目標主機系統(tǒng)弱點.ppt

1、第二篇 網(wǎng)絡(luò)攻擊篇,第5章 目標主機的系統(tǒng)弱點挖掘技術(shù),第5章 目標主機的系統(tǒng)弱點挖掘技術(shù),系統(tǒng)弱點指的是系統(tǒng)難以克服的錯誤或缺陷和安全漏洞。 漏洞則是指任意的允許非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。 網(wǎng)絡(luò)攻防都是通過搜集目標系統(tǒng)信息并從中挖掘系統(tǒng)和應(yīng)用服務(wù)程序的弱點來實現(xiàn)的，網(wǎng)絡(luò)攻擊主要利用了系統(tǒng)提供網(wǎng)絡(luò)服務(wù)中的脆弱性。,第5章 目標主機的系統(tǒng)弱點挖掘技術(shù),5.1 系統(tǒng)弱點可造成的危害 5.2 系統(tǒng)弱點的分類 5.3 系統(tǒng)的主要漏洞分類 5.4 幾種常見漏洞的分析 5.5 漏洞庫及其使用 5.6 弱點挖掘的過程與方法 5.7 獲取系統(tǒng)弱點的工具 5.8 實驗：漏洞掃描,

2、5.1系統(tǒng)弱點可造成的危害,1、系統(tǒng)的完整性(integrity) 攻擊者可以利用系統(tǒng)弱點入侵系統(tǒng)，對系統(tǒng)數(shù)據(jù)進行非法篡改，達到破壞數(shù)據(jù)完整性的目的。,5.1系統(tǒng)弱點可造成的危害,2、系統(tǒng)的可用性(availability) 攻擊者利用系統(tǒng)弱點破壞系統(tǒng)或者網(wǎng)絡(luò)的正常運行，導致信息或網(wǎng)絡(luò)服務(wù)不可用，合法用戶的正常服務(wù)要求得不到滿足。,5.1系統(tǒng)弱點可造成的危害,3、系統(tǒng)的機密性(confidentiality) 攻擊者利用系統(tǒng)弱點給非授權(quán)的個人和實體泄漏受保護信息。有些時候，機密性和完整性是交疊的。,5.1系統(tǒng)弱點可造成的危害,4、系統(tǒng)的可控性(controllability) 攻擊者利用系統(tǒng)弱

3、點對授權(quán)機構(gòu)控制信息的完整控制權(quán)造成危害。,5.1系統(tǒng)弱點可造成的危害,5、系統(tǒng)的可靠性(reliability) 攻擊者利用系統(tǒng)弱點對用戶認可的質(zhì)量特性（信息傳遞的迅速性、準確性以及連續(xù)地轉(zhuǎn)移等）造成危害。,5.2 系統(tǒng)弱點的分類,5.2.1 設(shè)計上的缺陷 5.2.2 操作系統(tǒng)的弱點 5.2.3 軟件的錯誤、缺陷和漏洞 5.2.4 數(shù)據(jù)庫的弱點 5.2.5 網(wǎng)絡(luò)安全產(chǎn)品的弱點 5.2.6 用戶的管理的疏忽,5.2.1 設(shè)計上的缺陷,在進行軟硬件及協(xié)議、安全策略設(shè)計時，難免會有考慮不周的地方，這就使得軟硬件和協(xié)議在結(jié)構(gòu)、功能等方面存在缺陷和疏漏； 即使有些軟硬件和協(xié)議在設(shè)計時沒有漏洞，隨著新的

4、需求不斷增加，使用場合不斷變化，也很可能會出現(xiàn)不能適應(yīng)新環(huán)境、新需求的缺陷和漏洞。 比如，TCP/IP在設(shè)計時就沒有太多地考慮安全問題，使得現(xiàn)在它顯得越來越脆弱。再比如加密算法的設(shè)計等等。,5.2.2 操作系統(tǒng)的弱點,現(xiàn)在的操作系統(tǒng)，無論是Windows，還是Unix、Linux，都存在著漏洞。 這些漏洞，有的是因為設(shè)計時考慮不周，有的是因為代碼的編寫有Bug，還有的是因為在權(quán)限管理和系統(tǒng)保密等方面不夠完善。無論是哪一種，都對系統(tǒng)的安全構(gòu)成很大威脅。,5.2.3 軟件的錯誤、缺陷和漏洞,軟件在編寫過程中，總難免有Bug。比如在內(nèi)存分配、變量賦值、出錯處理等方面，在正常使用情況下，不會出問題，但

5、若隨意分配內(nèi)存、任意賦值，系統(tǒng)就可能因資源耗盡、緩沖區(qū)溢出等原因癱瘓或崩潰。,5.2.3 軟件的錯誤、缺陷和漏洞,軟件的弱點例如： 操作系統(tǒng)弱點 緩沖區(qū)溢出漏洞、輕易泄露操作系統(tǒng)信息、默認的用戶名和口令或使用簡單的口令、隱蔽通道，特洛伊木馬； 系統(tǒng)服務(wù)弱點 www服務(wù)弱點、RPC(遠程過程調(diào)用)漏洞、ftp服務(wù)漏洞、TCP/IP通信協(xié)議弱點、軟件老化。,5.2.4 數(shù)據(jù)庫的弱點,數(shù)據(jù)庫作為數(shù)據(jù)的存儲和管理系統(tǒng)，在進行數(shù)據(jù)庫設(shè)計時，在數(shù)據(jù)庫系統(tǒng)進行代碼實現(xiàn)時，在用戶對數(shù)據(jù)庫進行配置和使用時，都有可能出現(xiàn)疏漏和錯誤. 而數(shù)據(jù)庫系統(tǒng)存放的數(shù)據(jù)往往比計算機系統(tǒng)本身的價值大得多，因此，數(shù)據(jù)庫的安全問題不

