漏洞掃描技術(shù)

1、 漏洞掃描技術(shù)漏洞掃描技術(shù)課程課程 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)與原理掃描技術(shù)與原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)漏洞掃描技術(shù)漏洞掃描技術(shù)漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn)漏洞漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng) 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 黑客 破譯者 安全服務(wù)商組織 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)與原理掃描技術(shù)與原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)漏洞對系統(tǒng)的威脅（一）漏洞對系統(tǒng)的

2、威脅（一）7月份來自國內(nèi)的攻擊總數(shù)為：383+396+120+441=1340次 漏洞對系統(tǒng)的威脅（二）漏洞對系統(tǒng)的威脅（二） 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)與原理掃描技術(shù)與原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)漏洞的脆弱性分析漏洞的脆弱性分析 IIS IIS的脆弱性的脆弱性 CGICGI安全安全 緩沖區(qū)溢出緩沖區(qū)溢出 拒絕服務(wù)拒絕服務(wù) 協(xié)議分析協(xié)議分析 后門后門協(xié)議的脆弱性分析協(xié)議的脆弱性分析TCP/IPTCP/IP四層模型四層模型 網(wǎng)絡(luò)接口層；網(wǎng)絡(luò)接口層；(PPP(PPP、ARP)ARP) 互聯(lián)層；互

3、聯(lián)層；(IP(IP、ICMP)ICMP) 傳輸層；傳輸層；(TCP(TCP、UDP)UDP) 應(yīng)用層；應(yīng)用層；(HTTP(HTTP，SNMPSNMP，F(xiàn)TPFTP，SMTPSMTP，DNSDNS，Telnet )Telnet )IP IP 數(shù)據(jù)報格式數(shù)據(jù)報格式01631version hdr lnthtype of servicetotal length of datagramidentification numberfragment offsettime-to-live (ttl)protocolheader checksumsource IP address (4 bytes)destin

4、ation IP address (4 bytes)options field (variable length, max length 40 bytes)data20bytesR DF MFICMPICMP消息格式消息格式081631typecodechecksumcontents depend on type and code081631typecodechecksumidentifiersequence numberexample specific format: echo request/reply optional data general formatUDPUDP數(shù)據(jù)報格式數(shù)據(jù)報格

5、式source port number01631destination port numberUDP datagram lengthUDP checksumoptional dataTCPTCP段格式段格式01631source port numberdestination port numbersequence numberacknowledgement numberhdr lgth reservedU A P R S Fwindow sizeTCP checksumurgent pointeroptions field (variable length, max length 40 byt

6、es)data20bytes IP IP層層 IP層的主要缺陷是缺乏有效的安全認(rèn)證和保密機(jī)制。其中最主要的因素就是IP地址問題。TCP/IP協(xié)議是用IP地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識，許多TCP/IP服務(wù)，包括Berkeley的“r”命令，NFS，X Window等都是基于IP地址來對用戶進(jìn)行認(rèn)證和授權(quán)的。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過濾(Packet Filtering)和認(rèn)證(Authentication)技術(shù),它們的正確有效性依賴于IP包的源IP地址的真實(shí)性。然而IP地址存在許多問題，協(xié)議最大缺點(diǎn)就是缺乏對IP地址的保護(hù)，缺乏對IP包中源IP地址真實(shí)性的認(rèn)證機(jī)制與保

7、密機(jī)制。這也是引起整個TCP/IP協(xié)議不安全的根本所在。 TCP/UDP TCP/UDP層層 由于TCP/UDP是基于IP協(xié)議之上的，TCP分段和UDP數(shù)據(jù)報是封裝在IP包中在網(wǎng)上傳輸?shù)?，它們也同樣面臨IP層所遇到的安全威脅，另外還有針對TCP/UDP協(xié)議設(shè)計和實(shí)現(xiàn)中的缺陷實(shí)行的攻擊。l TCP的安全問題：針對TCP連接建立時“三次握手”機(jī)制的攻擊；未加密的TCP連接被欺騙、被劫取、被操縱。存在的主要攻擊有：- TCP SYN淹沒攻擊- TCP序列號攻擊- TCP會話截取攻擊（TCP Session Hijacking）- TCP連接不同步狀態(tài)攻擊- SYN Sniping攻擊- TCP 端口

