第4章 漏洞扫描.ppt

第四章 漏洞扫描 4.1 系统漏洞 漏洞的概念 漏洞也叫脆弱性(Vulnerability )，是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。 当程序遇到一个看似合理，但实际无法处理的问题时，而引发的不可预见的错误。 系统漏洞又称安全缺陷，一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。 4.1 系统漏洞 漏洞的概念 在计算机安全中，漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷，它能够被威胁利用，从而获得对信息的非授权访问或者破坏关键数据处理。 在计算机安全中，漏洞是指在物理层、组织、程序、人员、软件或硬件方面的缺陷，它能够被利用而导致对自动数据处理系统或行为的损害。漏洞的存在并不能导致损害，漏洞仅仅是可以被攻击者利用，对自动数据处理系统或行为进行破坏的条件。 在计算机安全中，漏洞是指系统中存在的任何不足或缺陷。不同于前面的两个定义，这个定义指出漏洞是在许多不同层次和角度下可以觉察得到的预期功能。按照这个定义，漏洞是对用户、管理员和设计者意愿的一种违背，特别是对这种违背是由外部对象触发的 4.1 系统漏洞 已知系统漏洞 LSASS相关漏洞 RPC接口相关漏洞 IE浏览器漏洞 URL处理漏洞 URL规范漏洞 FTP溢出系列漏洞 GDI+漏洞 4.2 漏洞扫描相关知识 漏洞扫描基本原理 漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。 漏洞扫描方法 在端口扫描后得知目标主机操作系统类型、开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在 通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞 4.2 漏洞扫描相关知识 漏洞扫描的分类 扫描对象分类 基于网络的扫描 从外部攻击者的角度对网络及系统架构进行的扫描，主要用于查找网络服务和协议中的漏洞。 可以及时获取网络漏洞信息，有效的发现那些网络服务和协议的漏洞，比如利用低版本的DNS Bind漏洞 能够监测到这些低版本的DNS Bind是否在运行。 一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。 4.2 漏洞扫描相关知识 漏洞扫描的分类 扫描对象分类 基于主机的扫描 从一个内部用户的角度来检测操作系统级的漏洞(主要用于检测注册表和用户配置中的漏洞。 通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。 优势在于它能直接获取主机操作系统的底层细节(如特殊服务和配置的细节等。其缺点在于只有控制了目标主机，并将检测工具安装在目标主机，才能实施正常的扫描活动。 4.2 漏洞扫描相关知识 漏洞扫描的分类 扫描方式分类 主动扫描 传统的扫描方式，拥有较长的发展历史 通过给目标主机发送特定的包并收集回应包来取得相关信息的，当然，无响应本身也是信息，它表明可能存在过滤设备将探测包或探测回应包过滤了。 优势在于通常能较快获取信息，准确性也比较高 缺点在于易于被发现，很难掩盖扫描痕迹；要成功实施主动扫描通常需要突破防火墙，但突破防火墙是很困难的 4.2 漏洞扫描相关知识 漏洞扫描的分类 扫描方式分类 被动扫描 通过监听网络包来取得信息。 由于被动扫描具有很多优点。近来倍受重视，其主要优点是对它的检测几乎是不可能的。 被动扫描一般只需要监听网络流量而不需要主动发送网络包，也不易受防火墙影响。 缺点在于速度较慢而且准确性较差，当目标不产生网络流量时，就无法得知目标的任何信息。 4.2 漏洞扫描相关知识 漏洞扫描器的组成 4.2 漏洞扫描相关知识 发送数据包机制 漏洞扫描是一种主动探测行为,需要根据漏洞的特征码来构造数据包并发送到目标主机。该机制的实现有两种:一种是建立正常的TCP/IP连接，构造数据段的内容。另外一种要求能够构造一些数据包的特殊字段，例如IP的分片标志和偏移量等等。 接收数据包机制 对于网络远程扫描，对方主机所回应的数据包就是评估漏洞的原始资料，快速准确地接收数据包是漏洞扫描的基本保证因素。除了通过正常的TCP/IP协议栈进行处理，另外还可能需要接收原始数据包，这是由于对不同的漏洞所要分析的数据包的层次是不相同的，例如需要查看端口号或者