6、容忽視。,5.2.4數(shù)據(jù)庫的弱點,數(shù)據(jù)庫弱點舉例 現(xiàn)在多數(shù)數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中，這是不夠安全的，如果是重要數(shù)據(jù)，應(yīng)該考慮使用密文的形式存儲。一些數(shù)據(jù)庫缺乏這方面的考慮，沒有相應(yīng)的安全機制。,5.2.5 網(wǎng)絡(luò)安全產(chǎn)品的弱點,網(wǎng)絡(luò)安全產(chǎn)品在很大程度上提高了網(wǎng)絡(luò)系統(tǒng)的安全性，但不可否認這些安全產(chǎn)品中同樣存在著弱點。 如果網(wǎng)絡(luò)安全產(chǎn)品本身存在安全漏洞，那么不僅不能保障網(wǎng)絡(luò)安全，反而給人以安全的假象。 系統(tǒng)管理員要了解網(wǎng)絡(luò)安全產(chǎn)品的弱點，并針對其特點進行合理選擇、正確配置才能發(fā)揮安全產(chǎn)品的有效作用。,5.2.6 用戶的管理的疏忽,這是一種常見的情況。雖然這種情況的發(fā)生往往是由于人為的

7、原因，但這種疏漏卻非常普遍。管理人員疏忽，安全防范意識不強，或管理人員能力低下，都可能成為管理上的漏洞。 比如因管理人員疏忽大意，造成口令的泄漏、重要的資料被偷竊，或因管理人員水平較低，造成系統(tǒng)配置錯誤等。 大量攻擊事件表明，一個網(wǎng)絡(luò)系統(tǒng)被攻破，不是由于技術(shù)原因，而是因為管理上存在著弱點。比如用戶的安全理念不強，或是員工蓄意破壞等。,5.3 系統(tǒng)的主要漏洞分類,5.3.1 根據(jù)漏洞被攻擊者利用的方式 分類 5.3.2 根據(jù)漏洞所指目標分類 5.3.3 根據(jù)漏洞導致的直接威脅分類 5.3.4 根據(jù)漏洞對系統(tǒng)安全性造成的 損害分類,5.3系統(tǒng)的主要漏洞分類,漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)

8、議、數(shù)據(jù)庫等在設(shè)計上、實現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。 通俗一點說，漏洞就是可以被攻擊者利用的系統(tǒng)弱點。沒有漏洞就不會有成功的入侵和攻擊，但沒有漏洞的系統(tǒng)是不存在的。 至少到現(xiàn)在為止，沒有哪個操作系統(tǒng)和軟件的生產(chǎn)者敢說自己的產(chǎn)品沒有漏洞，事實上，主要的操作系統(tǒng)和軟件都發(fā)現(xiàn)有漏洞，有的還很嚴重。,5.3系統(tǒng)的主要漏洞分類,漏洞形成的主要原因分類：輸入驗證錯誤、緩沖區(qū)溢出、設(shè)計錯誤、意外情況處置錯誤、訪問驗證錯誤、配置錯誤、競爭條件、環(huán)境錯誤、其他等。,5.3.1根據(jù)漏洞被攻擊者利用的方式分類,本地（local）攻擊漏洞：要想利用此類漏洞，攻擊者必須是系統(tǒng)的本地合法用戶或已經(jīng)通過其

9、他攻擊方法獲得了本地權(quán)限的非法用戶。 遠程（remote）攻擊漏洞：利用此類漏洞，攻擊者可通過網(wǎng)絡(luò)，對連接在網(wǎng)絡(luò)上的遠程主機進行攻擊。,5.3.2 根據(jù)漏洞所指目標分類,漏洞所指目標或者說是漏洞存在的位置，比如是硬件本身存在問題，還是操作系統(tǒng)或者某個應(yīng)用服務(wù)存在問題。 從這個角度可以分成：操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議棧、非服務(wù)器程序、服務(wù)器程序、硬件、通信協(xié)議、口令恢復和其他。,5.3.3 根據(jù)漏洞導致的直接威脅分類,漏洞導致的最直接的威脅是指攻擊者利用此類漏洞可以獲得的最直接的非法權(quán)限或者攻擊效果。據(jù)此，系統(tǒng)安全漏洞可以歸為以下幾類。,5.3.3 根據(jù)漏洞導致的直接威脅分類,普通用戶訪問權(quán)限：攻擊者可

10、以獲得系統(tǒng)的普通用戶存取權(quán)限，通常是利用服務(wù)器的某些漏洞。 本地管理員權(quán)限：已有本地用戶權(quán)限的攻擊者通過攻擊本地某些有缺陷的SUID程序，得到系統(tǒng)管理員權(quán)限。 遠程管理員權(quán)限：攻擊者不需要本地用戶權(quán)限可直接獲得遠程系統(tǒng)的管理員權(quán)限，通常是通過以root身份執(zhí)行有缺陷的系統(tǒng)守護進程而獲得。,5.3.3 根據(jù)漏洞導致的直接威脅分類,權(quán)限提升：攻擊者在本地通過攻擊某些有缺陷的程序，把自己的普通權(quán)限提升為管理員權(quán)限。 本地拒絕服務(wù)：攻擊者使系統(tǒng)本身或應(yīng)用程序不能正常運轉(zhuǎn)或者正常提供服務(wù)。 遠程拒絕服務(wù)：攻擊者利用此類漏洞對遠程系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。,5.3.3

11、 根據(jù)漏洞導致的直接威脅分類,讀取受限文件：攻擊者通過利用某些漏洞，讀取系統(tǒng)中自己沒有權(quán)限讀取的文件。 遠程非授權(quán)文件存取：攻擊者可以不經(jīng)授權(quán)地從遠程存取系統(tǒng)的某些文件。 口令恢復：攻擊者很容易分析出口令的加密方法，從而通過某種方法得到密碼，然后通過密碼還原出明文。,5.3.3 根據(jù)漏洞導致的直接威脅分類,欺騙：攻擊者對目標系統(tǒng)實施某種形式的欺騙。 信息泄露： 攻擊者收集有利于進一步攻擊的目標系統(tǒng)信息。 其他,5.3.4根據(jù)漏洞對系統(tǒng)安全性造成的損害分類,根據(jù)漏洞對系統(tǒng)的安全性造成的危害可分為有效性、隱密性、完整性、安全保護。 其中安全保護還可分為：獲得超級用戶權(quán)限、獲得普通用戶權(quán)限、獲得其他

