第10章-安全扫描技术优秀PPT.ppt

《第10章-安全扫描技术优秀PPT.ppt》由会员分享，可在线阅读，更多相关《第10章-安全扫描技术优秀PPT.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、10.1 平安威逼分析10.1.1入侵行为分析怎样才算是受到了黑客的入侵和攻击呢？狭义的定义认为：攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。广义的定义认为：使网络受到入侵和破坏的全部行为都应被称为“攻击”。本书接受广义的定义，即认为当入侵者试图在目标机上“工作”的那个时刻起，攻击就已经发生了。下面我们从以下几个方面对入侵行为进行分析：（1）入侵目的执行过程获得文件和数据获得超级用户权限进行非授权操作运用系统拒绝服务篡改信息披露信息（2）实施入侵的人员伪装者：未经授权运用计算机者或者绕开系统访问机制获得合法用户账户权限者。违法者：未经授权访问数据库、程序或资源的合法用户，或者是具有访

2、问权限错误运用其权利的用户。隐私用户：拥有账户管理权限者，利用这种机制来躲避审计和访问数据库，或者禁止收集审计数据的用户。（3）入侵过程中的各个阶段和各个阶段的不同特点窥探设施顾名思义也就是对环境的了解，目的是要了解目标接受的是什么操作系统，哪些信息是公开的，有何价值等问题，这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。攻击系统在窥探设施的工作完成后，入侵者将依据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。掩盖踪迹入侵者会想方设法的避开自己被检测出来。10.1.2 平安威逼分析计算机面临的平安威逼有来自计算机系统外部的，也有

3、来自计算机系统内部的。来自计算机系统外部的威逼主要有：自然灾难、意外事故；计算机病毒人为行为，比如运用不当、平安意识差等；“黑客”行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务、非法连接等；内部泄密外部泄密信息丢失电子谍报，比如信息流量分析、信息窃取等；信息战；计算机系统内部存在的平安威逼主要有：操作系统本身所存在的一些缺陷；数据库管理系统平安的脆弱性；管理员缺少平安方面的学问，缺少平安管理的技术规范，缺少定期的平安测试与检查；网络协议中的缺陷，例如TCP/IP协议的平安问题；应用系统缺陷，等等；在此，我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。攻击的分类方法是多种多样的。这里依

4、据入侵者运用的方式和手段，将攻击进行分类。口令攻击反抗入侵者的第一道防线是口令系统。几乎全部的多用户系统都要求用户不但供应一个名字或标识符（ID），而且要供应一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中，入侵者总是试图通过揣测或获得口令文件等方式来获得系统认证的口令，从而进入系统。入侵者登陆后，便可以查找系统的其他平安漏洞，来得到进一步的特权。为了避开入侵者轻易的揣测出口令，用户应避开运用担忧全的口令。有时候即使好的口令也是不够的，尤其当口令须要穿过担忧全的网络时将面临极大的危急。很多的网络协议中是以明文的形式传输数据，假如攻击者监听网络中传送的数据包，就可以得到口令。在这种状况

5、下，一次性口令是有效的解决方法。l拒绝服务攻击l拒绝服务站DOS(DenialofServices)使得目标系统无法供应正常的服务，从而可能给目标系统带来重大的损失。值得关注的是，现实状况中破坏一个网络或系统的运行往往比取得访问权简洁得多。像TCP/IP之类的网络互联协议是依据在彼此开放和信任的群体中运用来设计的，在现实环境中表现出这种理念的内在缺陷。此外，很多操作系统和网络设备的网络协议栈也存在缺陷，从而减弱了反抗DOS攻击的实力。l下面介绍4种常见的DOS攻击类型及原理。l（1）带宽耗用（bandwidth-consumption）：其本质是攻击者消耗掉通达某个网络的全部可用带宽。l（2）

6、资源耗竭（resource-starvation）：一般地说，它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。l（3）编程缺陷（programmingflaw）：是应用程序、操作系统或嵌入式CPU在处理异样文件上的失败。l（4）路由和DNS攻击：基于路由的DOS攻击涉及攻击者操纵路由表项以拒确定合法系统或网络供应服务。l利用型攻击l利用型攻击是一种试图干脆对主机进行限制的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出。l（1）特洛伊木马：表面看是有用的软件工具，而事实上却在启动后暗中安装破坏性的软件。l（2）缓冲区溢出攻击（BufferOverflow）：通过

