安全扫描技术优秀课件.ppt

《安全扫描技术优秀课件.ppt》由会员分享，可在线阅读，更多相关《安全扫描技术优秀课件.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全扫描技术第1页，本讲稿共41页10.1安全威胁分析10.1.1入侵行为分析怎样才算是受到了黑客的入侵和攻击呢？狭义的定义认为：攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。广义的定义认为：使网络受到入侵和破坏的所有行为都应被称为“攻击”。本书采用广义的定义，即认为当入侵者试图在目标机上“工作”的那个时刻起，攻击就已经发生了。下面我们从以下几个方面对入侵行为进行分析：（1）入侵目的n 执行过程n 获取文件和数据n 获取超级用户权限n 进行非授权操作n 使用系统拒绝服务n 篡改信息n 披露信息第2页，本讲稿共41页（2）实施入侵的人员n 伪装者：未经授权使用计算机者或者绕开系统访问机制

2、获得合法用户账户权限者。n 违法者：未经授权访问数据库、程序或资源的合法用户，或者是具有访问权限错误使用其权利的用户。n 秘密用户：拥有账户管理权限者，利用这种机制来逃避审计和访问数据库，或者禁止收集审计数据的用户。（3）入侵过程中的各个阶段和各个阶段的不同特点n 窥探设施顾名思义也就是对环境的了解，目的是要了解目标采用的是什么操作系统，哪些信息是公开的，有何价值等问题，这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。n 攻击系统在窥探设施的工作完成后，入侵者将根据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。n 掩盖踪迹入侵者

3、会千方百计的避免自己被检测出来。第3页，本讲稿共41页10.1.2安全威胁分析计算机面临的安全威胁有来自计算机系统外部的，也有来自计算机系统内部的。来自计算机系统外部的威胁主要有：n 自然灾害、意外事故；n 计算机病毒n 人为行为，比如使用不当、安全意识差等；n“黑客”行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务、非法连接等；n 内部泄密n 外部泄密n 信息丢失n 电子谍报，比如信息流量分析、信息窃取等；n 信息战；第4页，本讲稿共41页计算机系统内部存在的安全威胁主要有：n 操作系统本身所存在的一些缺陷；n 数据库管理系统安全的脆弱性；n 管理员缺少安全方面的知识，缺少安全管理的技术规

4、范，缺少定期的安全测试与检查；n 网络协议中的缺陷，例如TCP/IP协议的安全问题；n 应用系统缺陷，等等；在此，我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。第5页，本讲稿共41页攻击的分类方法是多种多样的。这里根据入侵者使用的方式和手段，将攻击进行分类。n 口令攻击抵抗入侵者的第一道防线是口令系统。几乎所有的多用户系统都要求用户不但提供一个名字或标识符（ID），而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中，入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令，从而进入系统。入侵者登陆后，便可以查找系统的其他安全漏洞，来得到进一步的特权。为了避免入侵

5、者轻易的猜测出口令，用户应避免使用不安全的口令。有时候即使好的口令也是不够的，尤其当口令需要穿过不安全的网络时将面临极大的危险。很多的网络协议中是以明文的形式传输数据，如果攻击者监听网络中传送的数据包，就可以得到口令。在这种情况下，一次性口令是有效的解决方法。第6页，本讲稿共41页l 拒绝服务攻击拒绝服务站DOS(DenialofServices)使得目标系统无法提供正常的服务，从而可能给目标系统带来重大的损失。值得关注的是，现实情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来设计的，在现实环境中表现出这种理念的内在缺

6、陷。此外，许多操作系统和网络设备的网络协议栈也存在缺陷，从而削弱了抵抗DOS攻击的能力。下面介绍4种常见的DOS攻击类型及原理。（1）带宽耗用（bandwidth-consumption）：其本质是攻击者消耗掉通达某个网络的所有可用带宽。（2）资源耗竭（resource-starvation）：一般地说，它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。（3）编程缺陷（programmingflaw）：是应用程序、操作系统或嵌入式CPU在处理异常文件上的失败。（4）路由和DNS攻击：基于路由的DOS攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。第7页，本讲

