CH07系统脆弱性分析技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
暴露的例子
#61550; 运行类似finger的服务(用于获取 信息或者广告的服务) #61550; 从企业级的角度看,没有很 好地设置Windows NT的审计策略 #61550; 运行可能成为公共攻击点的 服务(比如:HTTP、FTP或SMTP) #61550; 运行可能遭到强力攻击的应 用服务(比如:可能遭到字典攻击,口令 长度太小等)
目前我国95%的与因特网相连的网络管理中心都遭到过 境内外攻击者的攻击或侵入,其中银行、金融和证券机构是 黑客攻击的重点。国内乃至全世界的网络安全形势非常不容 乐观。漏洞可能影响一个单位或公司的生存问题。
7.1
7.1.4
漏洞扫描概述
漏洞扫描的必要性
帮助网管人员了解网络安全状况 对资产进行风险评估的依据 安全配置的第一步 向领导上报数据依据
http://www.cve.mitre.org http://www.cert.org.cn/articles/activities/common/2009102724586. shtml国家信息安全漏洞共享平台共建签约仪式
7.1
7.1.3
漏洞扫描概述
漏洞对系统的威胁
漏洞对系统的威胁体现在恶意攻击行为对系统的威胁, 因为只有利用硬件、软件和策略上最薄弱的环节,恶意攻击 者才可以得手。 目前,因特网上已有3万多个黑客站点,而且黑客技术不 断创新,基本的攻击手法已多达上千种。
7.1
7.1.2
漏洞扫描概述
漏洞的发现
一个漏洞并不是自己突然出现的,必须有人发现它。这个工作主要是 由以下三个组织之一来完成的:黑客、破译者、安全服务商组织。
每当有新的漏洞出现,黑客和安全服务商组织的成员通常会警告安全 组织机构;破译者也许不会警告任何官方组织,只是在组织内部发布消息。 根据信息发布的方式,漏洞将会以不同的方式呈现在公众面前。 网络管理者的部分工作就是关心信息安全相关新闻,了解信息安全的 动态。管理者需要制定一个收集、分析以及抽取信息的策略,以便获取有 用的信息。 通常收集安全信息的途径包括:新闻组、邮件列表、Web站点、FTP文档。
在所有合理的安全策略中都被认为是有安全问题的称之 为“漏洞”。漏洞可能导致攻击者以其他用户身份运行, 突破访问限制,转攻另一个实体,或者导致拒绝服务攻 击等。 对那些在一些安全策略中认为有问题,在另一些安全策 略中可以被接受的情况,称之为“暴露”。暴露可能仅 仅让攻击者获得一些边缘性的信息,隐藏一些行为;可 能仅仅是为攻击者提供一些尝试攻击的可能性;可能仅 仅是一些可以忍受的行为,只有在一些安全策略下才认 为是严重问题。
系统脆弱性分析
协议分析
1、DNS协议分析
域名服务器在Internet上具有举足轻重的作用,它负责在域名和IP地 址之间进行转换。 域名服务系统是一个关于互联网上主机信息的分布式数据库,它将数 据按照区域分段,并通过授权委托进行本地管理,使用客户机/服务器模式 检索数据,并且通过复制和缓存机制提供进发和冗余性能。 域名服务系统包含域名服务器和解析器两个部分:域名服务器存储和 管理授权区域内的域名数据,提供接口供客户机检索数据;解析器即客户 机,向域名服务器递交查询请求,翻译域名服务器返回的结果并递交给高 层应用程序,通常为操作系统提供的库函数之一。 域名查询采用UDP协议,而区域传输采用TCP协议。域名解析过程分为 两种方式:递归模式和交互模式。
7.2
系统脆弱性分析
信息系统存在着许多漏洞,这些漏洞来自于组成信息 系统的各个方面。在前几章我们已陆续介绍了软硬件组件 (组件脆弱性)存在的问题、网络和通信协议的不健全问 题、网络攻击(特别是缓冲区溢出问题)等方面的内容, 这里重点介绍协议分析和基于应用层的不安全代码或调用 问题。
7.2
7.2.1
第7章
系统脆弱性分析技术
基本内容
针对网络系统或网络应用的安全技术,本章首先从自我 检查的角度入手,分析系统不安全的各种因素,采用工具 检测并处理系统的各种脆弱性。
7.1
7.1.1
漏洞扫描概述
漏洞的概念
漏洞源自“vulnerability”(脆弱性)。一般认为,漏 洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻 击者能够在未授权的情况下访问、控制系统。
பைடு நூலகம்
标准化组织CVE(Common Vulnerabilities and Exposures, 即 “公共漏洞与暴露”)致力于所有安全漏洞及安全问题的命 名标准化,安全产品对漏洞的描述与调用一般都与CVE兼容。
对一个信息系统来说,它的安全性不在于它是 信息安全的 否采用了最新的加密算法或最先进的设备,而是由 “木桶理论” 系统本身最薄弱之处,即漏洞所决定的。只要这个 漏洞被发现,系统就有可能成为网络攻击的牺牲品。
7.2
7.2.1
系统脆弱性分析
协议分析
1、DNS协议分析(续)
对DNS服务器的威胁 1)地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地 方,达到修改域名指向的目的。 2)远程漏洞入侵。 3)拒绝服务。 保护DNS服务器的措施 1)使用最新版本的DNS服务器软件。 2)关闭递归查询和线索查找功能。 3)限制对DNS进行查询的IP地址。 4)限制对DNS进行递归查询的IP地址。 5)限制区域传输。 6)限制对BIND软件的版本信息进行查询。
漏洞的例子
#61550; phf (以用户”nobody”的身 份远程执行命令) #61550; rpc.ttdbserverd (以”root” 身份远程执行命令) #61550; 缺省口令 #61550; 可能引起蓝屏死机的拒绝服 务攻击 #61550; smurf (淹没一个子网的拒绝 服务攻击)
7.2
7.2.1
系统脆弱性分析
协议分析
2、FTP协议分析
文件传输协议FTP是一个被广泛应用的协议,它使得我们能够在网络上 方便地传输文件。 FTP模型是典型的客户机/服务器模型。两个TCP连接分别是控制连接和 数据连接。 FTP协议漏洞分析与防范 1)FTP反弹(FTP Bounce)。 2)有限制的访问(Restricted Access)。 3)保护密码(Protecting Passwords)。 4)端口盗用(Port SteaUng)。