7、往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行一段恶意代码，以达到攻击的目的。l信息收集型攻击l信息收集型攻击并不干脆对目标系统本身造成危害，它是为进一步的入侵供应必需的信息，这种攻击手段大部分在黑客入侵三部曲中的第一步窥探设施时运用。ll假消息攻击l攻击者用配备不正确的消息来欺瞒目标系统，以达到攻击的目的。常见的假消息攻击形式有以下几种。l（1）电子邮件欺瞒：对于大部分一般因特网用户来说，电子邮件服务是他们运用的最多的网络服务之一。常见的通过电子邮件的攻击方法有：隐藏发信人的身份，发送匿名或垃圾信件；运用用户熟悉的人的电子邮件地址骗取用户的信任；通过电

8、子邮件执行恶意的代码。l（2）IP欺瞒：IP欺瞒的主要动机是隐藏自己的IP地址，防止被跟踪。l（3）Web欺瞒：由于Internet的开放性，任何用户都可以建立自己的Web站点，同时并不是每个用户都了解Web的运行规则。常见的Web欺瞒的形式有：运用相像的域名；改写URL、Web会话挟持等。l（4）DNS欺瞒：修改上一级DNS服务记录，重定向DSN恳求，使受害者获得不正确的IP地址平安扫描技术概论n n平安扫描技术是指手工的或运用指定的软件工具-平安扫描器，对系统脆弱点进行评估，找寻对系统扫成损害的平安漏洞。n n扫描可以分为系统扫描和网络扫描两个方面，系统扫描侧重主机系统的平台平安性以及基于

9、此平台的系统平安性，而网络扫描则侧重于系统供应的网络应用和服务以及相关的协议分析。扫描的目的n n扫描的主要目的是通过确定的手段和方法发觉系统或网络存在的隐患，以利于己方刚好修补或发动对敌方系统的攻击。n n同时，自动化的平安扫描器要对目标系统进行漏洞检测和分析，供应具体的漏洞描述，并针对平安漏洞提出修复建议和平安策略，生成完整的平安性分析报告，为网路管理完善系统供应重要依据。平安扫描器的类型平安扫描其主要有两种类型：（1）本地扫描器或系统扫描器：扫描器和待检系统运行于统一结点，进行自身检测。（2）远程扫描器或网络扫描器：扫描器和待检查系统运行于不同结点，通过网络远程探测目标结点，找寻平安漏洞

10、。（3）网络扫描器通过网络来测试主机平安性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞，隐患及平安脆弱点。甚至很多扫描器封装了简洁的密码探测，可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西，这样的工具就可以称为网络扫描工具包,也就是完整的网络主机平安评价工具比如鼻祖SATAN和国内最负盛名的流光(4).系统扫描器用于扫描本地主机，查找平安漏洞，查杀病毒，木马，蠕虫等危害系统平安的恶意程序，此类非本文重点，因此不再祥细分析(5).另外还有一种相对少见的数据库扫描器，比如ISS公司的 Database Scanner，工作机制类似

11、于网络扫描器，主要用于检测数据库系统的平安漏洞及各种隐患。扫描技术工具n n信息收集是入侵及平安状况分析的基础，传统地手工收集信息收集是入侵及平安状况分析的基础，传统地手工收集信息耗时费劲，于是扫描工具出现了，它能依照程序设定信息耗时费劲，于是扫描工具出现了，它能依照程序设定自动探测及发掘规则内的漏洞，是探测系统缺陷的平安工自动探测及发掘规则内的漏洞，是探测系统缺陷的平安工具。具。扫描器主要功能n n(1)端口及服务检测检测目标主机上开放端口及运行的服务，并提示平安隐患的可能存在与否n n(2)后门程序检测检测PCANYWAYVNCBO2K冰河等等远程限制程序是否有存在于目标主机n n(3)密

