漏洞庫的建立

1、漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務器的各種 TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現(xiàn)在Internet上的安全漏洞。從而在計算機網(wǎng)絡系統(tǒng)安全保衛(wèi)戰(zhàn) 中做到“有的放矢”，及時修補漏洞，構(gòu)筑堅固的安全長城。本文的第一部分分析了當前網(wǎng)絡巨大的安全隱患，概述漏洞掃描器原理并針對目前TCP/IP網(wǎng)絡和各種網(wǎng)絡主機的安全現(xiàn)狀，設計了一個 網(wǎng)絡漏洞掃描器。本部分將具體闡述了這個網(wǎng)絡漏洞掃描器的實現(xiàn)。網(wǎng)絡漏洞掃描器的實現(xiàn)掃描模塊的實現(xiàn)整個網(wǎng)絡漏洞掃描器的核心部分是掃描模塊，它是由很多子模塊組成的，其結(jié)構(gòu)如

2、圖2所示?；拘畔⑻綔y子模塊的實現(xiàn)在設計時加入該模塊的目的是在調(diào)用掃描主模塊之前探測主機是否在線，以避免不必要的空掃描。該模塊的實現(xiàn)原理和常用的ping命令 相似，方法是向目標主機發(fā)送ICMP回顯報文請求，根據(jù)返回值來分析判斷主機是否在線。所有安裝了 TCP/IP協(xié)議的在線網(wǎng)絡主機，都 會對這樣的ICMP回顯報文請求給與答復。雖然現(xiàn)在有些主機裝了個人防火墻，可以屏蔽掉這樣的ICMP回顯報文請求，但是我們這個 掃描系統(tǒng)的對象是提供網(wǎng)絡服務的網(wǎng)絡主機，而這樣的主機是不應該屏蔽掉ICMP回顯報文請求的，因為這樣會讓一些用戶誤認為該主 機不在線，從而喪失了作為網(wǎng)絡服務器的意義。為了降低網(wǎng)絡擁塞導致丟包

3、的可能性，在實現(xiàn)中重復四次向目標主機發(fā)送ICMP回顯請 求包。該模塊不只探測主機是否在線，而且能根據(jù)ICMP回顯應答報文的TTL(TTL是位于IP首部中的生存時間字段)值來粗略分辨出目標主 機操作系統(tǒng)，為下一步的掃描提供依據(jù)，特別是在掃描模塊的調(diào)用和漏洞庫的選擇上。該模塊在實現(xiàn)中和其他模塊不同的一個最大特點是：其他掃描模塊是針對應用層的，用一般的套接字即能完成網(wǎng)絡連接；而該模塊是針 對于網(wǎng)絡層的，使用一種叫原始套接字的技術(shù)來實現(xiàn)。原始套接字(raw socket)提供了一些使用TCP和UDP套接字不能實現(xiàn)的功能： 可以訪問ICMP和IGMP等協(xié)議的數(shù)據(jù)包，可以讀寫內(nèi)核不處理的IP數(shù)據(jù)包，可以創(chuàng)

4、建自定義的IP數(shù)據(jù)首部。使用原始套接字可以編 寫基于IP協(xié)議的高層網(wǎng)絡協(xié)議。端口掃描子模塊的實現(xiàn)當基本信息探測子模塊得知目標主機在線時，端口掃描子模塊即被調(diào)用。該模塊將根據(jù)傳來的參數(shù)相應的掃描TCP的11024或者 165535端口。掃描方式是利用TCP的完全連接方式，即利用TCP connect掃描技術(shù)來設計掃描模塊，這是最基本的TCP掃描。通常 通過調(diào)用套接口函數(shù)connect()連接到目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么connect()就能成功 返回。否則，這個端口不可用，即沒有提供服務。這個技術(shù)的一個最大的優(yōu)點是不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利

