《安全掃描技術(shù)》PPT課件.ppt

1、安全掃描技術(shù),10.1 安全威脅分析,10.1.1 入侵行為分析 怎樣才算是受到了黑客的入侵和攻擊呢？ 狹義的定義認為：攻擊僅僅發(fā)生在入侵行為完成且入侵者已經(jīng)在其目標網(wǎng)絡(luò)中。 廣義的定義認為：使網(wǎng)絡(luò)受到入侵和破壞的所有行為都應(yīng)被稱為“攻擊”。本書采用廣義的定義，即認為當(dāng)入侵者試圖在目標機上“工作”的那個時刻起，攻擊就已經(jīng)發(fā)生了。 下面我們從以下幾個方面對入侵行為進行分析： （1）入侵目的 執(zhí)行過程 獲取文件和數(shù)據(jù) 獲取超級用戶權(quán)限 進行非授權(quán)操作 使用系統(tǒng)拒絕服務(wù) 篡改信息 披露信息,（2）實施入侵的人員 偽裝者：未經(jīng)授權(quán)使用計算機者或者繞開系統(tǒng)訪問機制獲得合法用戶賬戶權(quán)限者。 違法者：未經(jīng)授

2、權(quán)訪問數(shù)據(jù)庫、程序或資源的合法用戶，或者是具有訪問權(quán)限錯誤使用其權(quán)利的用戶。 秘密用戶：擁有賬戶管理權(quán)限者，利用這種機制來逃避審計和訪問數(shù)據(jù)庫，或者禁止收集審計數(shù)據(jù)的用戶。 （3）入侵過程中的各個階段和各個階段的不同特點 窺探設(shè)施 顧名思義也就是對環(huán)境的了解，目的是要了解目標采用的是什么操作系統(tǒng)，哪些信息是公開的，有何價值等問題，這些問題的答案對入侵者以后將要發(fā)動的攻擊起著至關(guān)重要的作用。 攻擊系統(tǒng) 在窺探設(shè)施的工作完成后，入侵者將根據(jù)得到的信息對系統(tǒng)發(fā)動攻擊。攻擊系統(tǒng)分為對操作系統(tǒng)的攻擊、針對應(yīng)用軟件的攻擊和針對網(wǎng)絡(luò)的攻擊三個層次。 掩蓋蹤跡 入侵者會千方百計的避免自己被檢測出來。,10.1

3、.2 安全威脅分析,計算機面臨的安全威脅有來自計算機系統(tǒng)外部的，也有來自計算機系統(tǒng)內(nèi)部的。 來自計算機系統(tǒng)外部的威脅主要有： 自然災(zāi)害、意外事故； 計算機病毒 人為行為，比如使用不當(dāng)、安全意識差等； “黑客”行為：由于黑客的入侵或侵擾，比如非法訪問、拒絕服務(wù)、非法連接等； 內(nèi)部泄密 外部泄密 信息丟失 電子諜報，比如信息流量分析、信息竊取等； 信息戰(zhàn)；,計算機系統(tǒng)內(nèi)部存在的安全威脅主要有： 操作系統(tǒng)本身所存在的一些缺陷； 數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性； 管理員缺少安全方面的知識，缺少安全管理的技術(shù)規(guī)范，缺少定期的安全測試與檢查； 網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題； 應(yīng)用系統(tǒng)缺陷，

4、等等； 在此，我們關(guān)注的重點是來自計算機系統(tǒng)外部的黑客的攻擊和入侵。,攻擊的分類方法是多種多樣的。這里根據(jù)入侵者使用的方式和手段，將攻擊進行分類。 口令攻擊 抵抗入侵者的第一道防線是口令系統(tǒng)。幾乎所有的多用戶系統(tǒng)都要求用戶不但提供一個名字或標識符（ID），而且要提供一個口令?？诹钣脕龛b別一個注冊系統(tǒng)的個人ID。在實際系統(tǒng)中，入侵者總是試圖通過猜測或獲取口令文件等方式來獲得系統(tǒng)認證的口令，從而進入系統(tǒng)。入侵者登陸后，便可以查找系統(tǒng)的其他安全漏洞，來得到進一步的特權(quán)。為了避免入侵者輕易的猜測出口令，用戶應(yīng)避免使用不安全的口令。 有時候即使好的口令也是不夠的，尤其當(dāng)口令需要穿過不安全的網(wǎng)絡(luò)時將面臨極