7、稿共41页l 利用型攻击利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出。（1）特洛伊木马：表面看是有用的软件工具，而实际上却在启动后暗中安装破坏性的软件。（2）缓冲区溢出攻击（BufferOverflow）：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行一段恶意代码，以达到攻击的目的。l 信息收集型攻击信息收集型攻击并不直接对目标系统本身造成危害，它是为进一步的入侵提供必须的信息，这种攻击手段大部分在黑客入侵三部曲中的第一步窥探设施时使用。第8页，本讲稿共41页l 假消息攻击攻击者用配备不正确的消息来欺骗

8、目标系统，以达到攻击的目的。常见的假消息攻击形式有以下几种。（1）电子邮件欺骗：对于大部分普通因特网用户来说，电子邮件服务是他们使用的最多的网络服务之一。常见的通过电子邮件的攻击方法有：隐藏发信人的身份，发送匿名或垃圾信件；使用用户熟悉的人的电子邮件地址骗取用户的信任；通过电子邮件执行恶意的代码。（2）IP欺骗：IP欺骗的主要动机是隐藏自己的IP地址，防止被跟踪。（3）Web欺骗：由于Internet的开放性，任何用户都可以建立自己的Web站点，同时并不是每个用户都了解Web的运行规则。常见的Web欺骗的形式有：使用相似的域名；改写URL、Web会话挟持等。（4）DNS欺骗：修改上一级DNS服

9、务记录，重定向DSN请求，使受害者获得不正确的IP地址第9页，本讲稿共41页安全扫描技术概论n n 安全扫描技术是指手工的或使用指定的软件工具-安全扫描器，对系统脆弱点进行评估，寻找对系统扫成损害的安全漏洞。n n 扫描可以分为系统扫描和网络扫描两个方面，系统扫描侧重主机系统的平台安全性以及基于此平台的系统安全性，而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。第10页，本讲稿共41页扫描的目的n n 扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患，以利于己方及时修补或发动对敌方系统的攻击。n n 同时，自动化的安全扫描器要对目标系统进行漏洞检测和分析，提供详细的漏

10、洞描述，并针对安全漏洞提出修复建议和安全策略，生成完整的安全性分析报告，为网路管理完善系统提供重要依据。第11页，本讲稿共41页安全扫描器的类型安全扫描其主要有两种类型：（1）本地扫描器或系统扫描器：扫描器和待检系统运行于统一结点，进行自身检测。（2）远程扫描器或网络扫描器：扫描器和待检查系统运行于不同结点，通过网络远程探测目标结点，寻找安全漏洞。第12页，本讲稿共41页（3）网络扫描器通过网络来测试主机安全性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞，隐患及安全脆弱点。甚至许多扫描器封装了简单的密码探测，可自设定规则的密码生成器、后门自动安装

11、装置以及其他一些常用的小东西，这样的工具就可以称为网络扫描工具包,也就是完整的网络主机安全评价工具比如鼻祖SATAN和国内最负盛名的流光第13页，本讲稿共41页(4).系统扫描器用于扫描本地主机，查找安全漏洞，查 系统扫描器用于扫描本地主机，查找安全漏洞，查杀病毒，木马，蠕虫等危害系统安全的恶意程序，此类非本 杀病毒，木马，蠕虫等危害系统安全的恶意程序，此类非本文重点，因此不再祥细分析 文重点，因此不再祥细分析(5).另外还有一种相对少见的数据库扫描器，比如ISS公司的DatabaseScanner，工作机制类似于网络扫描器，主要用于检测数据库系统的安全漏洞及各种隐患。第14页，本讲稿共41页

12、扫描技术工具n n 信息收集是入侵及安全状况分析的基础，传统地手工收集信息耗 信息收集是入侵及安全状况分析的基础，传统地手工收集信息耗时费力，于是扫描工具出现了，它能依照程序设定自动探测及发 时费力，于是扫描工具出现了，它能依照程序设定自动探测及发掘规则内的漏洞，是探测系统缺陷的安全工具。掘规则内的漏洞，是探测系统缺陷的安全工具。第15页，本讲稿共41页扫描器主要功能n n(1)端口及服务检测检测目标主机上开放端口及运行的服务，并提示安全隐患的可能存在与否n n(2)后门程序检测检测PCANYWAYVNCBO2K冰河等等远程控制程序是否有存在于目标主机n n(3)密码探测检测操作系统用户密码，