5、使用這個 調(diào)用。另外的一個優(yōu)點就是比其他掃描方式(如SYN掃描和FIN掃描等等)更穩(wěn)定可靠。但這種方法的一個缺陷是：掃描方式不隱蔽。 通常作為一個掃描器軟件的應用，TCP的connect會重復且大量地被集中使用，在被掃描的一端則會很容易發(fā)現(xiàn)這種掃描行為，目標計 算機的log文件會顯示一連串的連接和連接是否出錯的服務消息，并且能很快地使它關閉；而且大多數(shù)防火墻也能屏蔽這種掃描，隨著 防火墻技術(shù)的快速發(fā)展，其他的一些曾經(jīng)被認為是很隱蔽的掃描方式也可能被防火墻發(fā)現(xiàn)并屏蔽掉。所以相對而言，TCP connect掃描 方式的這個缺陷已經(jīng)被淡化了。而且，我們開發(fā)的掃描系統(tǒng)是從系統(tǒng)管理員的角度出發(fā)，因此上述

6、的問題都是不存在的，除非他/她非法 掃描他人網(wǎng)站主機。圖2掃描模塊的結(jié)構(gòu)網(wǎng)絡掃描是個集中的、重復的行為，顯而易見，它也是個比較耗資源的行為-不光是耗費掃描主機的資源，也耗費被掃描主機的資源；不 光占用主機的資源，同時也占用網(wǎng)絡相當多的資源?？傮w上看是個特別耗時的過程。在該網(wǎng)絡掃描器的設計和實現(xiàn)的過程中，我們從兩 方面進行了優(yōu)化：利用非阻塞連接技術(shù)和多進程技術(shù)。其結(jié)果是，首先，這兩種技術(shù)的運用明顯地加快了掃描的速度；而且，用多進程 來實現(xiàn)高效率的利用了資源，從而達到了節(jié)省資源的功效。網(wǎng)絡漏洞掃描是建立在端口掃描的基礎之上的。從黑客攻擊行為的分析和收集的漏洞來看，絕大多數(shù)都是針對某一個網(wǎng)絡服務，也

7、就是 針對某一個特定的端口的。所以漏洞掃描也是以同樣的思路來進行的。而如今大多數(shù)國內(nèi)國外的掃描器把端口掃描和具體的漏洞掃描分 開來，相互之間幾乎沒有什么聯(lián)系：端口掃描的目的就是為了向用戶報出當前所開的端口和網(wǎng)絡服務，以及看是否有些特定的后門存在； 漏洞掃描則完全是另外一個獨立的流程，不管目標主機的相應端口及服務是否打開，都要做一系列的掃描。這樣看起來好像掃得很全面 很徹底，但很明顯的一點是，如果在對目標主機毫無了解的情況下，比如說是一臺最普通的、幾乎沒有提供任何網(wǎng)絡服務的機器，此時 對它也進行徹底的漏洞掃描可以說是意義甚微的，甚至可以說在某些時候會對系統(tǒng)及網(wǎng)絡有些反面的影響。而我們在設計實現(xiàn)該

8、漏洞掃描系統(tǒng)時則從另一個角度出發(fā)，保證在達到同等目的的前提下，盡量少占用網(wǎng)絡、主機以及時間資源，提高 資源的利用率和掃描系統(tǒng)的效率?；舅枷胧牵罕苊獠槐匾哪K調(diào)用，根據(jù)不同的實際情況來調(diào)用相應的掃描子模塊。在實現(xiàn)中，所有子模塊的運行都是和端口掃描的主流程同時進行的。在此，我們利用了多進程技術(shù)來實現(xiàn)并發(fā)。進程是具有一定功能的 程序，是關于一個數(shù)據(jù)集合的一次運行活動，它是程序運行的基本單位。在傳統(tǒng)的UNIX模型中，當一個進程需要由另一個實體執(zhí)行某 些操作時，該進程派生（fork）一個子進程，讓子進程去進行處理。此時子進程與父進程是完全獨立的兩個運行實體，以這樣的方式可以 實現(xiàn)并行?，F(xiàn)在在UNIX

