安全掃描技術(shù) 第一章

安全掃描技術(shù)高等院校信息安全專業(yè)系列教材張玉清戴祖鋒謝榮斌編著總目錄 第1章概述 第2章漏洞 第3章端口掃描 第4章認(rèn)證掃描和代理掃描 第5章操作系統(tǒng)指紋掃描 第6章安全掃描器 第7章反掃描技術(shù) 第8章掃描技術(shù)的應(yīng)用 第9章掃描技術(shù)的發(fā)展趨勢 第10章系統(tǒng)安全評估技術(shù)第1章概述1.1網(wǎng)絡(luò)安全概述1.2安全漏洞概述1.3安全掃描技術(shù)概述1.4安全掃描器概述1.5小結(jié)由于早期網(wǎng)絡(luò)協(xié)議對安全問題的忽視，以及在使用和管理上的無序狀態(tài)，使得網(wǎng)絡(luò)安全受到嚴(yán)重威脅，安全事故頻頻發(fā)生。從諸多安全事故中可以看出，大部分的安全事件是由于攻擊者利用了網(wǎng)絡(luò)或者主機(jī)的安全漏洞而造成的。安全漏洞在網(wǎng)絡(luò)安全中越來越受到重視。盡早發(fā)現(xiàn)這些存在的漏洞，已經(jīng)成為網(wǎng)絡(luò)和主機(jī)安全防范的最重要的一步。下面簡單介紹網(wǎng)絡(luò)安全、安全漏洞、安全掃描技術(shù)以及安全掃描器等4個(gè)方面的基本情況。網(wǎng)絡(luò)安全是信息安全的引申。信息安全是對信息的保密性、完整性和可用性的保護(hù)。網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和網(wǎng)絡(luò)系統(tǒng)的可用性的保護(hù)，目標(biāo)是為了確保網(wǎng)絡(luò)系統(tǒng)的信息安全。網(wǎng)絡(luò)安全包括物理安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全、信息內(nèi)容安全和信息基礎(chǔ)設(shè)施安全等。網(wǎng)絡(luò)安全的實(shí)質(zhì)就是要保障系統(tǒng)中的人、設(shè)備、設(shè)施、軟件、數(shù)據(jù)以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊，使它們發(fā)揮正常，保障系統(tǒng)能安全可靠地工作。1.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全與經(jīng)濟(jì)安全、社會(huì)安全和國家安全緊密相連，涉及個(gè)人利益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國家安全諸方面，是信息化進(jìn)程中具有重大戰(zhàn)略意義的問題。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來源于內(nèi)部脆弱性和外部威脅。內(nèi)部脆弱性風(fēng)險(xiǎn)的防范屬于主動(dòng)控制范疇，外部威脅風(fēng)險(xiǎn)的防范屬于被動(dòng)控制范疇。必須全方位解析網(wǎng)絡(luò)的脆弱性和威脅，才能構(gòu)建網(wǎng)絡(luò)安全措施以確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全技術(shù)涉及的內(nèi)容是很廣泛的。從廣義上講，網(wǎng)絡(luò)安全技術(shù)主要包括以下幾個(gè)方面：主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)和黑客跟蹤技術(shù)等。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全，當(dāng)前采用的安全機(jī)制主要包括：加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、報(bào)文認(rèn)證、信息流填充機(jī)制、路由控制機(jī)制和公正機(jī)制等。一個(gè)完整的網(wǎng)絡(luò)安全解決方案所考慮的問題應(yīng)當(dāng)是非常全面的。