5、大的危險。很多的網(wǎng)絡(luò)協(xié)議中是以明文的形式傳輸數(shù)據(jù)，如果攻擊者監(jiān)聽網(wǎng)絡(luò)中傳送的數(shù)據(jù)包，就可以得到口令。在這種情況下，一次性口令是有效的解決方法。,拒絕服務(wù)攻擊 拒絕服務(wù)站DOS (Denial of Services)使得目標系統(tǒng)無法提供正常的服務(wù)，從而可能給目標系統(tǒng)帶來重大的損失。值得關(guān)注的是，現(xiàn)實情況中破壞一個網(wǎng)絡(luò)或系統(tǒng)的運行往往比取得訪問權(quán)容易得多。像TCP/IP之類的網(wǎng)絡(luò)互聯(lián)協(xié)議是按照在彼此開放和信任的群體中使用來設(shè)計的，在現(xiàn)實環(huán)境中表現(xiàn)出這種理念的內(nèi)在缺陷。此外，許多操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧也存在缺陷，從而削弱了抵抗DOS攻擊的能力。 下面介紹4種常見的DOS攻擊類型及原理。 （

6、1）帶寬耗用（bandwidth-consumption）：其本質(zhì)是攻擊者消耗掉通達某個網(wǎng)絡(luò)的所有可用帶寬。 （2）資源耗竭（resource-starvation）：一般地說，它涉及諸如CPU利用率、內(nèi)存、文件系統(tǒng)限額和系統(tǒng)進程總數(shù)之類系統(tǒng)資源的消耗。 （3）編程缺陷（programming flaw）：是應(yīng)用程序、操作系統(tǒng)或嵌入式CPU在處理異常文件上的失敗。 （4）路由和DNS攻擊：基于路由的DOS攻擊涉及攻擊者操縱路由表項以拒絕對合法系統(tǒng)或網(wǎng)絡(luò)提供服務(wù)。,利用型攻擊 利用型攻擊是一種試圖直接對主機進行控制的攻擊。它有兩種主要的表現(xiàn)形式：特洛伊木馬和緩沖區(qū)溢出。 （1）特洛伊木馬：表面看

7、是有用的軟件工具，而實際上卻在啟動后暗中安裝破壞性的軟件。 （2）緩沖區(qū)溢出攻擊（Buffer Overflow）：通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行一段惡意代碼，以達到攻擊的目的。 信息收集型攻擊 信息收集型攻擊并不直接對目標系統(tǒng)本身造成危害，它是為進一步的入侵提供必須的信息，這種攻擊手段大部分在黑客入侵三部曲中的第一步窺探設(shè)施時使用。,假消息攻擊 攻擊者用配備不正確的消息來欺騙目標系統(tǒng)，以達到攻擊的目的。常見的假消息攻擊形式有以下幾種。 （1）電子郵件欺騙：對于大部分普通因特網(wǎng)用戶來說，電子郵件服務(wù)是他們使用的最多的網(wǎng)絡(luò)服務(wù)之一。常見

8、的通過電子郵件的攻擊方法有：隱藏發(fā)信人的身份，發(fā)送匿名或垃圾信件；使用用戶熟悉的人的電子郵件地址騙取用戶的信任；通過電子郵件執(zhí)行惡意的代碼。 （2）IP欺騙：IP欺騙的主要動機是隱藏自己的IP地址，防止被跟蹤。 （3）Web欺騙：由于Internet的開放性，任何用戶都可以建立自己的Web站點，同時并不是每個用戶都了解Web的運行規(guī)則。常見的Web欺騙的形式有：使用相似的域名；改寫 URL、Web會話挾持等。 （4）DNS欺騙：修改上一級DNS服務(wù)記錄，重定向DSN請求，使受害者獲得不正確的IP地址,安全掃描技術(shù)概論,安全掃描技術(shù)是指手工的或使用指定的軟件工具-安全掃描器，對系統(tǒng)脆弱點進行評估