12、用戶權(quán)限。,5.3.4 根據(jù)漏洞對系統(tǒng)安全性造成的損害分類,系統(tǒng)安全漏洞根據(jù)其對系統(tǒng)造成的潛在威脅以及被利用的可能性可將各種系統(tǒng)安全漏洞進行分級。 高級別：大部分遠程和本地管理員權(quán)限漏洞屬于“高”級別； 中級別：大部分普通用戶權(quán)限、權(quán)限提升、讀取受限文件、遠程和本地拒絕服務(wù)漏洞屬于“中”級別； 低級別：大部分遠程非授權(quán)文件存取、口令恢復、欺騙、信息泄露漏洞屬于“低”級別。但這只是一般情況，具體情況還需要具體分析。,5.4 幾種常見漏洞的分析,1. 緩沖區(qū)溢出 2. 拒絕服務(wù)攻擊漏洞 3. 權(quán)限提升漏洞 4. 遠程命令執(zhí)行漏洞 5. 文件泄漏、信息泄漏漏洞 6. 其他類型的漏洞,1. 緩沖區(qū)溢出

13、,緩沖區(qū)溢出漏洞是很典型的一類漏洞，現(xiàn)有的漏洞很多都可以歸為此類。對于存在此漏洞的系統(tǒng)，攻擊者通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。 如NSFOCUS安全小組發(fā)現(xiàn)微軟FrontPage 2000 服務(wù)器擴展軟件包中的一個程序存在一個緩沖區(qū)溢出漏洞。遠程攻擊者可能利用這個漏洞執(zhí)行任意代碼。,緩沖區(qū)溢出,在當前網(wǎng)絡(luò)與分布式系統(tǒng)安全中，被廣泛利用的50%以上都是緩沖區(qū)溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕蟲。 而緩沖區(qū)溢出中，最為危險的是堆棧溢出，因為入侵者可以利用堆棧溢出，在函數(shù)返回時改變返回程序

14、的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。,緩沖區(qū)溢出,如果把一加侖的水注入容量為一品脫的容量中，水會四處冒出，這時你就會充分理解溢出的含義。 同樣的道理，在計算機內(nèi)部，如果你向一個容量有限的內(nèi)存空間里存儲過量數(shù)據(jù)，這時數(shù)據(jù)也會溢出存儲空間。 輸入數(shù)據(jù)通常被存放在一個臨時空間內(nèi)，這個臨時存放空間被稱為緩沖區(qū)，緩沖區(qū)的長度事先已經(jīng)被程序或者操作系統(tǒng)定義好了。,緩沖區(qū)溢出,緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。 理想情況是，程序檢查數(shù)據(jù)長度

15、并且不允許輸入超過緩沖區(qū)長度的字符串。但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的存儲空間相匹配，這就為緩沖區(qū)溢出埋下隱患。 操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧，在各個操作進程之間，指令被臨時存儲在堆棧當中，堆棧也會出現(xiàn)緩沖區(qū)溢出。,緩沖區(qū)溢出,當一個超長的數(shù)據(jù)進入到緩沖區(qū)時，超出部分就會被寫入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針，或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或者破壞掉?？梢娨恍〔糠謹?shù)據(jù)或者一套指令的溢出就可能導致一個程序或者操作系統(tǒng)崩潰。 緩沖區(qū)溢出是由編程錯誤引起的。如果緩沖區(qū)被寫滿，而程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時緩沖區(qū)溢出就會發(fā)生

16、。緩沖區(qū)邊界檢查被認為是不會有收益的管理支出，計算機資源不夠或者內(nèi)存不足是編程者不編寫緩沖區(qū)邊界檢查語句的理由。,緩沖區(qū)溢出,緩沖區(qū)溢出之所以泛濫，是由于開放源代碼程序的本質(zhì)決定的。一些編程語言對于緩沖區(qū)溢出是具有免疫力的，例如Perl能夠自動調(diào)節(jié)字節(jié)排列的大小，Ada95能夠檢查和阻止緩沖區(qū)溢出。 但是被廣泛使用的C語言卻沒有建立檢測機制。標準C語言具有許多復制和添加字符串的函數(shù)，這使得標準C語言很難進行邊界檢查。C略微好一些，但是仍然存在緩沖區(qū)溢出。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的，最多造成應(yīng)用程序錯誤，但是，如果輸入的數(shù)據(jù)是經(jīng)過“黑客”或者病毒精心設(shè)計的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰

17、是“黑客”或者病毒的入侵程序代碼，一旦多余字節(jié)被編譯執(zhí)行，“黑客”或者病毒就有可能為所欲為，獲取系統(tǒng)的控制權(quán)。,緩沖區(qū)溢出,盡管緩沖區(qū)溢出也會發(fā)生在非C/C+語言上，但考慮到各種語言的運用程度，我們可以在某種程度上說，緩沖區(qū)溢出是C/C+的專利。 如果你在一個用VB寫的程序里面找溢出漏洞，你將會很出名。在C/C+這兩種使用非常廣泛的語言里面，并沒有邊界來檢查數(shù)組和指針的引用，這樣做的目的是為了提高效率，而不幸的是，這也留下了嚴重的安全問題。先看下面一段簡單的代碼：,緩沖區(qū)溢出,#includevoidmain()charbuf8;gets(buf);程序運行的時候，如果你輸入“Hello”，或

18、者“Kitty”，那么一切正常，但是如果輸入“Todayisagoodday”，那么我得通知你，程序發(fā)生溢出了。,緩沖區(qū)溢出,很顯然，buf這個數(shù)組只申請到8個字節(jié)的內(nèi)存空間，而輸入的字符卻超過了這個數(shù)目，于是，多余的字符將會占領(lǐng)程序中不屬于自己的內(nèi)存。因為C/C+語言并不檢查邊界，于是，程序?qū)⒖此普＠^續(xù)運行。 如果被溢出部分占領(lǐng)的內(nèi)存并不重要，或者是一塊沒有使用的內(nèi)存，那么，程序?qū)^續(xù)看似正常的運行到結(jié)束。但是，如果溢出部分占領(lǐng)的正好的是存放了程序重要數(shù)據(jù)的內(nèi)存，那么一切將會不堪設(shè)想。,緩沖區(qū)溢出,緩沖區(qū)溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或者病毒善于在系統(tǒng)當

