1、安全掃描技術1第1頁，共42頁。10.1 安全威脅分析10.1.1 入侵行為分析 怎樣才算是受到了黑客的入侵和攻擊呢？ 狹義的定義認為：攻擊僅僅發生在入侵行為完成且入侵者已經在其目標網絡中。 廣義的定義認為：使網絡受到入侵和破壞的所有行為都應被稱為“攻擊”。本書采用廣義的定義，即認為當入侵者試圖在目標機上“工作”的那個時刻起，攻擊就已經發生了。 下面我們從以下幾個方面對入侵行為進行分析：（1）入侵目的執行過程獲取文件和數據獲取超級用戶權限進行非授權操作使用系統拒絕服務篡改信息披露信息2第2頁，共42頁。（2）實施入侵的人員偽裝者：未經授權使用計算機者或者繞開系統訪問機制獲得合法用戶賬戶權限者。

2、違法者：未經授權訪問數據庫、程序或資源的合法用戶，或者是具有訪問權限錯誤使用其權利的用戶。秘密用戶：擁有賬戶管理權限者，利用這種機制來逃避審計和訪問數據庫，或者禁止收集審計數據的用戶。（3）入侵過程中的各個階段和各個階段的不同特點窺探設施 顧名思義也就是對環境的了解，目的是要了解目標采用的是什么操作系統，哪些信息是公開的，有何價值等問題，這些問題的答案對入侵者以后將要發動的攻擊起著至關重要的作用。攻擊系統 在窺探設施的工作完成后，入侵者將根據得到的信息對系統發動攻擊。攻擊系統分為對操作系統的攻擊、針對應用軟件的攻擊和針對網絡的攻擊三個層次。掩蓋蹤跡 入侵者會千方百計的避免自己被檢測出來。3第3

3、頁，共42頁。10.1.2 安全威脅分析 計算機面臨的安全威脅有來自計算機系統外部的，也有來自計算機系統內部的。來自計算機系統外部的威脅主要有：自然災害、意外事故；計算機病毒人為行為，比如使用不當、安全意識差等；“黑客”行為：由于黑客的入侵或侵擾，比如非法訪問、拒絕服務、非法連接等；內部泄密外部泄密信息丟失電子諜報，比如信息流量分析、信息竊取等；信息戰；4第4頁，共42頁。計算機系統內部存在的安全威脅主要有：操作系統本身所存在的一些缺陷；數據庫管理系統安全的脆弱性；管理員缺少安全方面的知識，缺少安全管理的技術規范，缺少定期的安全測試與檢查；網絡協議中的缺陷，例如TCP/IP協議的安全問題；應用

4、系統缺陷，等等；在此，我們關注的重點是來自計算機系統外部的黑客的攻擊和入侵。5第5頁，共42頁。 攻擊的分類方法是多種多樣的。這里根據入侵者使用的方式和手段，將攻擊進行分類。口令攻擊 抵抗入侵者的第一道防線是口令系統。幾乎所有的多用戶系統都要求用戶不但提供一個名字或標識符（ID），而且要提供一個口令。口令用來鑒別一個注冊系統的個人ID。在實際系統中，入侵者總是試圖通過猜測或獲取口令文件等方式來獲得系統認證的口令，從而進入系統。入侵者登陸后，便可以查找系統的其他安全漏洞，來得到進一步的特權。為了避免入侵者輕易的猜測出口令，用戶應避免使用不安全的口令。 有時候即使好的口令也是不夠的，尤其當口令需要

5、穿過不安全的網絡時將面臨極大的危險。很多的網絡協議中是以明文的形式傳輸數據，如果攻擊者監聽網絡中傳送的數據包，就可以得到口令。在這種情況下，一次性口令是有效的解決方法。6第6頁，共42頁。 拒絕服務攻擊 拒絕服務站DOS (Denial of Services)使得目標系統無法提供正常的服務，從而可能給目標系統帶來重大的損失。值得關注的是，現實情況中破壞一個網絡或系統的運行往往比取得訪問權容易得多。像TCP/IP之類的網絡互聯協議是按照在彼此開放和信任的群體中使用來設計的，在現實環境中表現出這種理念的內在缺陷。此外，許多操作系統和網絡設備的網絡協議棧也存在缺陷，從而削弱了抵抗DOS攻擊的能力。