8、掃描。l UDP的問題：由于UDP是無連接的，更易受IP源路由和拒絕服務(wù)攻擊，如UDP診斷端口拒絕服務(wù)攻擊和UDP Echo Loop Flooding攻擊。 應(yīng)用層應(yīng)用層由于它是基于底下各層基礎(chǔ)之上的，下層的安全缺陷就會導(dǎo)致應(yīng)用層的安全崩潰。此外各應(yīng)用層協(xié)議層自身也存在著許多安全問題，如Telnet、FTP、SMTP等應(yīng)用協(xié)議缺乏認(rèn)證和保密措施。主要有以下幾方面的問題： * Finger：可被用來獲得一個指定主機(jī)上的所有用戶的詳細(xì)信息（如用戶注冊名、電話號碼、最后注冊時間等等），給入侵者進(jìn)行破譯口令和網(wǎng)絡(luò)刺探提供了極有用的信息和工具。此外，還有Finger炸彈拒絕服務(wù)攻擊。 * FTP：FT

9、P存在著致命的安全缺陷，F(xiàn)TP使用標(biāo)準(zhǔn)的用戶名和口令作為身份鑒定，缺乏對用戶身份的安全認(rèn)證機(jī)制和有效的訪問權(quán)限控制機(jī)制；匿名FTP(anonymous FTP)可使任何用戶連接到一遠(yuǎn)程主機(jī)并從其上下載幾乎所有類型的信息而不需要口令；FTP連接的用戶名和口令以及數(shù)據(jù)信息是明文傳輸?shù)?；FTP服務(wù)器中可能含有特洛依木馬。 *Telnet：用戶可通過遠(yuǎn)程登錄Telnet服務(wù)來與一個遠(yuǎn)程主機(jī)相連。它允許虛擬終端服務(wù)，允許客戶和服務(wù)器以多種形式會話。入侵者可通過Telnet來隱藏其蹤跡，竊取Telnet服務(wù)器上的機(jī)密信息，而且，同F(xiàn)TP 一樣，Telnet應(yīng)用中信息包括口令都是明文傳輸?shù)摹elnet 缺

10、乏用戶到主機(jī)的認(rèn)證；Telnet不提供會話完整性檢查；Telnet會話未被加密，其中用戶ID和口令能被竊聽、Telnet會話能被劫取等。*HTTP：HTTP未提供任何加密機(jī)制，因此第三方可窺視客戶和服務(wù)器之間的通信；HTTP是無態(tài)協(xié)議，它在用戶方不存儲信息，因此，它無法驗(yàn)證用戶的身份；HTTP協(xié)議不提供對會話的認(rèn)證。*E-mail：主要問題有：偽造E-mail；利用有效E-mail地址進(jìn)行冒名頂替；E-mail中含有病毒；利用E-mail 對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，如E-mail炸彈；Sendmail 存在很多安全問題；絕大多數(shù)E-mail郵件都不具有認(rèn)證或保密功能，使得正在網(wǎng)上傳輸?shù)腅-mail很

11、容易被截獲閱讀、被偽造。 * DNS：域名系統(tǒng)（Domain Name System）提供主機(jī)名到IP 地址的映射和與遠(yuǎn)程系統(tǒng)的互連功能。此外，DNS中還包含有關(guān)站點(diǎn)的寶貴信息：機(jī)器名和地址，組織的結(jié)構(gòu)等等。除驗(yàn)證問題，攻擊DNS還可導(dǎo)致拒絕服務(wù)和口令收集等攻擊。DNS 對黑客是脆弱的，黑客可以利用DNS中的安全弱點(diǎn)獲得通向Internet上任何系統(tǒng)的連接。一個攻擊者如果能成功地控制或偽裝一個DNS服務(wù)器，他就能重新路由業(yè)務(wù)流來顛覆安全保護(hù)。DNS協(xié)議缺乏加密驗(yàn)證機(jī)制，易發(fā)生DNS欺騙、DNS高速緩存污染（DNS Cache Poisoning）和“中間人”攻擊。* SNMP：SNMPv1不具