9、，尋找對系統(tǒng)掃成損害的安全漏洞。 掃描可以分為系統(tǒng)掃描和網(wǎng)絡(luò)掃描兩個方面，系統(tǒng)掃描側(cè)重主機系統(tǒng)的平臺安全性以及基于此平臺的系統(tǒng)安全性，而網(wǎng)絡(luò)掃描則側(cè)重于系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)以及相關(guān)的協(xié)議分析。,掃描的目的,掃描的主要目的是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)存在的隱患，以利于己方及時修補或發(fā)動對敵方系統(tǒng)的攻擊。 同時，自動化的安全掃描器要對目標系統(tǒng)進行漏洞檢測和分析，提供詳細的漏洞描述，并針對安全漏洞提出修復(fù)建議和安全策略，生成完整的安全性分析報告，為網(wǎng)路管理完善系統(tǒng)提供重要依據(jù)。,安全掃描器的類型,安全掃描其主要有兩種類型： （1）本地掃描器或系統(tǒng)掃描器：掃描器和待檢系統(tǒng)運行于統(tǒng)一結(jié)點，進

10、行自身檢測。 （2）遠程掃描器或網(wǎng)絡(luò)掃描器：掃描器和待檢查系統(tǒng)運行于不同結(jié)點，通過網(wǎng)絡(luò)遠程探測目標結(jié)點，尋找安全漏洞。,（3）網(wǎng)絡(luò)掃描器通過網(wǎng)絡(luò)來測試主機安全性，它檢測主機當(dāng)前可用的服務(wù)及其開放端口，查找可能被遠程試圖惡意訪問者攻擊的大量眾所周知的漏洞，隱患及安全脆弱點。甚至許多掃描器封裝了簡單的密碼探測，可自設(shè)定規(guī)則的密碼生成器、后門自動安裝裝置以及其他一些常用的小東西，這樣的工具就可以稱為網(wǎng)絡(luò)掃描工具包,也就是完整的網(wǎng)絡(luò)主機安全評價工具比如鼻祖SATAN和國內(nèi)最負盛名的流光,(4).系統(tǒng)掃描器用于掃描本地主機，查找安全漏洞，查殺病毒，木馬，蠕蟲等危害系統(tǒng)安全的惡意程序，此類非本文重點，因此

11、不再祥細分析 (5).另外還有一種相對少見的數(shù)據(jù)庫掃描器，比如ISS公司的 Database Scanner，工作機制類似于網(wǎng)絡(luò)掃描器 ，主要用于檢測數(shù)據(jù)庫系統(tǒng)的安全漏洞及各種隱患。,掃描技術(shù)工具,信息收集是入侵及安全狀況分析的基礎(chǔ)，傳統(tǒng)地手工收集信息耗時費力，于是掃描工具出現(xiàn)了，它能依照程序設(shè)定自動探測及發(fā)掘規(guī)則內(nèi)的漏洞，是探測系統(tǒng)缺陷的安全工具。,掃描器主要功能,(1) 端口及服務(wù)檢測 檢測 目標主機上開放端口及運行的服務(wù)，并提示安全隱患的可能存在與否 (2) 后門程序檢測 檢測 PCANYWAY VNC BO2K 冰河等等遠程控制程序是否有存在于目標主機 (3) 密碼探測 檢測 操作系統(tǒng)