19、中發(fā)現(xiàn)容易產(chǎn)生緩沖區(qū)溢出之處，運行特別程序，獲得優(yōu)先級，指示計算機破壞文件，改變數(shù)據(jù)，泄露敏感信息，產(chǎn)生后門訪問點，感染或者攻擊其他計算機。 2000年7月，微軟Outlook以及Outlook Express被發(fā)現(xiàn)存在漏洞能夠使攻擊者僅通過發(fā)送郵件就能危及目標主機安全，只要郵件頭部程序被運行，就會產(chǎn)生緩沖區(qū)溢出，并且觸發(fā)惡意代碼。2001年8月，“紅色代碼”利用微軟IIS漏洞產(chǎn)生緩沖區(qū)存溢出，成為攻擊企業(yè)網(wǎng)絡(luò)的“罪魁禍首”。2003年1月，Slammer蠕蟲利用微軟SQL漏洞產(chǎn)生緩沖區(qū)溢出對全球互聯(lián)網(wǎng)產(chǎn)生沖擊。而在近幾天，一種名為“沖擊波”的蠕蟲病毒利用微軟RPC遠程調(diào)用存在的緩沖區(qū)漏洞對W

20、indows 2000/XP、Windows Server 2003進行攻擊，波及全球網(wǎng)絡(luò)系統(tǒng)。據(jù)CERT安全小組稱，*作系統(tǒng)中超過50%的安全漏洞都是由內(nèi)存溢出引起的，其中大多數(shù)與微軟技術(shù)有關(guān)，這些與內(nèi)存溢出相關(guān)的安全漏洞正在被越來越多的蠕蟲病毒所利用。,緩沖區(qū)溢出,緩沖區(qū)溢出是目前導致“黑客”型病毒橫行的主要原因。從紅色代碼到Slammer,再到日前爆發(fā)的“沖擊波”，都是利用緩沖區(qū)溢出漏洞的典型。緩沖區(qū)溢出是一個編程問題，防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)程序時仔細檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用戶需要經(jīng)常登錄*作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布的系統(tǒng)漏

21、洞，及時下載補丁程序，彌補系統(tǒng)漏洞。,Oracle遠程緩沖區(qū)溢出漏洞,發(fā)布日期：2003年2月16日 受影響系統(tǒng)：Oracle9i Database Release 2Oracle9i Release 1Oracle8i, 8.1.7, 8.0.6詳細描述： Oracle數(shù)據(jù)庫服務(wù)器存在遠程緩沖區(qū)溢出漏洞。攻擊者可以通過使用超長的用戶名登錄導致基于棧的緩沖區(qū)溢出。攻擊者可以利用這個漏洞獲得用戶權(quán)限執(zhí)行任意代碼。此漏洞可能危及操作系統(tǒng)和數(shù)據(jù)庫中的敏感數(shù)據(jù)。,Oracle遠程緩沖區(qū)溢出漏洞,解決方案： 請到下列網(wǎng)址下載補丁程序或查閱詳細信息。 ,2. 拒絕服務(wù)攻擊漏洞,拒絕服務(wù)攻擊漏洞也是一類典型

22、的漏洞。攻擊者利用此漏洞進行攻擊主要是為了使服務(wù)器資源最終會被耗盡而無法對正常的服務(wù)作出響應(yīng)。 Windows NT Service Pack 2之前的部分Win32K函數(shù)不正確檢查輸入?yún)?shù)，遠程攻擊者可以利用這個漏洞對系統(tǒng)進行拒絕服務(wù)攻擊。 Win32K.sys是Windows設(shè)備驅(qū)動程序，用于處理GDI(圖形設(shè)備接口)服務(wù)調(diào)用，但是Service Pack 2之前的系統(tǒng)不是所有Win32K函數(shù)對輸入?yún)?shù)缺少充分檢查，攻擊者可以寫一程序傳遞非法參數(shù)可以導致Win32K函數(shù)并導致系統(tǒng)崩潰，也可以利用構(gòu)建包含ActivX的頁面觸發(fā)此漏洞。,分布式拒絕服務(wù)攻擊與防范手段,一、從DoS到DDoS 拒

23、絕服務(wù)（Denial of Service，DoS）由來已久。自從有了Internet，就有了拒絕服務(wù)式攻擊方法。由于過去沒有大型網(wǎng)站或機構(gòu)受到過這種攻擊，其劣性并不突出。 直到2000年初，Yahoo!、eBay及Amazon等遭其暗算，它才露出廬山真面目,分布式拒絕服務(wù)攻擊與防范手段,在典型的Internet連接中，用戶訪問一個網(wǎng)站時，客戶端會先向網(wǎng)站服務(wù)器發(fā)送一條信息要求建立連接，只有當服務(wù)器確認該請求合法，并將訪問許可返回給用戶時，用戶才可對該服務(wù)器進行訪問。 DoS攻擊的方法是，惡意用戶會向服務(wù)器發(fā)送多個連接請求，使其呈滿負載狀態(tài)，并且將所有請求的返回地址進行偽造。這樣，在服務(wù)器企圖

24、將認證結(jié)構(gòu)返回給用戶時，它將無法找到這些用戶。此時，服務(wù)器只好等待，有時可能會等上1分鐘才關(guān)閉此連接。,分布式拒絕服務(wù)攻擊與防范手段,可怕的是，在服務(wù)器關(guān)閉連接后，攻擊者又會發(fā)送新的一批虛假請求，重復上一次過程，直到服務(wù)器因過載而拒絕提供服務(wù)。 這些攻擊事件并沒有入侵網(wǎng)站，也沒有篡改或是破壞資料，只是利用程序在瞬間產(chǎn)生大量的網(wǎng)絡(luò)封包，讓對方的網(wǎng)絡(luò)及主機癱瘓，使正常使用者無法獲得主機及時的服務(wù)。,分布式拒絕服務(wù)攻擊與防范手段,然而，年初攻擊Yahoo!的元兇還不是簡單的DoS，雖然與DoS攻擊一樣，也是向被攻擊目標連續(xù)發(fā)送大量偽造的IP包，以導致服務(wù)器不能為合法用戶提供正常服務(wù)（比如此次給Yah