6、下面介紹4種常見的DOS攻擊類型及原理。 （1）帶寬耗用（bandwidth-consumption）：其本質是攻擊者消耗掉通達某個網絡的所有可用帶寬。 （2）資源耗竭（resource-starvation）：一般地說，它涉及諸如CPU利用率、內存、文件系統限額和系統進程總數之類系統資源的消耗。 （3）編程缺陷（programming flaw）：是應用程序、操作系統或嵌入式CPU在處理異常文件上的失敗。 （4）路由和DNS攻擊：基于路由的DOS攻擊涉及攻擊者操縱路由表項以拒絕對合法系統或網絡提供服務。 7第7頁，共42頁。利用型攻擊 利用型攻擊是一種試圖直接對主機進行控制的攻擊。它有兩種主

7、要的表現形式：特洛伊木馬和緩沖區溢出。 （1）特洛伊木馬：表面看是有用的軟件工具，而實際上卻在啟動后暗中安裝破壞性的軟件。 （2）緩沖區溢出攻擊（Buffer Overflow）：通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行一段惡意代碼，以達到攻擊的目的。信息收集型攻擊 信息收集型攻擊并不直接對目標系統本身造成危害，它是為進一步的入侵提供必須的信息，這種攻擊手段大部分在黑客入侵三部曲中的第一步窺探設施時使用。 8第8頁，共42頁。假消息攻擊 攻擊者用配備不正確的消息來欺騙目標系統，以達到攻擊的目的。常見的假消息攻擊形式有以下幾種。 （1）電子郵件欺

8、騙：對于大部分普通因特網用戶來說，電子郵件服務是他們使用的最多的網絡服務之一。常見的通過電子郵件的攻擊方法有：隱藏發信人的身份，發送匿名或垃圾信件；使用用戶熟悉的人的電子郵件地址騙取用戶的信任；通過電子郵件執行惡意的代碼。 （2）IP欺騙：IP欺騙的主要動機是隱藏自己的IP地址，防止被跟蹤。 （3）Web欺騙：由于Internet的開放性，任何用戶都可以建立自己的Web站點，同時并不是每個用戶都了解Web的運行規則。常見的Web欺騙的形式有：使用相似的域名；改寫 URL、Web會話挾持等。 （4）DNS欺騙：修改上一級DNS服務記錄，重定向DSN請求，使受害者獲得不正確的IP地址9第9頁，共4

9、2頁。安全掃描技術概論安全掃描技術是指手工的或使用指定的軟件工具-安全掃描器，對系統脆弱點進行評估，尋找對系統掃成損害的安全漏洞。掃描可以分為系統掃描和網絡掃描兩個方面，系統掃描側重主機系統的平臺安全性以及基于此平臺的系統安全性，而網絡掃描則側重于系統提供的網絡應用和服務以及相關的協議分析。10第10頁，共42頁。掃描的目的掃描的主要目的是通過一定的手段和方法發現系統或網絡存在的隱患，以利于己方及時修補或發動對敵方系統的攻擊。同時，自動化的安全掃描器要對目標系統進行漏洞檢測和分析，提供詳細的漏洞描述，并針對安全漏洞提出修復建議和安全策略，生成完整的安全性分析報告，為網路管理完善系統提供重要依據