12、用戶密碼，F(xiàn)TP、POP3、Telnet等等登陸或管理密碼的脆弱性,(4) D.o.S探測 檢測 各種拒絕服務(wù)漏洞是否存在 (5)系統(tǒng)探測 檢測 系統(tǒng)信息比如NT 注冊表，用戶和組，網(wǎng)絡(luò)情況等 (6) 輸出報告 將檢測結(jié)果整理出清單報告給用戶，許多掃描器也會同時提出安全漏洞解決方案 (7) 用戶自定義接口 一些掃描器允許用戶自己添加掃描規(guī)則，并為用戶提供一個便利的接口，比如俄羅斯SSS的Base SDK,系統(tǒng)掃描如何提高系統(tǒng)安全性,安全掃描器可以通過兩種途徑提高系統(tǒng)安全性。 一是提前警告存在的漏洞，從而預(yù)防入侵和誤用 二是檢查系統(tǒng)中由于受到入侵或操作失誤而造成的新漏洞。,本地掃描器,本地掃描器

13、分析文件的內(nèi)容，查找可能存在的配置問題。由于本地掃描器實際上是運行于目標結(jié)點上的進程，具有以下幾個特點：,可以在系統(tǒng)上任意創(chuàng)建進程。為了運行某些程序，檢測緩沖區(qū)溢出攻擊，要求掃描器必須做到這一點。 可以檢查到安全補丁一級，以確保系統(tǒng)安裝了最新的安全解決補丁。 可以通過在本地查看系統(tǒng)配置文件，檢查系統(tǒng)的配置錯誤。,本地掃描器,對Unix系統(tǒng)，需要進行以下項目的檢查：,系統(tǒng)完整性檢查 關(guān)鍵系統(tǒng)文件變化檢測 用戶賬戶變化檢測 黑客入侵標記檢測 未知程序版本 不常見文件名 可疑設(shè)備文件 未經(jīng)授權(quán)服務(wù) 弱口令選擇檢測 有安全漏洞程序版本檢測 標記可被攻擊程序 報告需要安裝的安全補丁 檢查系統(tǒng)配置安全性

14、全局信任文件,crontab文件 rc系統(tǒng)啟動文件 文件系統(tǒng)mount權(quán)限 打印服務(wù) 賬戶配置 組配置 檢查網(wǎng)絡(luò)服務(wù)安全性 是否允許IP轉(zhuǎn)發(fā) 標記有風(fēng)險服務(wù) FTP配置 news服務(wù)器配置 NFS配置,本地掃描器,對Unix系統(tǒng)，需要進行以下項目的檢查：,本地掃描器,對Unix系統(tǒng)，需要進行以下項目的檢查：,郵件服務(wù)器配置 檢查用戶環(huán)境變量安全性 系統(tǒng)文件屬主 系統(tǒng)文件權(quán)限許可 文件屬主及權(quán)限許可 sell啟動文件 用戶信任文件 應(yīng)用程序配置文檔 其他,本地掃描器,對Windows NT/2000系統(tǒng)，還有一些特定的安全檢查項目,是否允許建立guest賬戶 guest賬戶有無口令 口令構(gòu)造和過

15、時原則 弱口令選擇 登陸失敗臨界值 注冊表權(quán)限許可 允許遠程注冊訪問 獨立的注冊設(shè)置 對系統(tǒng)文件和目錄不正確的分配許可權(quán) 非NT缺省配置的未知服務(wù) 運行易遭到攻擊的服務(wù)，如運行在Web服務(wù)器上的SMB服務(wù)等 帶有許可訪問控制設(shè)置的共享，可能給遠程用戶全部訪問權(quán) 其他,遠程掃描器,遠程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的 安全漏洞。遠程掃描器通過執(zhí)行一整套綜合的穿透測試程序集，發(fā)送精心構(gòu)造的數(shù)據(jù)包來檢測目標系統(tǒng)。被測系統(tǒng)和掃描器的操作系統(tǒng)可以是同一類型，也可以是不同類型的。,遠程掃描需要檢查的項目很多，這些項目又可以分為以下幾大類：,遠程掃描器,網(wǎng)絡(luò)端口掃描 系統(tǒng)信息搜集和偵查漏洞：可用于明確目標站點有