9、/Linux系統(tǒng)中也可以用線程來實現(xiàn)程序的并行執(zhí)行。和線程比起來，fork子進程存在以下兩個問題：fork的代價是昂貴的：內(nèi)存映像要從父進程拷貝到子進程，所有描述字要在子進程中復制等等。目前的實現(xiàn)使用一種稱為寫 時拷貝（copy-on-write）的技術(shù)，可避免父進程數(shù)據(jù)空間向子進程的拷貝，除非子進程需要自己的拷貝。盡管有這種優(yōu)化技 術(shù)，fork仍然是很昂貴的。fork子進程執(zhí)行后，需要用進程間通信（IPC）在父子進程之間傳遞信息。fork之前的信息容易傳遞，因為子進程從一開始就 有父進程數(shù)據(jù)空間以及所有描述字的拷貝。從子進程返回信息給父進程則需要做更多的工作。在我們的掃描系統(tǒng)的設計中，所需要

10、的并發(fā)執(zhí)行模塊數(shù)并不是很多，對于現(xiàn)有的硬件設備來講，創(chuàng)建十來個子進程的代價根本算不上什 么，這樣fork子進程的第一種缺陷的影響幾乎就不存在了；關于它的第二種問題其實對我們的實現(xiàn)也沒有影響，因為這些掃描子模塊之 間以及子模塊和主模塊之間的交流除了共享文件之外，避免了其它的通信。而且從實現(xiàn)上來說，線程使用比較復雜，采用fork子進程會 使開發(fā)和調(diào)試相對簡單易行些。入侵掃描的實現(xiàn)從圖2中可以看出，由于掃描方式的不同，可以將端口掃描子模塊分為兩大類：網(wǎng)絡掃描和入侵掃描。與網(wǎng)絡掃描不同，入侵掃描沒有 對應的漏洞庫，本節(jié)簡單介紹三類入侵掃描子模塊的實現(xiàn)方式。FTP弱勢密碼探測子模塊主要是對一些可能存在的

11、用戶名作弱勢密碼的探測。其實現(xiàn)方法主要就是模擬客戶端的用戶協(xié)議解釋器的功能， 和服務器端建立連接并發(fā)送一系列命令和處理相應的應答，以此模擬登錄，從而判斷是否存在有弱勢密碼的賬號。FTP命令和應答在客戶和服務器的控制連接上是以NVT ASCII碼形式傳送的。這些命令都是3或4個字節(jié)的大寫ASCII字符，其中一些 帶選項參數(shù)。從客戶向服務器發(fā)送的FTP命令超過30種，如ABOR （放棄先前的FTP命令和數(shù)據(jù)傳輸）、QUIT （從服務器上注銷）、 SYST （服務器返回系統(tǒng)類型）等。應答都是ASCII碼形式的3位數(shù)字，并跟有報文選項。其原因是軟件系統(tǒng)需要根據(jù)數(shù)字代碼來決定如 何應答，而選項是面向人工

12、處理的。在我們的子模塊中是根據(jù)應答中的數(shù)字代碼來判斷的，如125 （數(shù)據(jù)連接已經(jīng)打開，傳輸開始）、 331 （用戶名就緒，要求輸入口令）、501（語法錯誤-無效參數(shù)）等。OPENRelay郵件轉(zhuǎn)發(fā)漏洞是針對SMTP網(wǎng)絡協(xié)議的。用TCP進行的郵件交換是由報文傳送代理MTA （Message Transfer Agent）完成 的。最普通的Unix系統(tǒng)中的MTA是Sendmail?？蛻舳薓TA通過訪問服務器端的25號端口來和服務器端的MTA通信。兩個MTA之 間也用NVT ASCII進行通信?？蛻粝蚍掌靼l(fā)出命令，服務器用數(shù)字應答碼和可選的可讀字符串進行響應。這與FTP非常類似。關于服 務器端的應

13、答也與FTP非常類似，在此就不贅述了。OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測子模塊也是通過發(fā)送一系列的命令和分析處理一系列的應答，以此模擬客戶端MTA的功能來通過服務器 連續(xù)發(fā)送一定數(shù)量的郵件，從而判斷服務器是否沒有屏蔽掉OPENRelay的功能。Unicode遍歷目錄漏洞探測子模塊是針對80端口的WWW網(wǎng)絡服務的。WWW服務遵循的是HTTP協(xié)議，所以HTTP協(xié)議的一些特點 決定了該子模塊的實現(xiàn)。Unicode遍歷目錄漏洞的掃描是對IIS服務器軟件的編碼機制存在的漏洞進行具體的探測。不同的測試漏洞的特 殊編碼加上命令后，被封裝在HTTP協(xié)議的請求中，向目標主機的80端口發(fā)送，并靠分析返回的狀態(tài)碼分

