安全培训课件14_漏洞扫描技术.pptxVIP

漏洞扫描技术我们所面临的挑战一如既往的“威胁”和“脆弱性”0day漏洞QQ、迅雷、支付宝、暴风影音……Solaris、vista、adobe reader……病毒、蠕虫熊猫烧香、ANI光标病毒、ARP病毒、U盘病毒……什么是漏洞？漏洞计算机软件（包括CMOS固化指令、操作系统、应用程序）自身的固有缺陷或因使用不当造成的配置缺陷可利用漏洞MS06-040 MS08-067衍生品各类漏洞利用工具Metasploit蠕虫CodeRedSQL Slammer暴风影音0day漏洞暴风影音：国内知名的影音播放软件描述：该漏洞发生在暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。成因：暴风影音包含一个sparser.dll文件，此dll的一个导出函数在处理非法超长URL时发生栈溢出。案例：MS06-0408月8日8月9日-11日8月11日下午8月12日微软发布安全公告Nsfocus进行漏洞分析“魔波”蠕虫出现蠕虫爆发！！！通知漏洞netapi漏洞发布微软发布KB921883漏洞分析结果用于扫描器插件更新入侵检测系统规则更新蠕虫进入”孵化期”部分运营商反应ADSL用户出现断网现象蠕虫进入高发期全国陆续出现ADSL用户大面积断网报告CERT确认为蠕虫爆发Rating Definition ：CriticalA vulnerability whose exploitation could allow the propagation of an Internet worm without user action.案例：MS08-001漏洞编号（CVE）CVE-2007-0069CVE-2007-0066威胁平台Windows 2000 （中等、拒绝服务、SP4）Windows XP （严重、远程代码执行、SP2）Windows 2003 （中等、拒绝服务）罪魁祸首ICMPRDPIGMPIGMPv3（IPv4）MLDv2（IPv6）漏洞周期性不同平台下均曾出现 “轮回”现象Windows VistaSolaris 10补丁开发时间Sun拥有平均最慢的补丁开发时间：145天地下经济链条黑客职业化——网络犯罪产业化，逐渐有了与传统犯罪相结合的态势代表着所有的恶意行为在今后几年内的商业性，专业性和规模性将大幅增长以银行、证券、电子商务为目标的网络金融犯罪“网银大盗”、“证券大盗”钓鱼以网络游戏产业链为目标的入侵和讹诈盗窃游戏装备、点卡等DoS讹诈以其它虚拟资源为目标QQ号,源代码,盗窃充值卡网络黑社会逐渐形成DDoS雇佣军多行业存在不正当甚至恶性竞争为多种网络以及传统犯罪进行大规模的洗钱实现流程化的漏洞管理“五个”过程漏洞预警：获得权威漏洞信息漏洞检测：检测资产存在的漏洞风险管理：结合资产定位风险漏洞修复：补丁系统联动漏洞审计：确认漏洞风险“三个”思想流程化自动化开放性漏洞管理需求风险核查需求用户群国家测评认证、风险评估部门有确切风险检查制度的大企业相关检查部门涉密部门需求点漏洞验证“对应角度”的报告生成便携性漏洞管理需求（cont）漏洞管理需求用户群内网管理人员需求点快速发现网络中存在资产并快速定位风险存在情况，结合与内网补丁管理系统联动修补功能周期性扫描生成符合内部用户、领导或外部审计人员要求的报表部署漏洞管理系统的收益有效的减少严重安全漏洞对系统的危害对于大型网络，高速智能的扫描功能降低了漏洞检测的难度为管理层提供完整的给予安全漏洞的风险分布视图。与补丁系统的结合，形成安全管理闭环。漏洞扫描器分类端口扫描器Nmap检查主机端口、服务、版本漏洞扫描器Nessus、极光检测系统漏洞、配置错误Web应用扫描器Appscan、Webinspect检测Web应用数据提交、信息泄漏等问题扫描器应具备功能黑盒模式漏洞精确扫描状态扫描漏洞扫描（验证）弱口令扫描修补措施修补建议修补联动部署和管理分权管理多级部署常见扫描主要技术主机存活扫描技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描规避技术为到达规避防火墙和入侵检测设备的目的， ICMP协议提供网络间传送错误信息的功能也成为了主要的扫非常规描手段错误的数据分片：发送错误的分片（如某些分片丢失）通过超长包探测内部路由器：超过目标系统所在路由器的PMTU且设置禁止分片标志端口扫描技术端口的一些概念用以从网络层映射至进程0-1024为知名端口常见端口扫描技术TCP利用TCP报头的6个标志位扫描方式：SYN，ACK，FIN，NULL，