漏洞掃描技術(shù)

1、在計算機安全領(lǐng)域，安全漏洞(SecurityHole)通常又稱作脆弱性(vulnerability)。漏洞的來源漏洞的來源：(1)軟件或協(xié)議設(shè)計時的瑕疵(2)軟件或協(xié)議實現(xiàn)中的弱點(3)軟件本身的瑕疵(4)系統(tǒng)和網(wǎng)絡(luò)的錯誤配置DNS區(qū)域傳送是一種DNS服務(wù)器的冗余機制。通過該機制，輔DNS服務(wù)器能夠從其主DNS 服務(wù)器更新自己的數(shù)據(jù)，以便主DNS服務(wù)器不可用時，輔DNS服務(wù)器能夠接替主DNS服 務(wù)器工作。正常情況下，DNS區(qū)域傳送操作只對輔DNS服務(wù)器開放。然而，當(dāng)系統(tǒng)管理員 配置錯誤時，將導(dǎo)致任何主機均可請求主DNS服務(wù)器提供一個區(qū)域數(shù)據(jù)的拷貝，以至于目 標(biāo)域中所有主機信息泄露.網(wǎng)絡(luò)掃描主要

2、分為以下3個階段：(1)發(fā)現(xiàn)目標(biāo)主機或網(wǎng)絡(luò)。(2)發(fā)現(xiàn)目標(biāo)后進一步搜集 目標(biāo)信息，包括操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)， 還可以進一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機的信息。(3)根據(jù)搜集到的信 息判斷或者進一步檢測系統(tǒng)是否存在安全漏洞。網(wǎng)絡(luò)掃描的主要技術(shù)主機掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機是否可達，同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)， 主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠程主機開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)發(fā)現(xiàn)存活主機方法：ICMP掃射ping 廣播ICMP非回顯ICMP(ICMP時間戳請求允許系統(tǒng)向另一個系統(tǒng)詢 當(dāng)前的時間。

3、ICMP地址掩碼請求用于無盤系統(tǒng)引導(dǎo)過程中獲得自己的子網(wǎng)掩碼。)TCP掃射 UDP掃射獲取信息：端口掃描：端口掃描就是連接到目標(biāo)機的TCP和UDP端口上，確定哪些服務(wù)正在運行及 服務(wù)的版本號，以便發(fā)現(xiàn)相應(yīng)服務(wù)程序的漏洞。TCP connect。掃描：利用操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，與每一個感興趣的目標(biāo)計算 機的端口進行連接。如果目標(biāo)端口處于偵聽狀態(tài)，那么connect()就能成功；否則，該端口是 不能用的，即沒有提供服務(wù)。TCP SYN掃描：辨別接收到的響應(yīng)是SYN/ACK報文還是RST報文，就能夠知道目標(biāo)的 相應(yīng)端口是出于偵聽狀態(tài)還是關(guān)閉狀態(tài)(RST為關(guān)閉)。又叫“半開掃描”，

4、因為它只完成了 3 次握手過程的一半.TCP ACK掃描：用來探測防火墻的規(guī)則設(shè)計?？梢源_定防火墻是簡單的包過濾還是狀態(tài) 檢測機制:TCP Fin掃描：掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠程主機丟棄該包，并送回一個RST包如果端口處于偵聽狀態(tài)忽略對FIN數(shù)據(jù)包的回復(fù)與系統(tǒng)實現(xiàn)有一定的關(guān)系，有的系統(tǒng)不管端口是否打開，都回復(fù)RST(windows)，但可以 區(qū)分 Unix 和 WindowsTCP XMAS掃描(7) TCP空掃描(8) UDP ICMP端口不可達掃描端口掃描的對策端口掃描的對策：設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降

5、到最低服務(wù)識別：端口掃描的主要目的是為了獲得目標(biāo)主機提供的服務(wù)(通過端口號來判斷)操作系統(tǒng)辨識；(TCP/IP棧指紋技術(shù))Windows95的IP應(yīng)答報文和查詢報文的TTL都是32；Windows98/98SE/ME/NT4應(yīng)答報文的TTL是128、查詢報文的TTL是32；Windows2000應(yīng)答報文和查詢報文的TTL都是128。操作系統(tǒng)識別的對策操作系統(tǒng)識別的對策：t讓操作系統(tǒng)識別失效的補丁t防火墻和路由器的規(guī)則配置t使用入侵檢測系統(tǒng)漏洞檢測的方法：直接測試(test)、推斷(inference )和帶憑證的測試(TestwithCredentials)直接測試的特點：匕通常用于對Web服