14、析這種編碼是否繞過了 IIS的 路徑檢查，可以執(zhí)行相應的命令了。在Unicode遍歷目錄漏洞探測子模塊的實現(xiàn)中，所采用的請求方法是GET方法。掃描模塊的流程掃描模塊在工作時，首先進行初始化，在初始化階段，主要是讀取所需的參數(shù)。比如從基本信息探測子模塊得到操作系統(tǒng)類型，由此來 決定在掃描中需要使用的漏洞庫；還有一些用戶自己配置的參數(shù)。除了讀取參數(shù)外，還要建立一些文件以供以后使用。初始化后，建立非阻塞socket并連接，然后根據(jù)得到的相關端口及對應的服務，來調(diào)用相應的漏洞掃描子模塊（包括CGI漏洞掃描子模 塊、POP漏洞掃描子模塊、FTP漏洞掃描子模塊、SSH漏洞掃描子模塊、HTTP漏洞掃描子模塊

15、、SMTP漏洞掃描子模塊和IMAP漏洞 掃描子模塊以及三種類型的入侵掃描子模塊），當所有的端口都已經(jīng)掃描完以后，調(diào)用后門掃描子模塊和其他漏洞掃描子模塊。由于這 兩個掃描子模塊并不是針對某一個端口或網(wǎng)絡服務的，所以沒有像其他的漏洞掃描子模塊一樣在端口掃描過程中被調(diào)用。但有一點是和 其他子模塊是一致的，即這兩個子模塊的調(diào)用形式也是通過創(chuàng)建子進程來完成的。3.5漏洞庫的建立一個網(wǎng)絡漏洞掃描系統(tǒng)的靈魂就是它所使用的系統(tǒng)漏洞庫，漏洞庫信息的完整性和有效性決定了掃描系統(tǒng)的功能，漏洞庫的編制方式?jīng)Q 定了匹配原則，以及漏洞庫的修訂、更新的性能，同時影響掃描系統(tǒng)的運行時間。設計原則通過比較分析和實驗分析，在漏洞

16、庫的設計中，我們遵循了以下幾條原則：從漏洞庫的簡易性、有效性出發(fā)，選擇以文本方式記錄漏洞。這樣易于用戶自己對漏洞庫進行添加配置。因此在我們提供漏 洞庫升級的基礎上，又多出了一條途徑更新漏洞庫，以保持漏洞庫的實時更新，也使得漏洞庫可以根據(jù)不同的實際環(huán)境而具 有相應的特色。對每個存在安全隱患的網(wǎng)絡服務建立對應的漏洞庫文件。一般情況下一個網(wǎng)絡服務對應兩個漏洞庫，一個是針對UNIX的漏 洞庫，另一個則是針對Windows NT/2000的漏洞庫。對漏洞危險性進行分級。這有助于系統(tǒng)管理員了解漏洞的危險性，從而決定所要采取的措施。提供漏洞危害性描述和建議的解決方案。有些掃描器，雖然掃描漏洞的功能強大，但不

17、提供詳細描述和解決方案（如著名的 掃描器ISS Internet Scanner）。這往往導致系統(tǒng)管理員對檢測出的漏洞沒有足夠的重視，或不了解它的危害也不知如何修補 漏洞而暫置一旁。因此，漏洞掃描器要真正發(fā)揮它的預警及預防的作用，真正成為系統(tǒng)管理員的有效助手，就應當提供對漏 洞的具體描述和有效的解決方案。漏洞分級原則在對黑客攻擊行為分析的基礎上，又借助了一些資深的系統(tǒng)管理員的經(jīng)驗，我們對漏洞進行了比較粗略的分級。將漏洞按其對目標主機 的危險程度分為三級，即A級、B級和C級。A級漏洞是允許惡意入侵者訪問并可能會破壞整個目標系統(tǒng)的漏洞，如允許遠程用戶未經(jīng) 授權(quán)訪問的漏洞。A級漏洞是威脅最大的一種漏