保證網(wǎng)絡(luò)安全需要利用一些安全技術(shù)，但是，最重要的是要有詳細(xì)的安全策略和良好的內(nèi)部管理機(jī)制。在確立網(wǎng)絡(luò)安全的目標(biāo)和策略之后，還要確定實(shí)施網(wǎng)絡(luò)安全所應(yīng)付出的代價(jià)，然后選擇確實(shí)可行的技術(shù)方案。方案實(shí)施完成后最重要的是加強(qiáng)管理，制定培訓(xùn)計(jì)劃和網(wǎng)絡(luò)安全管理措施。一個(gè)完整的安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。當(dāng)前因特網(wǎng)上面臨最大的威脅就是計(jì)算機(jī)犯罪問題，主要體現(xiàn)在一些來自網(wǎng)絡(luò)外部或者內(nèi)部的惡意攻擊或入侵。通常，攻擊者或者入侵者最常利用的就是網(wǎng)絡(luò)或主機(jī)中存在的安全漏洞。下面首先分析安全問題的根源，然后總結(jié)安全漏洞的危害和防范。1.2安全漏洞概述1.物理安全問題主要表現(xiàn)在物理設(shè)備本身、設(shè)備的位置安全、物理訪問限制、物理環(huán)境安全以及地域因素等方面。1.2.1安全問題的根源2.方案設(shè)計(jì)的缺陷主要表現(xiàn)如下：（1）某些系統(tǒng)的設(shè)計(jì)方案中沒有考慮整體的安全性，使用的安全產(chǎn)品不少，但沒有考慮系統(tǒng)之間的相互補(bǔ)充；（2）一些設(shè)計(jì)方案中只是在系統(tǒng)的局部環(huán)節(jié)采用了一些安全的產(chǎn)品，但是忽略了其他的環(huán)節(jié)，此環(huán)節(jié)如果被突破就可能導(dǎo)致整個(gè)系統(tǒng)的突破；（3）一些概念對某些系統(tǒng)適用，但并非對所有系統(tǒng)都適用；（4）許多系統(tǒng)的安全設(shè)計(jì)出現(xiàn)“程式化”的趨勢，使得黑客容易猜測和類比。3.系統(tǒng)和軟件的安全漏洞由于系統(tǒng)規(guī)模越來越大、越來越復(fù)雜，因此不可避免地出現(xiàn)一些安全漏洞。同時(shí)，伴隨著各種應(yīng)用軟件的大量應(yīng)用，許多安全漏洞也出現(xiàn)在這些軟件中。各種新技術(shù)（如CGI、ActiveX、JavaScript、VBScript等）在給用戶帶來極大便利的同時(shí)，也帶來了各種安全漏洞。雖然許多單一技術(shù)并不影響網(wǎng)絡(luò)的安全特性，但是幾種技術(shù)的組合使用卻有可能引入新的安全漏洞。4.TCP/IP協(xié)議的安全由于最初的設(shè)計(jì)基本上沒有考慮安全問題，因此TCP/IP協(xié)議在安全可靠性、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。TCP/IP協(xié)議中安全問題的根源主要是：一方面，IP包明文傳輸，因此容易被偷看和篡改；另一方面，IP包中沒有認(rèn)證數(shù)據(jù)，使得偽造和欺騙成為可能。5.人的因素人是信息活動(dòng)的主體，人的因素其實(shí)是網(wǎng)絡(luò)安全問題中最重要的因素，體現(xiàn)在人為的無意失誤、人為的惡意攻擊以及管理上的疏忽和錯(cuò)誤等方面。漏洞主要存在于操作系統(tǒng)、應(yīng)用程序以及腳本中，它使得黑客能夠執(zhí)行特殊的操作，從而獲得不應(yīng)該獲得的權(quán)限。幾乎每天都能在某些程序或操作系統(tǒng)中發(fā)現(xiàn)新的漏洞，許多漏洞都能導(dǎo)致攻擊者獲得root權(quán)限，從而可以控制系統(tǒng)并且獲得機(jī)密資料，導(dǎo)致公司或者個(gè)人遭受巨大損失。總的來說，安全漏洞會(huì)危害系統(tǒng)的完整性、系統(tǒng)的可用性、系統(tǒng)的機(jī)密性、系統(tǒng)的可控性以及系統(tǒng)的可靠性等。由于安全漏洞而導(dǎo)致安全事件的事例日益增多，造成的損失也呈擴(kuò)大趨勢。1.2.2漏洞的危害漏洞的防范包括兩個(gè)方面。