12、码探测检测操作系统用户密码，FTP、POP3、Telnet等等登陆或管理密码的脆弱性n n(4)D.o.S探测检测各种拒绝服务漏洞是否存在n n(5)系统探测检测系统信息比如NT注册表，用户和组，网络状况等n n(6)输出报告将检测结果整理出清单报告给用户，很多扫描器也会同时提出平安漏洞解决方案n n(7)用户自定义接口一些扫描器允许用户自己添加扫描规则，并为用户供应一个便利的接口，比如俄罗斯SSS的BaseSDK系统扫描如何提高系统平安性n n平安扫描器可以通过两种途径提高系统平安性。n n一是提前警告存在的漏洞，从而预防入侵和误用n n二是检查系统中由于受到入侵或操作失误而造成的新漏洞。本

13、地扫描器本地扫描器分析文件的内容，查找可能存在的配本地扫描器分析文件的内容，查找可能存在的配置问题。由于本地扫描器事实上是运行于目标结置问题。由于本地扫描器事实上是运行于目标结点上的进程，具有以下几个特点：点上的进程，具有以下几个特点：l可以在系统上随意创建进程。为了运行某些程序，检测缓冲区溢出攻击，要求扫描器必需做到这一点。l可以检查到平安补丁一级，以确保系统安装了最新的平安解决补丁。l可以通过在本地查看系统配置文件，检查系统的配置错误。本地扫描器对Unix系统，须要进行以下项目的检查：系统完整性检查关键系统文件变更检测用户账户变更检测黑客入侵标记检测未知程序版本不常见文件名可疑设备文件未经

14、授权服务弱口令选择检测有平安漏洞程序版本检测标记可被攻击程序报告须要安装的平安补丁检查系统配置平安性全局信任文件crontabcrontab文件文件rcrc系统启动文件系统启动文件文件系统文件系统mountmount权限权限打印服务打印服务账户配置账户配置组配置组配置检查网络服务平安性检查网络服务平安性是否允许是否允许IPIP转发转发标记有风险服务标记有风险服务FTPFTP配置配置newsnews服务器配置服务器配置NFSNFS配置配置本地扫描器对Unix系统，须要进行以下项目的检查：本地扫描器对Unix系统，须要进行以下项目的检查：邮件服务器配置检查用户环境变量平安性系统文件属主系统文件权限

15、许可文件属主及权限许可sell启动文件用户信任文件应用程序配置文档其他本地扫描器对Windows NT/2000系统，还有一些特定的平安检查项目是否允许建立guest账户guest账户有无口令口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问独立的注册设置对系统文件和书目不正确的安排许可权非NT缺省配置的未知服务运行易遭到攻击的服务，如运行在Web服务器上的SMB服务等带有许可访问限制设置的共享，可能给远程用户全部访问权其他远程扫描器远程扫描器检查网络和分布式系统的平安漏洞。远程扫描器通过执行一整套综合的穿透测试程序集，发送细心构造的数据包来检测目标系统。被测系统和扫描器

16、的操作系统可以是同一类型，也可以是不同类型的。远程扫描须要检查的项目很多，这些项目又可以分为以下几大类：远程扫描器l网络端口扫描l系统信息搜集和侦查漏洞：可用于明确目标站点有关信息l身份认证机制漏洞l拒绝服务攻击l防火墙、包过滤及应用程序代理漏洞l包过滤规则确认lWWW、HTTP和CGI漏洞lSMTP、POP、IMAP及邮件传输漏洞lFTP平安漏洞lNFS平安漏洞lRPC远程过程调用服务l网络协议欺瞒lWindows NT网络平安漏洞lWindows NT信息搜集和侦察l错误配置和系统后门、特洛伊木马检测l硬件外设平安漏洞：如打印机、路由器、交换机等设备l其他平安扫描系统的选择与留意事项 升级

17、问题升级问题 可扩充性可扩充性 全面的解决方案全面的解决方案 人员培训人员培训人员培训人员培训 平安扫描技术或许有些计算或许有些计算机平安管理人机平安管理人员起先考虑购员起先考虑购买一套平安扫买一套平安扫描系统，那么，描系统，那么，购买此类产品购买此类产品须要考虑哪些须要考虑哪些方面呢方面呢?升级问题升级问题 n n由于当今应用软件功能日趋困难化、软件由于当今应用软件功能日趋困难化、软件公司在编写软件时很少考虑平安性等等多公司在编写软件时很少考虑平安性等等多种缘由，网络软件漏洞层出不穷，这使优种缘由，网络软件漏洞层出不穷，这使优秀的平安扫描系统必需有良好的可扩充性秀的平安扫描系统必需有良好的可