12、備安全功能，它不使用驗(yàn)證或使用明文可重用口令來驗(yàn)證和認(rèn)證信息，因此對SNMP業(yè)務(wù)流偵聽，進(jìn)而實(shí)現(xiàn)對SNMP數(shù)據(jù)的非法訪問是容易的。一旦攻擊者訪問了SNMP 數(shù)據(jù)庫，則可以實(shí)現(xiàn)多方面的攻擊。如黑客可以通過SNMP查閱非安全路由器的路由表，從而了解目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)。SNMPv2c以及過度性的SNMPv2u和SNMPv2*雖然具有了一定的安全功能，但是還都存在著一些問題；SNMPv3雖然集成了先前版本的優(yōu)點(diǎn)，具有了較強(qiáng)的安全性，但是還具有安全弱點(diǎn)，如所采用的DES-CBC加密的安全性不強(qiáng)。 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)與

13、原理掃描技術(shù)與原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)掃描技術(shù)掃描技術(shù) 掃描程序是自動檢測遠(yuǎn)端或本地主機(jī)脆弱性的程序。通過與目標(biāo)主機(jī)TCP/IP端口建立連接并請求某些服務(wù)（如TELNET、FTP等），記錄目標(biāo)主機(jī)的應(yīng)答，搜集目標(biāo)主機(jī)相關(guān)信息（如匿名用戶是否可以登錄等），從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全漏洞。對某一類漏洞進(jìn)行檢查的程序成為一個掃描方法。 掃描常用技術(shù)包括掃描常用技術(shù)包括ping ping 掃射、端口掃描、操作系統(tǒng)識掃射、端口掃描、操作系統(tǒng)識別、穿透防火墻的掃描別、穿透防火墻的掃描 掃描技術(shù)掃描技術(shù) Ping掃描掃描 UDP掃描掃描 TCP掃描掃描 端口掃描端口掃

14、描 操作系統(tǒng)鑒別操作系統(tǒng)鑒別Ping掃描掃描 ICMP應(yīng)答請求應(yīng)答請求 ICMP廣播廣播 無回音的無回音的ICMP協(xié)議協(xié)議端口服務(wù)掃描類型（一）端口服務(wù)掃描類型（一）（1）TCP connect掃描 這是最基本的掃描方式。如果目標(biāo)主機(jī)上的某個端口處于偵聽狀態(tài)，可根據(jù)其IP地址和端口號使用標(biāo)準(zhǔn)的connect()調(diào)用來與之建立連接。若目標(biāo)主機(jī)未開放該端口，則connect操作失敗。因此，使用這種方法可以檢測到目標(biāo)主機(jī)開放了那些端口。在執(zhí)行這種掃描方式時，不需要對目標(biāo)主機(jī)擁有任何權(quán)限。（2）TCP SYN 掃描 這種技術(shù)通常認(rèn)為是“半”掃描，掃描程序發(fā)送一個SYN數(shù)據(jù)包，等待目標(biāo)主機(jī)的應(yīng)答。如果目

15、標(biāo)主機(jī)返回SYN|ACK，表示端口處于偵聽狀態(tài)。若返回RST，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個SYN|ACK，則掃描程序發(fā)送一個RST數(shù)據(jù)包，來終止這個連接。這種掃描技術(shù)的優(yōu)點(diǎn)在于一般不會再目標(biāo)計算機(jī)上留下紀(jì)錄。但要求攻擊者在發(fā)起攻擊的計算機(jī)上必須有root權(quán)限，因?yàn)椴皇峭ㄟ^標(biāo)準(zhǔn)的connect調(diào)用來掃描端口，必須直接在網(wǎng)絡(luò)上向目標(biāo)主機(jī)發(fā)送SYN和RST數(shù)據(jù)包。 端口服務(wù)掃描類型（二）端口服務(wù)掃描類型（二）（3）TCP FIN 掃描 向目標(biāo)主機(jī)的某個端口發(fā)送FIN數(shù)據(jù)包，若端口處于偵聽狀態(tài)，目標(biāo)主機(jī)不會回復(fù)FIN數(shù)據(jù)包。相反，若端口未被偵聽，目標(biāo)主機(jī)會用適當(dāng)?shù)腞ST來回復(fù)。這種方法須依賴于