系統(tǒng)開發(fā)者要防止系統(tǒng)漏洞的產(chǎn)生需要做到：（1）安全策略的嚴(yán)格設(shè)計(jì)；（2）安全策略的嚴(yán)格實(shí)施；（3）嚴(yán)格分析安全策略達(dá)到目標(biāo)的前提條件，并測試這些前提條件是否成立。系統(tǒng)應(yīng)用者要防止系統(tǒng)漏洞被利用需要做到：（1）利用安全掃描器定時(shí)檢測已知漏洞情況；（2）對發(fā)現(xiàn)的漏洞進(jìn)行打補(bǔ)丁操作；（3）關(guān)閉多余的端口和服務(wù)；（4）安裝防火墻和防病毒軟件等。1.2.3漏洞的防范如何有效地防止網(wǎng)絡(luò)系統(tǒng)被攻擊，是網(wǎng)絡(luò)建設(shè)需要首先解決的問題，同時(shí)了解網(wǎng)絡(luò)安全狀況又是防止網(wǎng)絡(luò)被攻擊必須解決的問題。只有發(fā)現(xiàn)并修補(bǔ)了網(wǎng)絡(luò)系統(tǒng)存在的各種安全漏洞，才能更有效地保護(hù)我們自己的網(wǎng)絡(luò)，真正將網(wǎng)絡(luò)的優(yōu)勢發(fā)揮出來。那么如何有效地發(fā)現(xiàn)這些安全漏洞呢？這就需要學(xué)習(xí)本書所要講述的安全掃描技術(shù)。1.3安全掃描技術(shù)安全掃描也稱為脆弱性評估（vulnerabilityassessment），其基本原理是采用模擬黑客攻擊的方式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測，以便對工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫等各種對象進(jìn)行安全漏洞檢測。到目前為止，安全掃描技術(shù)已經(jīng)發(fā)展到很成熟的地步。安全掃描技術(shù)主要分為兩類：基于主機(jī)和基于網(wǎng)絡(luò)的安全掃描技術(shù)。按照掃描過程來分，掃描技術(shù)又可以分為4大類：ping掃描技術(shù)、端口掃描技術(shù)、操作系統(tǒng)探測掃描技術(shù)以及已知漏洞的掃描技術(shù)。1.3.1基本概念掃描技術(shù)的發(fā)展是隨著網(wǎng)絡(luò)的普及和黑客手段的逐步發(fā)展而發(fā)展起來的。早在20世紀(jì)80年代，出現(xiàn)了第一個(gè)掃描器——WarDialer，它采用幾種已知的掃描技術(shù)實(shí)現(xiàn)了自動(dòng)掃描，并且以統(tǒng)一的格式記錄下掃描的結(jié)果。WarDialer的出現(xiàn)將管理員和黑客從煩瑣且易出錯(cuò)的手工操作中解放出來。從此以后，在黑客的安全威脅和網(wǎng)絡(luò)的安全防護(hù)之間的斗爭過程中，掃描技術(shù)取得了極大的發(fā)展，網(wǎng)絡(luò)的安全性能也相應(yīng)地得到很大程度的提高。1.3.2發(fā)展歷史隨著網(wǎng)絡(luò)規(guī)模的逐漸擴(kuò)大和計(jì)算機(jī)系統(tǒng)的日益復(fù)雜化，更多的系統(tǒng)漏洞和應(yīng)用程序漏洞也不可避免地伴隨而來，這促使了安全掃描技術(shù)的進(jìn)一步發(fā)展。1992年，ChrisKlaus編寫了一個(gè)掃描工具ISS，它是在因特網(wǎng)上進(jìn)行安全評估掃描最早的工具之一。1995年4月，DanFarmer和WietseVenema編寫的SATAN是一個(gè)更加成熟的掃描引擎。在它們的帶動(dòng)下，各種安全掃描器層出不窮，其中Nmap就是其中的佼佼者之一。這些安全掃描器所采用的掃描技術(shù)越來越多，逐漸具有了綜合性、有效性、隱蔽性等特點(diǎn)。安全掃描技術(shù)在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。借助于掃描技術(shù)，人們可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對外開放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。