25、oo!站點路由器發(fā)出的無效請求高達1GB/s）. 但是它區(qū)別于DoS的“絕妙”之處在于: 動員了大量“無辜”的計算機向目標共同發(fā)起進攻，采用了分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊手段。,分布式拒絕服務(wù)攻擊與防范手段,DDoS把DoS又向前發(fā)展了一步，DDoS的行為更為自動化，它可以方便地協(xié)調(diào)從多臺計算機上啟動的進程，讓一股DoS洪流沖擊網(wǎng)絡(luò)，并使網(wǎng)絡(luò)因過載而崩潰。 確切地講，DDoS攻擊是指在不同的高帶寬主機上安裝大量的DoS服務(wù)程序，它們等待來自中央客戶端的命令，中央客戶端隨后通知全體受控服務(wù)程序，并批示它們對一個特定目標發(fā)送盡可能多的網(wǎng)

26、絡(luò)訪問請求。 作為攻擊者，必須通過telnet連接到他想利用的每一臺遠程主機上，并以用戶身份登錄，然后手工輸入命令，啟動每一臺主機向攻擊目標發(fā)送海量信息流。,分布式拒絕服務(wù)攻擊與防范手段,DDoS與DoS的最大區(qū)別是人多力量大。原來的DoS是一臺機器攻擊目標，現(xiàn)在的DDoS是很多臺機器利用他們的高帶寬攻擊目標，更容易將目標網(wǎng)站攻掉。 除此之外，DDoS攻擊方式較為自動化，攻擊者可以把他的程序安裝到網(wǎng)絡(luò)中的多臺機器上，所采用的攻擊工具致使被攻擊對象難以察覺，只要攻擊者發(fā)下攻擊命令，這些機器便發(fā)起進攻。,分布式拒絕服務(wù)攻擊與防范手段,二、DoS的攻擊方法 對DoS而言，其攻擊方式很多，主要使用的攻

27、擊有3種，分別是TCP-SYN flood、UDP flood和ICMP flood。,分布式拒絕服務(wù)攻擊與防范手段,當用戶進行一次標準的TCP連接時，會有一個3次握手過程。首先是請求服務(wù)方發(fā)送一個SYN消息，服務(wù)方收到SYN后，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個ACK消息，這樣，一次TCP連接建立成功。 但是TCP-SYN flood在實現(xiàn)過程中只進行前2個步驟：當服務(wù)方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是，服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。,分布式拒

28、絕服務(wù)攻擊與防范手段,對于某臺服務(wù)器來說，可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務(wù)器可用的TCP連接隊列將很快被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長此下去，網(wǎng)絡(luò)將無法向用戶提供正常的服務(wù)。,分布式拒絕服務(wù)攻擊與防范手段,三、DDoS的攻擊方法 目前，我們知道的對網(wǎng)絡(luò)進行DDoS攻擊所使用的工具有：Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它們的攻擊思路基本相近。 1Trinoo：它是基于UDP flood的攻擊軟件，它向被攻擊目標主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出

29、其處理能力垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對IP地址不做假，此攻擊方法用得不多,分布式拒絕服務(wù)攻擊與防范手段,2TFN：它是利用ICMP給代理服務(wù)器下命令，其來源可以做假。它可以發(fā)動SYN flood、UDP flood、ICMP flood及Smurf（利用多臺服務(wù)器發(fā)出海量數(shù)據(jù)包，實施DoS攻擊）等攻擊。TFN的升級版TFN2k的特點是：對命令數(shù)據(jù)包加密、更難查詢命令內(nèi)容、命令來源可以做假，還有一個后門控制代理服務(wù)器。,分布式拒絕服務(wù)攻擊與防范手段,3Stacheldraht：對命令來源做假，而且可以防范一些路由器用RFC2267過濾。若

30、檢查出有過濾現(xiàn)象，它將只做假IP地址最后8位，從而讓用戶無法了解到底是哪幾個網(wǎng)段的哪臺機器被攻擊。此外，它還具有自動更新功能，可隨軟件的更新而自動更新。 值得一提的是，像Trinoo和TFN等攻擊軟件都是可以從網(wǎng)上隨意找到的公開軟件，所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。面對兇多吉少的DDoS險灘，我們該如何對付隨時出現(xiàn)的黑客攻擊呢？那要看用戶處于何種狀態(tài)，是正身處被攻擊的困圍中，還是準備事先預防。,分布式拒絕服務(wù)攻擊與防范手段,四、怎樣對付正在進行的攻擊 如果用戶正在遭受攻擊，他所能做的抵御工作非常有限。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能用戶在還沒回過

31、神之際，網(wǎng)絡(luò)已經(jīng)癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。,分布式拒絕服務(wù)攻擊與防范手段,首先，檢查攻擊來源，通常黑客會通過很多假的IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)段管理員把機器關(guān)掉，即可消除攻擊。 其次，找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。比如黑客發(fā)射SNP包，用戶可把此包過濾掉。若黑客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。 最后一種比較折衷的方法是在路由器上濾掉ICMP（Internet Control Message Protocol）和UDP。ICMP用于提交錯誤和改變控制信息，常

32、用來判斷網(wǎng)絡(luò)的連通性。,分布式拒絕服務(wù)攻擊與防范手段,五、如何事先預防攻擊 其實，很多攻擊方法并不新，存在時間也很長了（就像DoS），基本上人們對它們已經(jīng)有所了解，只是當它被有惡意的人利用，破壞網(wǎng)絡(luò)安全，人們才意識到問題的嚴重性。因此，人們應(yīng)充分重視建立完善的安全系統(tǒng)，防患于未然。在具體工作中，我們不妨從以下一些方面預防黑客攻擊。,分布式拒絕服務(wù)攻擊與防范手段,1用足夠的機器承受黑客攻擊。這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。,分布式拒絕服務(wù)攻擊與防范手段,2充

33、分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源。所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護起來。 當Yahoo！被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務(wù)器又是一個漫長的過程，相信沒有路由器這道屏障，Yahoo！會受到無法估量的重創(chuàng)。,分布式拒絕服務(wù)攻擊與防范手段,3使用Inexpress、Express Forwarding過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以針對封包 Sour