10、。11第11頁，共42頁。安全掃描器的類型安全掃描其主要有兩種類型：（1）本地掃描器或系統掃描器：掃描器和待檢系統運行于統一結點，進行自身檢測。（2）遠程掃描器或網絡掃描器：掃描器和待檢查系統運行于不同結點，通過網絡遠程探測目標結點，尋找安全漏洞。12第12頁，共42頁。（3）網絡掃描器通過網絡來測試主機安全性，它檢測主機當前可用的服務及其開放端口，查找可能被遠程試圖惡意訪問者攻擊的大量眾所周知的漏洞，隱患及安全脆弱點。甚至許多掃描器封裝了簡單的密碼探測，可自設定規則的密碼生成器、后門自動安裝裝置以及其他一些常用的小東西，這樣的工具就可以稱為網絡掃描工具包,也就是完整的網絡主機安全評價工具比如

11、鼻祖SATAN和國內最負盛名的流光13第13頁，共42頁。(4).系統掃描器用于掃描本地主機，查找安全漏洞，查殺病毒，木馬，蠕蟲等危害系統安全的惡意程序，此類非本文重點，因此不再祥細分析 (5).另外還有一種相對少見的數據庫掃描器，比如ISS公司的 Database Scanner，工作機制類似于網絡掃描器 ，主要用于檢測數據庫系統的安全漏洞及各種隱患。 14第14頁，共42頁。掃描技術工具信息收集是入侵及安全狀況分析的基礎，傳統地手工收集信息耗時費力，于是掃描工具出現了，它能依照程序設定自動探測及發掘規則內的漏洞，是探測系統缺陷的安全工具。15第15頁，共42頁。掃描器主要功能(1) 端口及

12、服務檢測 檢測 目標主機上開放端口及運行的服務，并提示安全隱患的可能存在與否 (2) 后門程序檢測 檢測 PCANYWAY VNC BO2K 冰河等等遠程控制程序是否有存在于目標主機 (3) 密碼探測 檢測 操作系統用戶密碼，FTP、POP3、Telnet等等登陸或管理密碼的脆弱性 16第16頁，共42頁。(4) D.o.S探測 檢測 各種拒絕服務漏洞是否存在 (5)系統探測 檢測 系統信息比如NT 注冊表，用戶和組，網絡情況等 (6) 輸出報告 將檢測結果整理出清單報告給用戶，許多掃描器也會同時提出安全漏洞解決方案 (7) 用戶自定義接口 一些掃描器允許用戶自己添加掃描規則，并為用戶提供一個

13、便利的接口，比如俄羅斯SSS的Base SDK 17第17頁，共42頁。系統掃描如何提高系統安全性安全掃描器可以通過兩種途徑提高系統安全性。一是提前警告存在的漏洞，從而預防入侵和誤用二是檢查系統中由于受到入侵或操作失誤而造成的新漏洞。18第18頁，共42頁。本地掃描器 本地掃描器分析文件的內容，查找可能存在的配置問題。由于本地掃描器實際上是運行于目標結點上的進程，具有以下幾個特點： 可以在系統上任意創建進程。為了運行某些程序，檢測緩沖區溢出攻擊，要求掃描器必須做到這一點。可以檢查到安全補丁一級，以確保系統安裝了最新的安全解決補丁。可以通過在本地查看系統配置文件，檢查系統的配置錯誤。19第19頁

14、，共42頁。本地掃描器對Unix系統，需要進行以下項目的檢查：系統完整性檢查關鍵系統文件變化檢測用戶賬戶變化檢測黑客入侵標記檢測未知程序版本不常見文件名可疑設備文件未經授權服務弱口令選擇檢測有安全漏洞程序版本檢測標記可被攻擊程序報告需要安裝的安全補丁檢查系統配置安全性全局信任文件20第20頁，共42頁。crontab文件rc系統啟動文件文件系統mount權限打印服務賬戶配置組配置檢查網絡服務安全性是否允許IP轉發標記有風險服務FTP配置news服務器配置NFS配置本地掃描器對Unix系統，需要進行以下項目的檢查：21第21頁，共42頁。本地掃描器對Unix系統，需要進行以下項目的檢查：郵件服務