13、FTP、POP3、Telnet等等登陆或管理密码的脆弱性第16页，本讲稿共41页n n(4)D.o.S探测检测各种拒绝服务漏洞是否存在n n(5)系统探测检测系统信息比如NT注册表，用户和组，网络情况等n n(6)输出报告将检测结果整理出清单报告给用户，许多扫描器也会同时提出安全漏洞解决方案n n(7)用户自定义接口一些扫描器允许用户自己添加扫描规则，并为用户提供一个便利的接口，比如俄罗斯SSS的BaseSDK第17页，本讲稿共41页系统扫描如何提高系统安全性n n 安全扫描器可以通过两种途径提高系统安全性。n n 一是提前警告存在的漏洞，从而预防入侵和误用n n 二是检查系统中由于受到入侵或

14、操作失误而造成的新漏洞。第18页，本讲稿共41页本地扫描器本地扫描器分析文件的内容，查找可能存在的配置问题。本地扫描器分析文件的内容，查找可能存在的配置问题。由于本地扫描器实际上是运行于目标结点上的进程，具由于本地扫描器实际上是运行于目标结点上的进程，具有以下几个特点：有以下几个特点：n 可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，要求扫描器必须做到这一点。n 可以检查到安全补丁一级，以确保系统安装了最新的安全解决补丁。n 可以通过在本地查看系统配置文件，检查系统的配置错误。第19页，本讲稿共41页本地扫描器对Unix系统，需要进行以下项目的检查：n 系统完整性检查n 关键

15、系统文件变化检测n 用户账户变化检测n 黑客入侵标记检测n 未知程序版本n 不常见文件名n 可疑设备文件n 未经授权服务n 弱口令选择检测n 有安全漏洞程序版本检测n 标记可被攻击程序n 报告需要安装的安全补丁n 检查系统配置安全性n 全局信任文件第20页，本讲稿共41页 crontab crontab 文件 文件 rc rc 系统启动文件 系统启动文件 文件系统 文件系统mount mount 权限 权限 打印服务 打印服务 账户配置 账户配置 组配置 组配置 检查网络服务安全性 检查网络服务安全性 是否允许 是否允许IP IP 转发 转发 标记有风险服务 标记有风险服务 FTP FTP 配

16、置 配置 news news 服务器配置 服务器配置 NFS NFS 配置 配置本地扫描器对Unix系统，需要进行以下项目的检查：第21页，本讲稿共41页本地扫描器对Unix系统，需要进行以下项目的检查：n 邮件服务器配置n 检查用户环境变量安全性n 系统文件属主n 系统文件权限许可n 文件属主及权限许可nsell启动文件n 用户信任文件n 应用程序配置文档n 其他第22页，本讲稿共41页本地扫描器对WindowsNT/2000 系统，还有一些特定的安全检查项目n 是否允许建立guest 账户nguest 账户有无口令n 口令构造和过时原则n 弱口令选择n 登陆失败临界值n 注册表权限许可n

17、允许远程注册访问n 独立的注册设置n 对系统文件和目录不正确的分配许可权n 非NT 缺省配置的未知服务n 运行易遭到攻击的服务，如运行在Web 服务器上的SMB 服务等n 带有许可访问控制设置的共享，可能给远程用户全部访问权n 其他第23页，本讲稿共41页远程扫描器远程扫描器检查网络和分布式系统的安全漏洞。远程扫描器通过执行一整套综合的穿透测试程序集，发送精心构造的数据包来检测目标系统。被测系统和扫描器的操作系统可以是同一类型，也可以是不同类型的。第24页，本讲稿共41页 远程扫描需要检查的项目很多，这些项目又可以分为以下几大类：远程扫描需要检查的项目很多，这些项目又可以分为以下几大类：远程扫

18、描器n网络端口扫描n系统信息搜集和侦查漏洞：可用于明确目标站点有关信息n身份认证机制漏洞n拒绝服务攻击n防火墙、包过滤及应用程序代理漏洞n包过滤规则确认nWWW、HTTP和CGI漏洞nSMTP、POP、IMAP及邮件传输漏洞nFTP安全漏洞nNFS安全漏洞nRPC远程过程调用服务n网络协议欺骗nWindowsNT网络安全漏洞nWindowsNT信息搜集和侦察n错误配置和系统后门、特洛伊木马检测n硬件外设安全漏洞：如打印机、路由器、交换机等设备n其他第25页，本讲稿共41页安全扫描系统的选择与注意事项升级问题 升级问题 可扩充性 可扩充性全面的解决方案全面的解决方案 人员培训人员培训第26页，本