16、關(guān)信息 身份認證機制漏洞 拒絕服務(wù)攻擊 防火墻、包過濾及應(yīng)用程序代理漏洞 包過濾規(guī)則確認 WWW、HTTP和CGI漏洞 SMTP、POP、IMAP及郵件傳輸漏洞 FTP安全漏洞 NFS安全漏洞 RPC遠程過程調(diào)用服務(wù) 網(wǎng)絡(luò)協(xié)議欺騙 Windows NT網(wǎng)絡(luò)安全漏洞 Windows NT信息搜集和偵察 錯誤配置和系統(tǒng)后門、特洛伊木馬檢測 硬件外設(shè)安全漏洞：如打印機、路由器、交換機等設(shè)備 其他,安全掃描系統(tǒng)的選擇與注意事項, 升級問題 可擴充性 全面的解決方案 人員培訓(xùn),安全掃描技術(shù),也許有些計算機安全管理人員開始考慮購買一套安全掃描系統(tǒng)，那么，購買此類產(chǎn)品需要考慮哪些方面呢?,升級問題,由于當(dāng)今

17、應(yīng)用軟件功能日趨復(fù)雜化、軟件公司在編寫軟件時很少考慮安全性等等多種原因，網(wǎng)絡(luò)軟件漏洞層出不窮，這使優(yōu)秀的安全掃描系統(tǒng)必須有良好的可擴充性和迅速升級的能力。因此，在選擇產(chǎn)品時，首先要注意產(chǎn)品是否能直接從因特網(wǎng)升級、升級方法是否能夠被非專業(yè)人員掌握，同時要注意產(chǎn)品制造者有沒有足夠的技術(shù)力量來保證對新出現(xiàn)漏洞作出迅速的反應(yīng),可擴充性,對具有比較深厚的網(wǎng)絡(luò)知識，并且希望自己擴充產(chǎn)品功能的用戶來說，應(yīng)用了功能模塊或插件技術(shù)的產(chǎn)品應(yīng)該是首選。,全面的解決方案,前面已經(jīng)指出，網(wǎng)絡(luò)安全管理需要多種安全產(chǎn)品來實現(xiàn)，僅僅使用安全掃描系統(tǒng)是難以保證網(wǎng)絡(luò)的安全的。選擇安全掃描系統(tǒng)，要考慮產(chǎn)品制造商能否提供包括防火墻、

18、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等完整產(chǎn)品線的全面的解決方案。,人員培訓(xùn),前面已經(jīng)分析過，網(wǎng)絡(luò)安全中人是薄弱的一環(huán)，許多安全因素是與網(wǎng)絡(luò)用戶密切相關(guān)的，提高本網(wǎng)絡(luò)現(xiàn)有用戶、特別是網(wǎng)絡(luò)管理員的安全意識對提高網(wǎng)絡(luò)安全性能具有非同尋常的意義。因此，在選擇安全掃描產(chǎn)品時，要考慮制造商有無能力提供安全技術(shù)培訓(xùn)。,10.2.4安全掃描技術(shù)分析,掃描器工作過程,階段1：發(fā)現(xiàn)目標主機或網(wǎng)絡(luò) 階段2：進一步發(fā)現(xiàn)目標系統(tǒng)類型及配置等信息 階段3：測試哪些服務(wù)具有安全漏洞,掃描技術(shù),端口掃描技術(shù) 全開掃描（open scanning） 半全開掃描（half-open scanning ） 秘密掃描(stealth scanning) 區(qū)段掃描(sweeps scanning) 系統(tǒng)類型檢測技術(shù),端口掃描技術(shù),全開掃描（open scan, TCP connect）,3次TCP/IP握手過程建立標準TCP連接來檢查主機的相應(yīng)端口是否打開,優(yōu)點：快速，精確，不需要特殊用戶權(quán)限 缺點：不能進行地址欺騙并且非常容易被檢測到,Client SYN Server SYN/ACK Client ACK Server端口打開,Client SYN Server RST/ACK Clie