15、器配置檢查用戶環境變量安全性系統文件屬主系統文件權限許可文件屬主及權限許可sell啟動文件用戶信任文件應用程序配置文檔其他22第22頁，共42頁。本地掃描器對Windows NT/2000系統，還有一些特定的安全檢查項目是否允許建立guest賬戶guest賬戶有無口令口令構造和過時原則弱口令選擇登陸失敗臨界值注冊表權限許可允許遠程注冊訪問獨立的注冊設置對系統文件和目錄不正確的分配許可權非NT缺省配置的未知服務運行易遭到攻擊的服務，如運行在Web服務器上的SMB服務等帶有許可訪問控制設置的共享，可能給遠程用戶全部訪問權其他23第23頁，共42頁。遠程掃描器 遠程掃描器檢查網絡和分布式系統的 安全

16、漏洞。遠程掃描器通過執行一整套綜合的穿透測試程序集，發送精心構造的數據包來檢測目標系統。被測系統和掃描器的操作系統可以是同一類型，也可以是不同類型的。24第24頁，共42頁。 遠程掃描需要檢查的項目很多，這些項目又可以分為以下幾大類：遠程掃描器25第25頁，共42頁。安全掃描系統的選擇與注意事項 升級問題 可擴充性 全面的解決方案 人員培訓 26第26頁，共42頁。安全掃描技術也許有些計算機安全管理人員開始考慮購買一套安全掃描系統，那么，購買此類產品需要考慮哪些方面呢? 27第27頁，共42頁。升級問題 由于當今應用軟件功能日趨復雜化、軟件公司在編寫軟件時很少考慮安全性等等多種原因，網絡軟件漏

17、洞層出不窮，這使優秀的安全掃描系統必須有良好的可擴充性和迅速升級的能力。因此，在選擇產品時，首先要注意產品是否能直接從因特網升級、升級方法是否能夠被非專業人員掌握，同時要注意產品制造者有沒有足夠的技術力量來保證對新出現漏洞作出迅速的反應 28第28頁，共42頁。可擴充性 對具有比較深厚的網絡知識，并且希望自己擴充產品功能的用戶來說，應用了功能模塊或插件技術的產品應該是首選。 29第29頁，共42頁。全面的解決方案 前面已經指出，網絡安全管理需要多種安全產品來實現，僅僅使用安全掃描系統是難以保證網絡的安全的。選擇安全掃描系統，要考慮產品制造商能否提供包括防火墻、網絡監控系統等完整產品線的全面的解

18、決方案。 30第30頁，共42頁。人員培訓 前面已經分析過，網絡安全中人是薄弱的一環，許多安全因素是與網絡用戶密切相關的，提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。因此，在選擇安全掃描產品時，要考慮制造商有無能力提供安全技術培訓。 31第31頁，共42頁。10.2.4安全掃描技術分析32第32頁，共42頁。掃描器工作過程階段1：發現目標主機或網絡階段2：進一步發現目標系統類型及配置等信息階段3：測試哪些服務具有安全漏洞33第33頁，共42頁。掃描技術端口掃描技術 全開掃描（open scanning） 半全開掃描（half-open scanning

19、） 秘密掃描(stealth scanning) 區段掃描(sweeps scanning)系統類型檢測技術34第34頁，共42頁。端口掃描技術掃描類型全開掃描TCP connect反向 ident其他UDP/ICMPerrorFTP bounce半開掃描SYN flagIP ID header“dumb scan”秘密掃描SYN/ACKflagACK flagsNULL flagsALL flags(XMAS)TCP 分片FIN flag區段掃描TCP echoUDP echoTCP ACKTCP SYNICMP echo35第35頁，共42頁。全開掃描（open scan, TCP connect）3次TCP/IP握手過程建立標準TCP連接來檢查主機的相應端口是否打開優點：快速，精確，不需要特殊用戶權限缺點：不能進行地址欺騙并且非常容易被檢測到Client SYNServer SYN/ACKClient ACK Server端口打開Client SYNServer RST/ACKClient RST Server端口沒有打開36第36頁，共42頁。SYN 掃