19、讲稿共41页安全扫描技术也许有些计算机 也许有些计算机安全管理人员开 安全管理人员开始考虑购买一套 始考虑购买一套安全扫描系统，安全扫描系统，那么，购买此类 那么，购买此类产品需要考虑哪 产品需要考虑哪些方面呢 些方面呢?第27页，本讲稿共41页升级问题n n 由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因，网络软件漏洞层出不穷，这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此，在选择产品时，首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握，同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应第28页，本

20、讲稿共41页可扩充性n n对具有比较深厚的网络知识，并且希望自己扩充对具有比较深厚的网络知识，并且希望自己扩充产品功能的用户来说，应用了功能模块或插件技产品功能的用户来说，应用了功能模块或插件技术的产品应该是首选。术的产品应该是首选。第29页，本讲稿共41页全面的解决方案n n 前面已经指出，网络安全管理需要多种安全产品来实现，仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统，要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。第30页，本讲稿共41页人员培训n n 前面已经分析过，网络安全中人是薄弱的一环，许多安全因素是与网络用户密切相关的，提高本网络现

21、有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此，在选择安全扫描产品时，要考虑制造商有无能力提供安全技术培训。第31页，本讲稿共41页10.2.4安全扫描技术分析第32页，本讲稿共41页扫描器工作过程n n 阶段 阶段1 1：发现目标主机：发现目标主机或网络 或网络n n 阶段 阶段2 2：进一步发现目：进一步发现目标系统类型及配置等信 标系统类型及配置等信息 息n n 阶段 阶段3 3：测试哪些服务具有：测试哪些服务具有安全漏洞 安全漏洞第33页，本讲稿共41页扫描技术n n 端口扫描技术 全开扫描（全开扫描（openscanningopenscanning）半全

22、开扫描（半全开扫描（half-openscanning half-openscanning）秘密扫描 秘密扫描(stealthscanning)(stealthscanning)区段扫描区段扫描(sweepsscanning)(sweepsscanning)n n 系统类型检测技术第34页，本讲稿共41页端口扫描技术第35页，本讲稿共41页全开扫描（openscan,TCPconnect）3次TCP/IP握手过程建立标准TCP连接来检查主机的相应端口是否打开优点：快速，精确，不需要特殊用户权限缺点：不能进行地址欺骗并且非常容易被检测到ClientSYNServerSYN/ACKClientAC

23、KServer端口打开ClientSYNServerRST/ACKClientRSTServer端口没有打开第36页，本讲稿共41页SYN扫描n n ClientSYNn n ServerSYN/ACKn n ClientRST端口开n ClientSYNn ServerRST/ACK关闭端口优点：快速，可绕开基本的IDS，避免了TCP3次握手缺点：需要超级拥护权限，IDS系统可能阻止大量的SYN扫描，造成误报第37页，本讲稿共41页SYN/ACK扫描n n 设置单独的标志位（如ACK，FIN，RST等）n n NULL标志位（不设立任何标志位）n n ALL标志位（设立所有标志位）n n 绕

24、开过滤规则，防火墙，路由器n n 表现为偶然的网络数据流n n 变化的数据包发散率第38页，本讲稿共41页SYN/ACK扫描优点：快速，可绕开基本的IDS，避免了3TCP3次握手缺点：需要超级用户权限，不可靠Client可以猜测server端口是否打开ClientSYN/ACKServerRST此通常说明server关闭，但是猜测打开不可靠第39页，本讲稿共41页系统类型检测技术n n 利用系统旗标 利用系统旗标n n 利用 利用DNS DNS信息 信息n n 利用 利用TCP/IP TCP/IP堆栈指纹 堆栈指纹第40页，本讲稿共41页利用TCP/IP堆栈指纹我们发现利用尝试登陆的信息有时候尽管可以获取很多有用的资料，但是很难保证它的真实性与正确性。因此，有人开发了利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。这种的准确性相当高，因为再精明的管理员都不太可能去修改系统底层的网络的堆栈参数。目前，利用这种技术实现的工具很多，比较著名有NMAP，CHECKOS，QUESO等。第41页，本讲稿共41页