07system脆弱性剖析的技术.ppt

第 7 章 系统脆弱性分析技术 应对措施 在网站投入使用之前，应该通过“应用层安全检测”。 目前比较常见的有“Watchfire AppScan”、 “数据库弱点深度扫描器”、 “Web应用弱点深度扫描”、 “网上木马自动分析溯源器”等产品供检测使用。 * 《计算机网络与信息安全技术》教学课件 V08.08 * 基本内容 针对网络系统或网络应用的安全技术，本章首先从自我检查的角度入手，分析系统不安全的各种因素，采用工具检测并处理系统的各种脆弱性。 7.1 漏洞扫描概述 　　漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 　　标准化组织CVE（Common Vulnerabilities and Exposures, 即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。 7.1.1 漏洞的概念 信息安全的 “木桶理论” 　　对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。 7.1 漏洞扫描概述 7.1.2 漏洞的发现 　　一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。 　　每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。 　　通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文档。 　　网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有用的信息。 7.1 漏洞扫描概述 7.1.3 漏洞对系统的威胁 　　漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。 　　目前，因特网上已有3万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达上千种。 　　目前我国95％的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。漏洞可能影响一个单位或公司的生存问题。 7.1 漏洞扫描概述 7.1.4 漏洞扫描的必要性 帮助网管人员了解网络安全状况 对资产进行风险评估的依据 安全配置的第一步 向领导上报数据依据 7.2 系统脆弱性分析 信息系统存在着许多漏洞，这些漏洞来自于组成信息系统的各个方面。在前几章我们已陆续介绍了软硬件组件（组件脆弱性）存在的问题、网络和通信协议的不健全问题、网络攻击（特别是缓冲区溢出问题）等方面的内容，这里重点介绍协议分析和基于应用层的不安全代码或调用问题。 7.2 系统脆弱性分析 7.2.1 协议分析 1、DNS协议分析 域名服务器在Internet上具有举足轻重的作用，它负责在域名和IP地址之间进行转换。 域名服务系统是一个关于互联网上主机信息的分布式数据库，它将数据按照区域分段，并通过授权委托进行本地管理，使用客户机/服务器模式检索数据，并且通过复制和缓存机制提供进发和冗余性能。 域名服务系统包含域名服务器和解析器两个部分：域名服务器存储和管理授权区域内的域名数据，提供接口供客户机检索数据；解析器即客户机，向域名服务器递交查询请求，翻译域名服务器返回的结果并递交给高层应用程序，通常为操作系统提供的库函数之一。 域名查询采用UDP协议，而区域传输采用TCP协议。域名解析过程分为两种方式：递归模式和交互模式。 7.2 系统脆弱性分析 7.2.1 协议分析 1、DNS协议分析（续） 对DNS服务器的威胁 1）地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地方，达到修改域名指向的目的。 2）远程漏洞入侵。 3）拒绝服务。 保护DNS服务器的措施 1）使用最新版本的DNS服务器软件。 2）关闭递归查询和线索查找功能。 3）限制对DNS进行查询的IP地址。 4）限制对DNS进行递归查询的IP地址。 5）限制区域传输。 6）限制对BIND软件的版本信息进行查询。 7.2 系统脆弱性分析 7.2.