6、務(wù)器漏洞、拒絕服務(wù)(DoS)漏洞進行檢測；匕能夠準(zhǔn)確地判斷系統(tǒng)是否存在特定漏洞；匕對于滲透所需步驟較多的漏洞速度較慢；匕攻擊性較強，可能對存在漏洞的系統(tǒng)造成破壞；匕對于DoS漏洞，測試方法會造成系統(tǒng)崩潰；匕不是所有漏洞的信息都能通過測試方法獲得帶憑證的測試：很多攻擊都是由擁有UNIXshell訪問權(quán)限或者NT資源訪問權(quán)限的用戶發(fā)起 的，他們的目標(biāo)在于將自己的權(quán)限提升成為超級用戶，從而可以執(zhí)行某個命令。對于這樣的 漏洞，前面兩種方法很難檢查出來。因此，如果賦予測試進程目標(biāo)系統(tǒng)的角色，將能夠檢查 出更多的漏洞。安全漏洞掃描技術(shù)：被動式策略主動式策略安全漏洞的種類:潛在的安全漏洞不完善的系統(tǒng)設(shè)計可利

7、用的系統(tǒng)工具不正確的系統(tǒng) 設(shè)置安全漏洞掃描技術(shù)：基于主機的檢測技術(shù)，掃描項目主要包括用戶賬號文件、組文件、系統(tǒng)權(quán)限、系統(tǒng) 配置文件、關(guān)鍵文件、日志文件、用戶口令、網(wǎng)絡(luò)接口狀態(tài)、系統(tǒng)服務(wù)、軟件脆弱 性等基于網(wǎng)絡(luò)的檢測技術(shù)。主要檢查一個網(wǎng)絡(luò)系統(tǒng)是否存在安全漏洞以及抗攻擊能力， 它可以采用常規(guī)的漏洞掃描辦法，也可以采用仿真攻擊的辦法來測試目標(biāo)系統(tǒng)的抗 攻擊能力。掃描項目主要包括目標(biāo)的開放端口、系統(tǒng)網(wǎng)絡(luò)服務(wù)、系統(tǒng)信息、系統(tǒng)漏 洞、遠程服務(wù)漏洞、特洛伊木馬檢測、拒絕服務(wù)攻擊等?；趹?yīng)用的檢測技術(shù)主要檢查一個應(yīng)用軟件是否存在安全漏洞，如應(yīng)用軟件的設(shè)置 是否合理、有無緩沖區(qū)溢出問題等?；趯徲嫷臋z測技術(shù)主要

8、通過審計一個系統(tǒng)的完整性來檢查該系統(tǒng)內(nèi)是否存在被故 意安放的后門程序。網(wǎng)絡(luò)安全測評技術(shù)是將安全漏洞掃描技術(shù)和專家系統(tǒng)技術(shù)有機結(jié)合起來，通過對網(wǎng)絡(luò)系統(tǒng)的 安全性測試,不僅可以發(fā)現(xiàn)系統(tǒng)潛在的安全漏洞，還可以對整個網(wǎng)絡(luò)的安全狀況進行科學(xué)評估，同時給出阻塞安全漏洞和改進網(wǎng)絡(luò)安全狀況的專家建議測評方法庫：它是掃描方法庫的擴展，通過漏洞掃描和仿真攻擊檢測相結(jié)合 的方法來測試目標(biāo)系統(tǒng)所存在的安全漏洞。同樣，測評方法庫采用插件技術(shù)進行 維護和擴充。安全評估標(biāo)準(zhǔn)：系統(tǒng)將測試結(jié)果規(guī)范化后，再映射到某個安全等級上，并給 出這個安全等級的安全強度、安全風(fēng)險等。安全專家系統(tǒng)：給出阻塞安全漏洞、降低安全風(fēng)險和提高安全強度

9、的專家建 議。一次完整的網(wǎng)絡(luò)掃描主要分為3個階段：目標(biāo)發(fā)現(xiàn)、信息攫取、漏洞檢測。目標(biāo)發(fā)現(xiàn)階段的技術(shù)主要有ICMP掃射、廣播ICMP、非回顯ICMP、TCP掃射、UDP掃 射。端口掃描的主要技術(shù)有TCP connect()掃描、TCP SYN掃描、TCP ACK掃描、TCP FIN掃 描、TCP XMAS掃描、TCP空掃描、FTP反彈掃描(FTP Bounce Scan)、UDP掃描。遠程操作系統(tǒng)識別的主要方法有系統(tǒng)服務(wù)旗標(biāo)識別、主動協(xié)議棧指紋探測ICMP響應(yīng)析、 TCP報文響應(yīng)分析、TCP報文延時分析)、被動協(xié)議棧指紋探測。漏洞檢測的主要方法有直接測試(test)、推斷(inference)和帶憑證的測試(Test withCredential)0 l基于網(wǎng)絡(luò)的