第5-2讲 漏洞检测技术.ppt.pptVIP

计算机网络技术 信息安全技术 第 5 讲 安全检测技术 5.1 入侵检测技术与网络入侵检测系统产品 5.2 漏洞检测技术和微软系统漏洞检测工具MBSA 第 5 讲 安全检测技术 就网络信息系统的安全而言，仅有事后追查或实时报警功能是不够的，还需要具备系统安全漏洞检测能力的事先检查型安全工具。 第 5 讲 安全检测技术 系统漏洞检测又称漏洞扫描，就是对网络信息系统进行检查，主动发现其中可被攻击者利用的漏洞。不管攻击者是从外部还是从内部攻击某一网络系统，一般都会利用该系统已知的漏洞。因此，漏洞扫描技术应该用在攻击者入侵和攻击网络系统之前。 第 5 讲 安全检测技术 1. 入侵攻击可利用的系统漏洞类型 入侵者常常从收集、发现和利用信息系统的漏洞来发起对系统的攻击。不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同，大致上可以分为3类 第 5 讲 安全检测技术 网络传输和协议的漏洞 系统的漏洞 管理的漏洞 第 5 讲 安全检测技术 (1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信任以及网络传输过程本身所存在的漏洞进入系统。 第 5 讲 安全检测技术 (1) 网络传输和协议的漏洞 例如，IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS协议的信任；而网络嗅探器则利用了网络信息明文传送的弱点。 第 5 讲 安全检测技术 另外，攻击者还可利用协议的特性进行攻击，例如，对TCP序列号的攻击等。攻击者还可以设法避开认证过程，或通过假冒 (如源地址) 而混过认证过程。 第 5 讲 安全检测技术 例如，有的认证功能是通过主机地址来做认证的，一个用户通过认证，则这个机器上的所有用户就都通过了认证。此外，DNS、WHOIS、FINGER等服务也会泄露出许多对攻击者有用的信息，例如，用户地址、电话号码等。 第 5 讲 安全检测技术 (2) 系统的漏洞 攻击者可以利用服务进程的BUG和配置错误进行攻击，任何提供服务的主机都有可能存在这样的漏洞，它们常被攻击者用来获取对系统的访问权。 第 5 讲 安全检测技术 (2) 系统的漏洞 由于软件的BUG不可避免，这就为攻击者提供了各种机会。另外，软件实现者为自己留下的后门 (和陷门) ，也为攻击者提供了机会。 第 5 讲 安全检测技术 系统内部的程序也存在许多BUG，因此，存在着入侵者利用程序中的BUG来获取特权用户权限的可能。 第 5 讲 安全检测技术 窃取系统中的口令是最简单和直截了当的攻击方法，因而对系统口令文件的保护方式也在不断的改进。口令文件从明文 (隐藏口令文件) 改进成密文，又改进成使用阴影 (Shadow) 的方式。 第 5 讲 安全检测技术 口令攻击的主要方式及防护手段 如果口令攻击成功黑客进入了目标网络系统，他就能够随心所欲地窃取、破坏和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。 第 5 讲 安全检测技术 口令攻击的主要方法:有9种 1、社会工程学(Social Engineering)，通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。 避免此类攻击的对策是加强用户意识。 第 5 讲 安全检测技术 2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。 第 5 讲 安全检测技术 3、字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。 第 5 讲 安全检测技术 据有的传媒报导，对于一个有8万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。 第 5 讲 安全检测技术 4、穷举攻击。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。 第 5 讲 安全检测技术 5、混合攻击:结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击。 避免以上2--5四类攻击的对策是加强口令策略。 第 5 讲 安全检测技术 6、直接破解系统口令文件。所有的攻击都不能够奏效，入侵者会寻找目标主机的安全漏洞和薄弱环节，伺机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。 第 5 讲 安全检测技术 7、网络嗅探(Sniffer): 通过嗅探器在局域