34、ce IP 和 Routing Table 做比較，并加以過濾。 4使用Unicast Reverse Path Forwarding檢查訪問者的來源。它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。,分布式拒絕服務(wù)攻擊與防范手段,5過濾所有RFC1918 IP地址。RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像、和，它們不是

35、某個網(wǎng)段的固定IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過濾掉。 6限制SYN/ICMP流量。用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制 SYN/ICMP 封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。,分布式拒絕服務(wù)攻擊與防范手段,六、幾點忠告 DDoS給著名網(wǎng)站帶來巨大災難的同時，也給人們再次敲響了警鐘，作為網(wǎng)絡(luò)用戶，特別是負責網(wǎng)絡(luò)安全的管理員、決策者，應(yīng)該怎樣維護好網(wǎng)絡(luò)安全呢？1一個企業(yè)必須有專人負責其網(wǎng)絡(luò)安全，至少有一個人全權(quán)進行系統(tǒng)安全維護，他應(yīng)該對企業(yè)網(wǎng)絡(luò)中的所有機器進行檢查，

36、以減少漏洞。,分布式拒絕服務(wù)攻擊與防范手段,2作為專門負責網(wǎng)絡(luò)安全的管理員，必須對攻擊方法了如指掌，換句話說，他要了解黑客是怎么工作的，只有這樣，他才能保護好自己的機器。甚至負責人可在局域網(wǎng)中模仿黑客，“入侵”自己的系統(tǒng)，以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，及時補漏。 3網(wǎng)絡(luò)安全管理員應(yīng)該盡職盡責，仔細認真。在已發(fā)生的黑客攻擊中，相當一部分事件是因為管理員工作疏忽造成的。,分布式拒絕服務(wù)攻擊與防范手段,4嚴格控制密碼，提高密碼保險性。在網(wǎng)絡(luò)中，有些密碼設(shè)置得較易被破獲，因此應(yīng)盡量減少知道密碼的人數(shù)，分別給不同的人設(shè)定不同的使用權(quán)限。 5選擇一款優(yōu)秀的防黑安全產(chǎn)品。即配備監(jiān)測工具，不斷提高對系統(tǒng)的認識。無論是從網(wǎng)上

37、下載公開源代碼的監(jiān)測工具，還是購買網(wǎng)絡(luò)監(jiān)測工具，都要實時監(jiān)測別人是否在掃描自己的端口。若有人掃描端口，意味著有人可能要攻擊此網(wǎng)絡(luò)。,3. 權(quán)限提升漏洞,本地或者利用終端服務(wù)訪問的攻擊者可以利用這個漏洞使本地用戶提升權(quán)限至管理用戶。如Microsoft IIS 5.0在處理腳本資源訪問權(quán)限操作上存在問題，遠程攻擊者可以利用這個漏洞上傳任意文件到受此漏洞影響的WEB服務(wù)器上并以高權(quán)限執(zhí)行。 Microsoft IIS 5.0服務(wù)程序在腳本資源訪問權(quán)限文件類型列表中存在一個錯誤，可導致遠程攻擊者裝載任意惡意文件到服務(wù)器中。腳本資源訪問存在一個訪問控制機制可防止用戶上載任意執(zhí)行文件或者腳本到服務(wù)器上，

38、但是，這個機制沒有防止用戶上傳.COM文件類型。遠程攻擊者如果在IIS服務(wù)器上有對虛擬目錄寫和執(zhí)行權(quán)限，就可以上傳.COM文件到服務(wù)器并以高權(quán)限執(zhí)行這個文件。,Win2000中文版防范輸入法漏洞攻擊,漏洞描述 大家都知道，在安裝Windows 2000簡體中文版的過程中，默認情況下同時安裝了各種簡體中文輸入法。這些隨系統(tǒng)裝入的輸入法可以在系統(tǒng)登錄界面中使用，以便用戶能使用基于字符的用戶標識和密碼登錄到系統(tǒng)，在這種情況下，應(yīng)限制提供給用戶的功能。然而，在默認安裝的情況下，Windows 2000中的簡體中文輸入法不能正確地檢測當前的狀態(tài)，導致在系統(tǒng)登錄界面中提供了不應(yīng)有的功能。進而，一些別有用心

39、的用戶可以通過直接操作該計算機的鍵盤得到當前系統(tǒng)權(quán)限，運行他選擇的代碼、更改系統(tǒng)配置、新建用戶、添加或刪除系統(tǒng)服務(wù)、添加、更改或刪除數(shù)據(jù)，或執(zhí)行其他操作，讓管理員傷透了腦筋。,Win2000中文版防范輸入法漏洞攻擊,在Windows 2000登錄界面，把鼠標放到用戶名框里點擊一下，用Ctrl+Shift切換輸入法，切換至全拼輸入法狀態(tài)，這時在登錄界面左下角將出現(xiàn)輸入法狀態(tài)條，用鼠標右鍵點擊狀態(tài)條，在彈出菜單中選擇“幫助”，把鼠標移到幫助上，在新彈出的選項里選擇“輸入法入門”，然后就會彈出一個叫“輸入法操作指南”的幫助窗口，這個窗口里有個欄目是“選項”，把鼠標放在該項上面點擊右鍵，在新彈出的小窗

40、口里選擇“跳至URL”。此時將出現(xiàn)Windows 2000的系統(tǒng)安裝路徑和要求我們填入的路徑的空白欄。比如，該系統(tǒng)安裝在C盤上，就在空白欄中填入“c:Windowsntsystem32”（如圖1）。然后按確定，在“輸入法操作指南”右邊的框里就會出現(xiàn)c:Windowsntsystem32目錄下的內(nèi)容（如圖2）。于是就成功地繞過了身份驗證，進入了系統(tǒng)的SYSTEM32目錄，當然這時他想做什么都不在話下嘍。,Win2000中文版防范輸入法漏洞攻擊,Win2000中文版防范輸入法漏洞攻擊,找到NET.EXE命令,創(chuàng)建快捷方式. 右鍵點擊快捷方式-屬性 輸入：net.exe user test 123/