18、洞，大多數(shù)A級漏洞是由于較差的系統(tǒng)管理或配置有誤造成的。同時，幾乎可以在不同 的地方，在任意類型的遠程訪問軟件中都可以找到這樣的漏洞。如，F(xiàn)TP、gopher、Telnet、Sendmail、finger等一些網(wǎng)絡程序常存在一 些嚴重的A級漏洞。B級漏洞是允許本地用戶提高訪問權(quán)限，并可能允許其獲得系統(tǒng)控制的漏洞。例如允許本地用戶非法訪問的漏洞。 網(wǎng)絡上大多數(shù)B級漏洞是由應用程序中的一些缺陷或代碼錯誤引起的。Sendmail和Telnet都是典型的例子。此外，因編程缺陷或程序 設計語言的問題造成的緩沖區(qū)溢出問題也是一類典型的B級安全漏洞。C級漏洞是任何允許用戶中斷、降低或阻礙系統(tǒng)操作的漏洞，如

19、拒絕服務漏洞。最典型的一種拒絕服務攻擊是SYNFLOOD，即入侵者將大量的連接請求發(fā)往目標服務器，目標主機不得不處理這些半 開的SYN，然而并不能得到ACK回答，很快服務器將用完所有的內(nèi)存而掛起，任何用戶都不能再從服務器上獲得服務。綜上所述，對 網(wǎng)絡主機危害最嚴重的是A級漏洞，其次是B級漏洞，而C級漏洞是對系統(tǒng)正常工作進行干擾。漏洞庫的實現(xiàn)通過大量的多方收集，主要是對、 及中國綠色聯(lián)盟等反黑權(quán)威網(wǎng)站漏洞信息 進行分類整理，我們對存在漏洞的主要的網(wǎng)絡服務逐一建立了三級漏洞描述文件，作為各個漏洞掃描子模塊的訪問庫體。在每個漏洞庫文件中，每條漏洞信息占一行，行首用！標示漏洞級別，嘆號的個數(shù)代表漏洞危

20、險級別。A級危害以標示，B級以！標示，C級以！標示。接下來是漏洞的特征字符串，當特征字符串不止一個時，用一個不容易引起混淆的（）字符加以隔離。 漏洞形成的原因形形色色、不一而足，在我們設計開發(fā)的漏洞庫中，主要包含以下類型的漏洞：CGI腳本漏洞、POP3漏洞、FTP漏洞、 SSH漏洞、HTTP漏洞、SMTP漏洞、IMAP漏洞、后門漏洞、RPC漏洞、DNS漏洞等。下面我們將以CGI腳本漏洞和SMTP漏洞為 例來簡單說明漏洞庫的編制。（1）CGI腳本漏洞CGI腳本是實現(xiàn)Web交互功能的重要手段。Shell腳本、Perl程序和C可執(zhí)行程序是CGI腳本最常采用的形式。由于程序編寫上的疏 忽，很多CGI腳

21、本都存在漏洞，根據(jù)我們所收集的漏洞信息，CGI漏洞的危害主要有三種：緩沖區(qū)溢出攻擊這種攻擊實質(zhì)是不遵守規(guī)則、歪曲或違反頁面中建立的某個限制或約束。大部分CGI腳本是作為HTML表單的后臺運行的， 負責處理由用戶輸入的信息并提供某種定制的輸出。因為在這種情況下，大部分CGI腳本編寫時都等待某種特定格式的數(shù)據(jù)。 然而，黑客可以有許多方法繞過這些預定義的格式而給腳本發(fā)送一些看起來是隨機的數(shù)據(jù)。此時，由于CGI腳本可能在對輸 入數(shù)據(jù)的有效性的判定上存在不足，缺少全面的輸入驗證和凈化，導致攻擊者能夠?qū)⑻厥獾淖址捅镜叵到y(tǒng)命令結(jié)合起來， 作為參數(shù)輸入，從而使得Web服務器執(zhí)行該命令。例如：！/cgibin