系統(tǒng)管理員利用安全掃描技術(shù)，借助安全掃描器，就可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)中可能會(huì)被黑客利用的薄弱點(diǎn)，從而想方設(shè)法對這些薄弱點(diǎn)進(jìn)行修復(fù)以加強(qiáng)網(wǎng)絡(luò)和主機(jī)的安全性。同時(shí)，黑客也可以利用安全掃描技術(shù)，目的是探查網(wǎng)絡(luò)和主機(jī)系統(tǒng)的入侵點(diǎn)。但是黑客的行為同樣有利于加強(qiáng)網(wǎng)絡(luò)和主機(jī)的安全性。1.3.3重要性（1）有效地檢測網(wǎng)絡(luò)和主機(jī)中存在的薄弱點(diǎn)。（2）能夠有效防止攻擊者利用已知的漏洞實(shí)施入侵。（3）無法防御攻擊者利用腳本漏洞和未知漏洞入侵。（4）誤報(bào)率較低。（5）對拒絕服務(wù)漏洞的測試自動(dòng)化程度較低。1.3.4基本特點(diǎn)安全掃描器是一種通過收集系統(tǒng)的信息來自動(dòng)檢測遠(yuǎn)程或者本地主機(jī)安全性脆弱點(diǎn)的程序。下面分別對安全掃描器的一些基本情況（功能、結(jié)構(gòu)、分類、應(yīng)用）進(jìn)行簡單的介紹。1.4安全掃描器概述安全掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫等各種對象。并且一般情況下，安全掃描器會(huì)根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告。一般情況下，安全掃描器具備3項(xiàng)功能：（1）發(fā)現(xiàn)因特網(wǎng)上的一個(gè)網(wǎng)絡(luò)或者一臺(tái)主機(jī)；（2）一旦發(fā)現(xiàn)一臺(tái)主機(jī)，能發(fā)現(xiàn)其上所運(yùn)行的服務(wù)類型；（3）通過對這些服務(wù)的測試，可以發(fā)現(xiàn)存在的已知漏洞，并給出修補(bǔ)建議。1.4.1功能一般情況下，當(dāng)前對安全掃描器的分類基于兩種標(biāo)準(zhǔn)，分別把安全掃描器分為以下兩種分類：（1）主機(jī)型安全掃描器與網(wǎng)絡(luò)型安全掃描器；（2）端口安全掃描器與漏洞安全掃描器。目前許多安全掃描器都集成了端口和漏洞掃描的功能，因此下面就按照第一種分類總結(jié)安全掃描器的結(jié)構(gòu)特點(diǎn)。主機(jī)型安全掃描器主要是針對操作系統(tǒng)的掃描檢測，通常涉及系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題，還包括口令解密等。主機(jī)型安全掃描器一般采用Client/Server的架構(gòu)，如圖1-1所示。1.4.2分類及其結(jié)構(gòu)圖1-1主機(jī)型安全掃描器的一般系統(tǒng)結(jié)構(gòu)類似的，網(wǎng)絡(luò)型安全掃描器是針對遠(yuǎn)程網(wǎng)絡(luò)或者主機(jī)的端口、開放的服務(wù)以及已知漏洞等。它一般采用如圖1-2所示的結(jié)構(gòu)。圖1-2網(wǎng)絡(luò)型安全掃描器的一般系統(tǒng)結(jié)構(gòu)用戶在使用安全掃描器的時(shí)候必須根據(jù)自身的實(shí)際需要選擇合適的安全掃描器，執(zhí)行合適的掃描功能。應(yīng)該選擇性能更高的安全掃描器。與其他產(chǎn)品一樣，安全掃描器也存在衡量自身性能的一些參照因素。在特殊情況下，當(dāng)前已有的安全掃描器還不能滿足所有的需求，此時(shí)，就需要自己來開發(fā)一個(gè)適合需求的安全掃描器。一般情況下，安全掃描器的目的是為了加強(qiáng)網(wǎng)絡(luò)和主機(jī)的安全，因此在應(yīng)用安全掃描器的時(shí)候，應(yīng)該盡量遵循一定的原則，盡量避免對網(wǎng)絡(luò)安全造成負(fù)面影響。1.4.3應(yīng)用本章首先總結(jié)了網(wǎng)絡(luò)安全的定義、重要性、主要內(nèi)容以及安全機(jī)制等；接著分析了安全問題的根源、安全