(jìn)行地址欺騙并且非常容易被檢測到ClientSYNServerSYN/ACKClientACKServer端口打開