网络安全漏洞检测技术与分析

网络安全漏洞检测技术与分析
摘要：网络安全漏洞已成为网络安全的焦点问题之一。

本文给出了存在漏洞的原因及漏洞对网络安全的影响，并详细介绍了漏洞的检测与分析；最后列举了网络漏洞的检测分析及防护实例。

关键词：网络安全安全漏洞漏洞检测与分析
随着网络的普及，网络安全已成为Internet上的焦点，它关系着Internet的进一步发展和普及，甚至关系着Internet的生存。

引发网络攻击的一个重要的原因就是在计算机中存在着各种漏洞，它们很容易被利用来进行网络攻击，网络安全在过去一直倾向采取被动式防护策略，如数据加密技术、防火墙技术、访问控制技术、入侵检测技术等，而单靠被动式防护，已显得安全防御力的不足。

因此，必须进而采取主动防护的策略，找出网络安全漏洞并消除它才能有效降低风险。

尽管从技术上讲，很难彻底解决这些漏洞，但可以通过对网络安全漏洞的检测与分析，找出有效的防护措施，提高网络的安全，减少网络漏洞带来的危害。

1 漏洞概述
“漏洞”是一个抽象的概念，是和计算机安全相对而言的。

计算机漏洞是系统的一组特性，恶意的主体（攻击者或者攻击程序）能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。

在计算机安全领域，安全漏洞通常又称作“脆弱性”。

这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。

2 安全漏洞的检测与分析
网络安全漏洞检测与分析是目前网络安全技术研究的热点之一。

安全漏洞检测与分析主要研究通过多种漏洞检测手段，发现远端系统的安全隐患。

对于网络的管理者来说，利用网络安全漏洞检测技术对网络进行有效的管理是非常有必要的。

漏洞检测与分析就是要回答最关键的一个问题——这些主机存在哪些漏洞？漏洞检测与分析的方法主要分为3种：直接测试（test）、推断（inference）和带凭证的测试(test with credentials)。

2.1 直接测试
直接测试是指利用漏洞特点发现系统漏洞的方法。

要找出系统中的常见漏洞，最显而易见的方法就是试图渗透漏洞。

渗透测试是指使用针对漏洞特点设计的脚本或者程序检测漏洞。

直接测试的方法具有下面一些特点：
(1) 通常用于对Web服务漏洞、拒绝服务（DoS）漏洞进行检测；
(2) 能够准确地判断系统是否存在特定漏洞；
(3) 对于渗透所需步骤较多的漏洞速度较慢；
(4) 攻击性较强，可能对存在漏洞的系统造成破坏；
(5)不是所有漏洞的信息都能通过测试方法获得。

2.2 推断
推断是指不利用系统漏洞而判断漏洞是否存在的方法。

它并不直接渗透漏洞，只是间接寻找漏洞存在的证据。

有时也和测试方法结合使用，如首先推断出目标采用的系统类型，然后进行针对该系统的测试。

推断的方法在快速检查大量目标时很有用，因为这种方法对计算机和网络的要求都很低。

而它最主要的缺点就是可靠性较低。

2.3 带凭证的测试
凭证是指访问服务所需要的用户名或者密码，包括UNIX的登录权限和从网络调用Windows NT的API的能力。

除了目标主机IP地址以外，直接测试和推断两种方法都不需要其他任何信息。

然而，很多攻击都是拥有UNIX shell访问权限或者NT资源访问权限的用户发起的，他们的目标在于将自己的权限提升成为超级用户，从而可以执行某个命令。

对于这样的漏洞，前两种方法很难检查出来。

因此如果赋予测试进程目标系统的角色，将能够检查出更多的漏洞。

这种方法就是带凭证的测试。

3 网络漏洞的检测分析及防护实例
DoS(Denial of Service)攻击是网络攻击中常见的，也是危害比较大的一种，其攻击的手法多样。

在拒绝服务攻击中，利用Windows操作系统中的RPC服务漏洞进行攻击是一种常见的拒绝服务攻击。

漏洞存在于Windows系统的DCE-RPC堆栈中，远程攻击者可以连接TCP135端口，向其发送畸形数据，可导致RPC服务的关闭，进而引起系统停止对新的RPC请求进行响应，产生拒绝服务。

由于系统的许多服务都依赖于RPC服务，这就使得系统变得极不稳定，许多正常的操作无法进行，甚至造成系统的频繁重新启动。

实现这种攻击的方法较为容易，但造成的危害却不小。

一般情况下，攻击者会利用stan、nMap、X-scan等工具扫描网络中的计算机，获得被攻击主机的IP
地址和相关端口信息，有的攻击者甚至不利用扫描工具，直接猜测一个IP地址发动攻击。

获得相应信息后，攻击者会利用dcom.exe程序进行攻击。

在DOS平台状态下，输入dcom.exe IP地址，然后确认。

这时攻击主机没有任何提示，但被攻击主机如果存在这一漏洞，将出现一个系统对话框提示svchost.exe程序错误，继而出现关机对话框，关机消息为Remote Procedure Call(RPC)服务意外终止，60秒后系统重新启动。

这样对方主机只要利用RPC服务，系统就会重新启动，也就无法使用网络资源。

若遭受RPC服务DoS攻击，应首先断开网络并采用手工的防范措施。

依次打开计算机“控制面板”——“管理工具”——“计算机管理”图标，展开管理界面左侧的“服务和应用程序”项中的”服务”选项，从界面右侧找到Remote Procedure Call (RPC)服务，单击鼠标右键，选择“属性”，打开属性面板，选择其中的“恢复”标签，将失败后计算机反应选项全部改为“不操作”，虽然经过手工设置之后，计算机不再重新启动，但主机的一些正常功能也被破坏，因此还需要给系统打上微软提供的安全补丁才行。

通过对RPC服务DoS攻击的分析，可大体了解网络攻击的步骤。

事实上，尽管网络攻击的方法和原理各不相同，但其发动攻击的步骤是基本一致的，通常都是采用以下4个步骤：
(1)确定攻击目标的位置；
(2)利用公开协议和工具，通过端口扫描、网络监听，收集目标的系统类型、提供的服务等信息；
(3)利用自编入侵程序或公开的工具扫描分析系统的安全漏洞；
(4)针对发现的网络漏洞展开攻击。

总之，随着计算机和网络技术在各个领域的迅速普及与广泛应用，会有更多新的攻击方式和手段的出现，也会有更多更新的防护技术手段出现，所以做好网络安全防护工作是计算机管理和应用的重要内容。

参考文献：
[1]Eric Maiwald．网络安全实用教程[M]．北京：清华大学出版社，2003．
[2]谭相柱，黄艳华．计算机网络漏洞浅析及安全防护[J]．网络安全技术与应用，2006(1)：50－52．
[3]濮青．基于网络拒绝服务攻击的技术分析与安全策略[J]．计算机应用研究，2003(3)：18－20．。