18、扩充性和快速升级的实力。因此，在选择产品时，和快速升级的实力。因此，在选择产品时，首先要留意产品是否能干脆从因特网升级、首先要留意产品是否能干脆从因特网升级、升级方法是否能够被非专业人员驾驭，同升级方法是否能够被非专业人员驾驭，同时要留意产品制造者有没有足够的技术力时要留意产品制造者有没有足够的技术力气来保证对新出现漏洞作出快速的反应气来保证对新出现漏洞作出快速的反应 可扩充性可扩充性 n n对具有比较深厚的网络学问，并且希望自己对具有比较深厚的网络学问，并且希望自己对具有比较深厚的网络学问，并且希望自己对具有比较深厚的网络学问，并且希望自己扩充产品功能的用户来说，应用了功能模扩充产品功能的用

19、户来说，应用了功能模扩充产品功能的用户来说，应用了功能模扩充产品功能的用户来说，应用了功能模块或插件技术的产品应当是首选。块或插件技术的产品应当是首选。块或插件技术的产品应当是首选。块或插件技术的产品应当是首选。全面的解决方案全面的解决方案 n n前面已经指出，网络平安管理须要多种平前面已经指出，网络平安管理须要多种平安产品来实现，仅仅运用平安扫描系统是安产品来实现，仅仅运用平安扫描系统是难以保证网络的平安的。选择平安扫描系难以保证网络的平安的。选择平安扫描系统，要考虑产品制造商能否供应包括防火统，要考虑产品制造商能否供应包括防火墙、网络监控系统等完整产品线的全面的墙、网络监控系统等完整产品线

20、的全面的解决方案。解决方案。人员培训人员培训 n n前面已经分析过，网络平安中人是薄弱的前面已经分析过，网络平安中人是薄弱的一环，很多平安因素是与网络用户亲密相一环，很多平安因素是与网络用户亲密相关的，提高本网络现有用户、特殊是网络关的，提高本网络现有用户、特殊是网络管理员的平安意识对提高网络平安性能具管理员的平安意识对提高网络平安性能具有非同寻常的意义。因此，在选择平安扫有非同寻常的意义。因此，在选择平安扫描产品时，要考虑制造商有无实力供应平描产品时，要考虑制造商有无实力供应平安技术培训。安技术培训。10.2.4平安扫描技术分析扫描器工作过程n n阶段阶段1 1：发觉目标主机：发觉目标主机或

21、网络或网络n n阶段阶段2 2：进一步发觉目：进一步发觉目标系统类型及配置等标系统类型及配置等信息信息n n阶段阶段3 3：测试哪些服务：测试哪些服务具有平安漏洞具有平安漏洞扫描技术n n端口扫描技术n n全开扫描（openscanning）n n半全开扫描（half-openscanning）n n隐私扫描(stealthscanning)n n区段扫描(sweepsscanning)n n系统类型检测技术端口扫描技术全开扫描（open scan,TCP connect）3次TCP/IP握手过程建立标准TCP连接来检查主机的相应端口是否打开优点：快速，精确，不须要特殊用户权限缺点：不能进行地

22、址欺瞒并且特别简洁被检测到ClientSYNServer SYN/ACKClientACK Server端口打开ClientSYNServer RST/ACKClientRST Server端口没有打开SYN 扫描n nClientSYNn nServerSYN/ACKn nClientRST端口开ClientSYNServer RST/ACK 关闭端口优点：快速，可绕开基本的IDS，避开了TCP3次握手缺点：须要超级拥护权限，IDS系统可能阻挡大量的SYN扫描，造成误报SYN/ACK 扫描n n设置单独的标记位（如ACK，FIN，RST等）n nNULL标记位（不设立任何标记位）n nALL标记位（设立全部标记位）n n绕开过滤规则，防火墙，路由器n n表现为偶然的网络数据流n n变更的数据包发散率SYN/ACK 扫描优点：快速，可绕开基本的IDS，避开了3TCP3次握手缺点：须要超级用户权限，不行靠Client可以揣测server端口是否打开ClientSYN/ACKServerRST此通常说明server关闭，但是揣测打开不行靠系统类型检测技术n n利用系统旗标利用系统旗标n n利用利用DNSDNS信息信息n n利用利用TCP/IPTCP/IP堆栈指纹堆栈指纹