41、add 將該用戶提升至管理員組 net.exe localgroup administrator test/add,Win2000中文版防范輸入法漏洞攻擊,1. 給Windows 2000打補丁 Windows 2000 SP2以上的補丁已經(jīng)堵住了這個漏洞，可以從下列網(wǎng)址下載補丁程序： 這里可以下載Windows 2000各階段的補丁，后階段的補丁中包括前階段的補丁，如SP3補丁中包括SP2補丁中的內(nèi)容。你可以直接打Windows 2000 SP2補丁，因為SP2補丁已經(jīng)包括了輸入法漏洞的補丁，打上補丁之后，就消除了此安全缺陷，可使簡體中文輸入法識別計算機狀態(tài)并在登錄時只提供適當?shù)墓δ堋５菫?/p>

42、了預防那些惡意用戶對服務(wù)器通過操作系統(tǒng)的其他漏洞發(fā)起攻擊，建議使用最新的補丁程序。,Win2000中文版防范輸入法漏洞攻擊,2. 刪除輸入法幫助文件和多余的輸入法 為了防止惡意用戶通過輸入法漏洞對服務(wù)器進行攻擊，刪除不需要的輸入法，例如鄭碼等。但是畢竟不能把所有的自帶輸入法都刪除，對于不需要使用的有漏洞的輸入法，要把那個輸入法的幫助文件刪除掉。這些幫助文件通常在Windows 2000的安裝目錄下（如：C:Windowsnt）的Help目錄下，對應(yīng)的幫助文件分別是： Windowsime.chm輸入法操作指南Windowssp.chm 雙拼輸入法幫助Windowszm.chm 鄭碼輸入法幫助W

43、indowspy.chm 全拼輸入法幫助Windowsgb.chm 內(nèi)碼輸入法幫助 上面的兩個步驟，執(zhí)行了其中的一項，就可以防止惡意用戶對Windows 2000機器進行輸入法漏洞攻擊了。只要我們的網(wǎng)絡(luò)管理員能夠細心地維護系統(tǒng)，相信黑客們是沒有可乘之機的。,4. 遠程命令執(zhí)行漏洞,攻擊者可以利用這種漏洞直接獲得訪問權(quán)限。如Webshell是一款基于WEB的應(yīng)用程序，可以作為文件管理器進行文件上傳和下載處理，使用用戶名/密碼方式進行認證，以suid root屬性運行Webshell中多處代碼對用戶提交的請求缺少正確過濾檢查，遠程攻擊者可以利用這個漏洞以root用戶權(quán)限在系統(tǒng)上執(zhí)行任意命令。,5.

44、 文件泄漏、信息泄漏漏洞,比如Kunani FTP文件泄漏漏洞。Kunani FTP server 1.0.10存在一個漏洞，通過一個包含“./”的惡意請求可以對服務(wù)器進行目錄遍歷。遠程攻擊者可以利用這個漏洞訪問系統(tǒng)FTP目錄以外任意的文件。,6. 其他類型的漏洞,除了以上舉例說明的幾種漏洞外，按照漏洞造成的直接危害，還存在列舉出其他一些漏洞，比如腳本執(zhí)行漏洞、可繞過認證漏洞、遠程訪問漏洞等，這里就不一一舉例。以上舉出的漏洞多數(shù)已經(jīng)有補丁發(fā)布。,5.5漏洞庫及其使用,對一般用戶來說，面對如此之多的漏洞，會不知所措。這就需要用戶了解漏洞的詳細信息，使用戶能夠方便地檢索自己的系統(tǒng)會有哪些漏洞，了解

45、這些漏洞會造成什么樣的危害，應(yīng)該如何防范，如何打補丁。漏洞數(shù)據(jù)庫就是讓用戶更詳細地了解漏洞，方便查詢。,1. CVE漏洞庫,MITRE公司建立的“通用漏洞列表”使數(shù)據(jù)庫和工具間彼此交流，提供一個評估工具的標準，可以準確地知道每個工具的安全覆蓋程度，這意味著可以判斷工具的有效性和適應(yīng)性。簡而言之，CVE兼容的工具和數(shù)據(jù)庫將提供更好的覆蓋，更容易的互動和強化的安全。,1. CVE漏洞庫,CVE的優(yōu)點就是將眾所周知的安全漏洞的名稱標準化，使不同的漏洞庫和安全工具更容易共享數(shù)據(jù)，使得在其他數(shù)據(jù)庫中搜索信息更容易。然而，CVE是一個字典，而不是一個數(shù)據(jù)庫，對每種漏洞沒有詳細的信息。,2.其他漏洞庫, 國

46、外著名的漏洞發(fā)布站點，即Bugtraq。 美國國家安全應(yīng)急組織。 由ISS公司發(fā)布的漏洞庫。 收集眾多的安全漏洞。 存放大量弱點文檔資料。 /icat.cfm ICAT漏洞發(fā)布及漏洞庫搜索站點。,參考鏈接,綠盟： 中國信息安全論壇: 網(wǎng)絡(luò)安全響應(yīng)中心： ,5.6弱點挖掘原理與方法,網(wǎng)絡(luò)安全就像一條鏈條，只要鏈條上某一個地方存在弱點，攻擊者就可能利用這個弱點破壞整個網(wǎng)絡(luò)系統(tǒng)的安全。 在這條鏈上，涉及到物理實體、網(wǎng)絡(luò)通信、系統(tǒng)平臺、應(yīng)用軟件、用戶使用、系統(tǒng)管理等各個方面。 下面給出弱點挖掘的基本過程。,系統(tǒng)管理弱點（包括安

47、全管理制度、安全策略） 系統(tǒng)用戶弱點（包括用戶安全意識、安全知識） 應(yīng)用軟件弱點（包括應(yīng)用程序、運行流程） 系統(tǒng)平臺弱點（包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等） 網(wǎng)絡(luò)通信弱點（包括通信協(xié)議、網(wǎng)絡(luò)服務(wù)等） 物理實體和環(huán)境安全弱點,系統(tǒng)弱點挖掘的基本過程,5.6弱點挖掘原理與方法,從網(wǎng)絡(luò)防范的角度來說，安全弱點挖掘的方法主要有安全策略分析、管理顧問訪談、管理問卷調(diào)查、網(wǎng)絡(luò)架構(gòu)分析、滲透測試、工具掃描和人工檢查等。,5.6弱點挖掘原理與方法,對攻擊者來說，在收集到攻擊目標的一批網(wǎng)絡(luò)信息之后，攻擊者會探測目標網(wǎng)絡(luò)上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點，其主要使用下列方式進行探測： 1) 自編程序：對某些