22、/phf漏洞描述:Apache httpd服務器程序（1.0.3版本）的PHF腳本由于輸入驗證中遺失了對換行符（n，十六進制為0 x0a）的 檢查，從而可用于轉(zhuǎn)義腳本，誘騙Web服務器程序的本地語法運行該轉(zhuǎn)義符后的任何內(nèi)容。比如，如果受攻擊的Web服務 器程序的執(zhí)行用戶具有/etc/passwd文件的讀權(quán)限，那么以下URL將輸出該文件的內(nèi)容： /cgibin/phf?Qalias=x%0a/bin/cat%2 0/etc/passwd 解決方案：自行修改該腳本，加 入對n的檢驗，或者暫停使用該腳本。數(shù)據(jù)驗證型溢出攻擊由于CGI程序本身或程序調(diào)用的函數(shù)缺乏對用戶輸入數(shù)據(jù)的合法性檢查，未能濾除一些

23、特殊字符，使得入侵者可以通過構(gòu)造 請求來達到入侵的目的。比如，缺乏對./的過濾，可能導致入侵者讀取系統(tǒng)的任意文件。例如：！/shop.cgi漏洞描述:shop.cgi/shop.pl用于網(wǎng)上購物，支持SSL,包含多種驗證模塊，配置文件是shop.cfg。正常的請求顯示商品信息 的 URL 語法是： HYPERLINK /cgi-bin/shop.cgi/page=products.htm/SID=SHOPPING_ID_HERE%ef%bc%8c%e4%ba%8e%e6%98%af%e5%b8%a6 /cgi-bin/shop.cgi/page=products.htm/SID=SHOPPIN

24、G_ID_HERE，于是帶 有客戶信息的products.htm文件被顯示出來。$page變量的值是通過open()調(diào)用打開的，open()調(diào)用本身并沒有做任何輸入 /訪問驗證，也沒有任何邊界檢查，諸如： HYPERLINK /cgi-bin/shop.cgi/page=././././etc/passw%e3%80%82 /cgi-bin/shop.cgi/page=././././etc/passw。 這樣的URL請求是合法的，于是/etc/passwd就會被打開并顯示出來。解決方案：考慮利用正則表達式增加輸入驗證，過濾 諸如./和./ .之類的字符組合，也可以增加一個變量限制目錄遍歷深度

25、。結(jié)合這兩種技術(shù)，就可以限制來自潛在攻擊者的 任意目錄遍歷行為。3. 信息泄漏一些CGI程序所提供的功能自身違背安全性要求，如損害了信息的保密性，極易被入侵者利用。例如： ！/webpage.cgi漏洞描述：當URL請求的文件不存在時，webpage.cgi會向客戶端瀏覽器返回某些敏感信息，比如腳本所在路徑、HTTP根 目錄所在路徑、Perl版本、server_admin、server_name、PATH環(huán)境變量等。這就可以為進一步的攻擊做準備。解決方案： 在瀏覽器中禁止java applet。目前，大多數(shù)網(wǎng)站均使用免費的公共CGI腳本程序去驅(qū)動各自的Web服務，如此導致有缺陷 的CGI腳本在

26、Internet上泛濫開來。因此，對CGI腳本的安全性應高度重視。(2)SMTP 漏洞SMTP(Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議)是用來發(fā)送郵件的協(xié)議，其服務守護程序是Sendmail。Sendmail因為大而 復雜，配置又十分麻煩，所以一度曾是Unix上的漏洞最多的程序，著名的蠕蟲病毒就是利用Sendmail舊版本上的一個DEBUG命令的 漏洞而從一個系統(tǒng)傳播到另一個系統(tǒng)的。又如：利用ETRN命令可使Sendmail停止響應(即拒絕服務)。當Sendmail接收到ETRN命 令時，它將調(diào)用fork()。此時子進程將代替父進程發(fā)送響應輸出，而父進程將不再響應send()/write()錯誤。因此攻擊者可發(fā)送大量ETRN 命令，然后中斷連接，這會使父進程連續(xù)地調(diào)用fork()和sleep(5)，而無法恢復正常的響應。攻擊者利用這個漏洞可以產(chǎn)生大量的不可用Sendmail子