16、系統(tǒng)的實(shí)現(xiàn)。某些系統(tǒng)對所有的FIN一律回復(fù)RST，不管端口是否打開。在這種情況下，TCP FIM掃描就不適用了。（4）IP分片掃描 這種方法不直接發(fā)送TCP探測數(shù)據(jù)包，而是預(yù)先將數(shù)據(jù)包分成兩個較小的IP數(shù)據(jù)包傳送給目標(biāo)主機(jī)。目標(biāo)主機(jī)收到這些IP段后，會把它們組合還原為原先的TCP探測數(shù)據(jù)包。將數(shù)據(jù)包分片的目的是使他們能夠通過防火墻和包過濾器，將一個TCP分為幾個較小的數(shù)據(jù)包，可能會穿過防火墻而到達(dá)目標(biāo)主機(jī)。（5）UDP端口掃描 許多主機(jī)在你向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤 ，需要root權(quán)限。（6）UDP recvfrom()和writ

17、e()掃描 如果攻擊者在發(fā)起攻擊的計算機(jī)上沒有root權(quán)限，它不能讀到端口不可達(dá)（ICMP_PORT_UNREACH）錯誤數(shù)據(jù)包。在Linux中可以間接的檢測到是否收到了目標(biāo)主機(jī)的這個應(yīng)答數(shù)據(jù)包。例如，對一個未偵聽端口的第二個write()調(diào)用將失敗。在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果未收到這個應(yīng)答，返回EAGAIM（其意思是可以重試）。如果收到這個應(yīng)答，則返回ECONNREFUSED（連接被拒絕）?？梢愿鶕?jù)recvfrom（）和write（）的返回字來判斷目標(biāo)主機(jī)是否發(fā)送了ICMP_PORT_UNREACH應(yīng)答。端口服務(wù)掃描類型（三）端口服務(wù)掃描類型（三）端口掃描技術(shù)端

18、口掃描技術(shù)分塊掃描分塊掃描分步掃描分步掃描隨機(jī)掃描隨機(jī)掃描平行掃描平行掃描動態(tài)延遲和重發(fā)動態(tài)延遲和重發(fā)誘騙誘騙掃描技術(shù)掃描技術(shù)-操作系統(tǒng)識別操作系統(tǒng)識別 捕捉標(biāo)語信息捕捉標(biāo)語信息rootpooh # telnet 3Debian GNU/Linux 2.1 DNS HINFODNS HINFO（主機(jī)信息）記錄（主機(jī)信息）記錄 主機(jī)信息通常是一對字符串，用來標(biāo)識主機(jī)的硬件和操作系統(tǒng)信息：主機(jī)信息通常是一對字符串，用來標(biāo)識主機(jī)的硬件和操作系統(tǒng)信息：www IN HINFO “Sparc Ultra 5” “Solaris 2.6” TCP/IP TCP/IP 棧指紋棧指紋 探

19、測器探測器 漏洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)與原理掃描技術(shù)與原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)漏洞實(shí)例分析漏洞實(shí)例分析 Windows漏洞漏洞 Unix漏洞漏洞 路由器漏洞路由器漏洞 CGI漏洞漏洞 Windows2000輸入法漏洞輸入法漏洞 空會話漏洞空會話漏洞 IISUnicode漏洞漏洞 SQLServer空口令空口令UnixUnix漏洞漏洞 Linux wuftpd2.6.0 FreeBsd Bind 8.2.x 遠(yuǎn)程溢出漏洞遠(yuǎn)程溢出漏洞 Linux 內(nèi)核漏洞內(nèi)核漏洞漏洞掃描技術(shù)漏洞掃描技術(shù) 漏