48、產(chǎn)品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，但是用戶并不一定及時使用對這些漏洞的“補丁”程序。因此入侵者可以自己編寫程序，通過這些漏洞進入目標系統(tǒng)。 2) 利用公開的工具：比如nessus掃描器，還有像Internet的電子安全掃描程序IIS、審計網(wǎng)絡(luò)用的安全分析工具SATAN等這樣的工具，可以對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描，尋找安全漏洞。,5.6弱點挖掘原理與方法,在進行探測活動中，為了防止對方發(fā)覺，攻擊者一般要隱蔽其探測活動。由于一般掃描偵測器的實現(xiàn)是通過監(jiān)視某個時間段里一臺特定主機發(fā)起的連接的數(shù)目來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。黑客還會利用一些特定的數(shù)據(jù)包傳

49、送給目標主機，使其作出相應(yīng)的響應(yīng)。由于每種操作系統(tǒng)都有其獨特的響應(yīng)方式，將此獨特的響應(yīng)報與數(shù)據(jù)庫中的已知響應(yīng)進行匹配從而確定出目標主機所運行的操作系統(tǒng)及其版本等信息。,1. Internet Security Scanner,ISS (Internet Security Scanner)是Internet上用來進行遠程安全評估掃描的最早的工具之一，ISS工具是一個“多層次”的安全掃描程序，它將質(zhì)問特定I P地址范圍內(nèi)的所有計算機，并針對幾個常見的系統(tǒng)弱點來確定每臺計算機的安全狀況。它依賴公開的CERT和CIAC建議以及其他有關(guān)已知安全漏洞的信息。目前的產(chǎn)品有Internet Scanner和P

50、roventia Network Enterprise Scanner。,2. SATAN,SATAN（System Administrators Tool for Analyzing Networks）用來幫助系統(tǒng)管理員檢測安全,也能被基于網(wǎng)絡(luò)的侵入者用來搜索脆弱的系統(tǒng)。 SATAN包括一個有關(guān)網(wǎng)絡(luò)安全問題的檢測表，經(jīng)過網(wǎng)絡(luò)查找特定的系統(tǒng)或子網(wǎng)，并報告它的發(fā)現(xiàn)。 SATAN（由Dan Farmer和Wietse Venema所寫）在1995年第一次發(fā)布。程序的首字母縮略語能從“ SATAN（魔鬼）”改為“ SANTA（圣人）”，有些人感覺運行一個叫作“SANTA”的程序比運行一個叫作“SAT

51、AN”的程序更好。,Nessus是一個功能強大而又易于使用的遠程安全掃描器，它不僅免費而且更新極快。安全掃描器的功能是對指定網(wǎng)絡(luò)進行安全檢查，找出該網(wǎng)絡(luò)是否存在有導致對手攻擊的安全漏洞。對于黑客來說，就是針對目標主機進行漏洞查找的工具。 系統(tǒng)被設(shè)計為C/S模式，服務(wù)器端負責進行安全檢查，客戶端用來配置管理服務(wù)器端。 安全檢測完成后，服務(wù)端將檢測結(jié)果返回到客戶端，客戶端生成直觀的報告。為了防止通信內(nèi)容受到監(jiān)聽，其傳輸過程還可以選擇加密。,3. Nessus,4. Nmap,Nmap工具是一個端口掃描工具。它能掃描整個網(wǎng)絡(luò)或一臺主機上的開放端口。開發(fā)者Fyodor把各種大量的掃描技術(shù)集成到Nmap

52、中。Nmap工具還可以使用TCP/IP指印來識別一個遠程系統(tǒng)運行的是哪種操作系統(tǒng)。在確定了目標主機和網(wǎng)絡(luò)之后，即可進行掃描。如果以root來運行Nmap，Nmap的功能會大大的增強，因為超級用戶可以創(chuàng)建便于Nmap利用的定制數(shù)據(jù)包。,5. SAINT,SAINT全稱為安全管理員集成網(wǎng)絡(luò)工具(Security Administrators Integrated Network Tool)，它源于著名的網(wǎng)絡(luò)脆弱性檢測工具SATAN。SAINT是一個集成化的網(wǎng)絡(luò)脆弱性評估環(huán)境。它可以幫助系統(tǒng)安全管理人員收集網(wǎng)絡(luò)主機信息，發(fā)現(xiàn)存在或者潛在的系統(tǒng)缺陷；提供主機安全性評估報告；進行主機安全策略測試。,6.

53、 CHKACCT,CHKACCT 是一個檢查用戶帳號安全的工具。它檢查文件的權(quán)限并能改正它們。它尋找那些能被所有用戶可讀的文件并查看以點號開頭的文件。它可以被用戶使用或者被系統(tǒng)或安全管理員專用。,7. Courtney,Courtney監(jiān)測一個網(wǎng)絡(luò)，查明SATAN探索的結(jié)果，并試圖識別它們的來源。它從tcpdump獲得輸入并計算一臺機器在一個特定的時段內(nèi)產(chǎn)生新的服務(wù)請求的次數(shù)。如果在該時間段內(nèi)，一臺機器和大量的服務(wù)連接，Courtney就把該機器識別為一個潛在的SATAN主機。,8. COPS,COPS是由Dan Farmer和Gene Spafford開發(fā)的系統(tǒng)檢測工具，它報告系統(tǒng)的配置錯誤以及其他信息。,9. Merlin,Merlin是一個幫助用戶使用其他工具的perl程序。它為COPS 1.04、Tiger 2.2.3、Crack 4.1和Tripwire 1.2 提供一個Web瀏覽器界面。Merlin使用一個只接收從本地機利用任一個空閑socket端口發(fā)送的消息的HTTP服務(wù)器來為每一個會話產(chǎn)生一個“magic cookie”值。,10. Tiger,Texas A&M大學的一個系統(tǒng)檢測工具。Tiger可以檢查的項目有：系統(tǒng)配置錯誤；不安全的權(quán)限設(shè)置；所有用戶可寫的文件；SUID和SGID文件；Crontab條目；Sendmail和ftp設(shè)置；脆