计算机网络安全7 网络安全检测与评估技术

获取标识信息探测技术
TCP分段响应分析探测技术
基于ICMP响应分析探测技术
返回本章首页
（1）获取标识信息探测技术 获取标识信息探测技术主要是指借助操作 系统本身提供的命令和程序进行操作系统类型 探测的技术。 通常，可以利用telnet这个简单命令得到 主机操作系统的类型。
返回本章首页
（2）TCP分段响应分析探测技术 TCP分段响应分析探测技术是依靠不同操 作系统对特定分段的TCP数据报文的不同反应 来区分不同的操作系统及其版本信息。 NMAP（http://insecure.org/nmap） 是一个典型的基于该探测技术的操作系统探测 工具。
2. 网络安全漏洞的分类方法 按漏洞可能对系统造成的直接威胁分类 按漏洞的成因分类
返回本章首页
（1）按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为：
远程管理员权限；本地管理员权限；普通 用户访问权限；权限提升；读取受限文件； 远程拒绝服务；本地拒绝服务；远程非授权 文件存取；口令恢复；欺骗；服务器信息泄 露；其它漏洞。
第7章 网络安全检测与评估技术
内容提要：
网络安全漏洞
网络安全检测技术
网络安全评估标准
网络安全评估方法
网络安全检测评估系统简介 小结
7.1 网络安全漏洞
1. 网络安全漏洞威胁 （1）安全漏洞的定义
漏洞是在硬件、软件、协议的具体实现或 系统安全策略上存在的缺陷，可以使攻击者在 未授权的情况下访问或破坏系统。 漏洞的产生有其必然性，这是因为软件的 正确性通常是通过检测来保障的。而“检测只 能发现错误，证明错误的存在，不能证明错误 的不存在”。
返回本章首页
1. 端口扫描技术 端口扫描的原理是向目标主机的TCP/IP 端口发送探测数据包，并记录目标主机的响应。 通过分析响应来判断端口是打开还是关闭等状 态信息。
端口扫描技术分为：
TCP端口扫描技术 UDP端口扫描技术
返回本章首页
（1）TCP端口扫描技术 TCP端口扫描技术主要有全连接扫描技术、 半连接（SYN）扫描技术、间接扫描技术和秘 密扫描技术等。 全连接扫描技术 全连接扫描的工作方式是：对目标主机上感兴 趣的端口进行connect()连接试探，如果该端 口被监听，则连接成功，否则表示该端口未开 放或无法到达。
2
3
返回本章首页
表7-2 漏洞威胁综合等级分类
影响等级
严重 等级 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5
返回本章首页
表7-3 漏洞威胁等级分类描述
等级
描 述
1
2 3 4 5
低影响度，低严重度
低影响度，中等严重度；中等影响度，低严重度 低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度 中等影响度，高严重度；高影响度，中等严重度 高影响度，高严重度
返回本章首页
3. 安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能 存在的已知安全漏洞进行逐项检查。 按照网络安全漏洞的可利用方式来划分， 漏洞探测技术可以分为：信息型漏洞探测和攻 击型漏洞探测两种。 按照漏洞探测的技术特征，可以划分为： 基于应用的探测技术、基于主机的探测技术、 基于目标的探测技术和基于网络的探测技术等。
返回本章首页
（2）按பைடு நூலகம்洞的成因分类 可以分为：
输入验证错误类；访问验证错误类；竞争条 件类；意外情况处置错误类；设计错误类；配 置错误类；环境错误类。
返回本章首页
7.2 网络安全检测技术
网络安全检测主要包括端口扫描、操作系 统探测和安全漏洞探测。 通过端口扫描可以掌握系统都开放了哪些 端口、提供了哪些网络服务； 通过操作系统探测可以掌握操作系统的类 型信息； 通过安全漏洞探测可以发现系统中可能存 在的安全漏洞。
返回本章首页
全连接扫描的最大优点是用户无须特殊权限， 且探测结果最为准确。缺点是很容易被目标主 机察觉并记录下来。 半连接（SYN）端口扫描技术 半连接端口扫描不建立完整的TCP连接，而是 只发送一个SYN信息包，就如同正在打开一个 真正的TCP连接，并等待对方的回应一样。
返回本章首页
半连接扫描的优点在于即使日志中对扫描有所 记录，但是尝试进行连接的记录也要比全连接 扫描要少得多。 缺点是在大部分操作系统下，发送主机需要构 造适用于这种扫描的IP包，通常情况下，构造 SYN数据包需要超级用户或者授权用户访问专 门的系统调用。
返回本章首页
（3）基于ICMP响应分析探测技术 ICMP响应分析探测技术是一种较新的操 作系统探测技术。该技术通过发送UDP或 ICMP的请求报文，然后分析各种ICMP应答信 息来判断操作系统的类型及其版本信息。
X-Probe（http://sourceforge.net/ projects/xprobe）就是采用该技术的操作系 统探测工具。
返回本章首页
（2）安全威胁的定义
安全威胁是指所有能够对计算机网络信 息系统的网络服务和网络信息的机密性、可用 性和完整性产生阻碍、破坏或中断的各种因素。 安全威胁可以分为人为安全威胁和非人为安全 威胁两大类。安全威胁与安全漏洞密切相关， 安全漏洞的可度量性使得人们对系统安全的潜 在影响有了更加直观的认识。
返回本章首页
（2）UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上 有哪些UDP端口是开放的。其实现思想是发送 零字节的UDP信息包到目标机器的各个端口， 若收到一个ICMP端口不可达的回应，则表示 该UDP端口是关闭的，否则该端口就是开放的。
返回本章首页
2. 操作系统探测技术 由于操作系统的漏洞信息总是与操作系统 的类型和版本相联系的，因此操作系统的类型 信息是网络安全检测的一个重要内容。 操作系统探测技术主要包括：
返回本章首页
可以按照风险等级对安全漏洞进行归类， 表 7-1 ， 7-2 ， 7-3 对漏洞分类方法进行了描述 。
表7-1 漏洞威胁等级分类
严 重 度 低严重度: 漏洞难以 利用，并且潜在的损 失较少。 中等严重度: 漏洞难 以利用，但是潜在的 损失较大，或者漏洞 易于利用，但是潜在 的损失较少。 高严重度: 漏洞易于 利用，并且潜在的损 失较大。 等级 1 影响度 低影响度: 漏洞的影响较低，不会产生连 带的其他安全漏洞。 中等影响度: 漏洞可能影响系统的一个或 多个模块，该漏洞的利用可能会导致其他 漏洞可利用。 高影响度: 漏洞影响系统的大部分模块， 并且该漏洞的利用显著增加其他漏洞的可 利用性。