20、洞的發(fā)現(xiàn)漏洞的發(fā)現(xiàn) 漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅 漏洞的脆弱性分析漏洞的脆弱性分析 掃描技術(shù)和原理掃描技術(shù)和原理 漏洞實(shí)例分析漏洞實(shí)例分析 系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn)系統(tǒng)設(shè)計與實(shí)現(xiàn) 掃描器類型掃描器類型 掃描器基本模塊掃描器基本模塊 掃描內(nèi)容掃描內(nèi)容掃描器類型掃描器類型-主機(jī)掃描器主機(jī)掃描器主主主機(jī)掃描器又稱本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一結(jié)點(diǎn)，執(zhí)行對自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的配置錯誤。由于主機(jī)掃描器實(shí)際上是運(yùn)行于目標(biāo)主機(jī)上的進(jìn)程，因此具有以下特點(diǎn)： 1 1、可以在系統(tǒng)上任意創(chuàng)建進(jìn)程。為了運(yùn)行某些程序，檢測緩沖區(qū)、

21、可以在系統(tǒng)上任意創(chuàng)建進(jìn)程。為了運(yùn)行某些程序，檢測緩沖區(qū)溢出攻擊，就要求掃描器做到這一點(diǎn)。溢出攻擊，就要求掃描器做到這一點(diǎn)。 2222、可以檢查到安全補(bǔ)丁一級，以確保系統(tǒng)安裝了最新的安全補(bǔ)、可以檢查到安全補(bǔ)丁一級，以確保系統(tǒng)安裝了最新的安全補(bǔ)丁。丁。 3 3、可以查看本地系統(tǒng)配置文件，檢查系統(tǒng)的配置錯誤。除非能攻、可以查看本地系統(tǒng)配置文件，檢查系統(tǒng)的配置錯誤。除非能攻入系統(tǒng)并取得超級用戶權(quán)限，遠(yuǎn)程掃描器很難實(shí)現(xiàn)入系統(tǒng)并取得超級用戶權(quán)限，遠(yuǎn)程掃描器很難實(shí)現(xiàn)網(wǎng)絡(luò)掃描器網(wǎng)絡(luò)掃描器網(wǎng)絡(luò)掃描器又稱遠(yuǎn)程掃描器。它和待檢查系統(tǒng)運(yùn)行于不同結(jié)點(diǎn)，通過網(wǎng)絡(luò)遠(yuǎn)程探測目標(biāo)結(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系

22、統(tǒng)的安全漏洞。與主機(jī)掃描器的掃描方法不同，網(wǎng)絡(luò)掃描器通過執(zhí)行一整套綜合的滲透測試程序集，也稱掃描方法集，發(fā)送精心構(gòu)造的數(shù)據(jù)包來檢測目標(biāo)系統(tǒng)是否存在安全隱患。應(yīng)該說這種掃描方法在某些方面優(yōu)于主機(jī)掃描方法。因?yàn)楣羰菣z驗(yàn)網(wǎng)絡(luò)安全的最佳手段。 掃描器基本模塊掃描器基本模塊用戶界面掃描引擎掃描方法集漏洞數(shù)據(jù)庫掃 描 輸 出報告掃描策略 主機(jī)掃描內(nèi)容主機(jī)掃描內(nèi)容-unix(1)-unix(1)系統(tǒng)完整性檢查 關(guān)鍵系統(tǒng)文件變化檢查 用戶賬戶變化檢查 黑客入侵標(biāo)記檢查 未知程序版本 不常見文件名 可疑設(shè)備文件 未經(jīng)授權(quán)服務(wù) 網(wǎng)絡(luò)數(shù)據(jù)包截獲攻擊檢測 弱口令選擇檢測 有安全漏洞程序版本檢測 標(biāo)記可被攻擊程序 報告需要安裝的安全補(bǔ)丁 檢查系統(tǒng)配置安全性 全局信任文件主機(jī)掃描內(nèi)容主機(jī)掃描內(nèi)容-unix (2)unix (2) crontab文件 rc系統(tǒng)啟動文件 文件系統(tǒng)mount權(quán)限 打印服務(wù) 賬戶配置 組配置 檢查網(wǎng)絡(luò)服務(wù)安全性 是否允許ip轉(zhuǎn)發(fā) 標(biāo)記有風(fēng)險服務(wù) ftp 配置 news服務(wù)器配置NFS配置 郵件服務(wù)器配置 Web服務(wù)器配置 檢查用戶環(huán)