07系统脆弱性分析技术

9
7.2
系统脆弱性分析
7.2.1 协议分析
2、FTP协议分析
文件传输协议FTP是一个被广泛应用的协议， 文件传输协议FTP是一个被广泛应用的协议，它使得我们能够在网络上 FTP是一个被广泛应用的协议 方便地传输文件。 方便地传输文件。 FTP模型是典型的客户机 服务器模型。两个TCP 模型是典型的客户机/ TCP连接分别是控制连接和 FTP模型是典型的客户机/服务器模型。两个TCP连接分别是控制连接和 数据连接。 数据连接。 FTP协议漏洞分析与防范 FTP协议漏洞分析与防范 FTP反弹 反弹（ Bounce）。 1）FTP反弹（FTP Bounce）。 有限制的访问（ Access）。 2）有限制的访问（Restricted Access）。 保护密码（ Passwords）。 3）保护密码（Protecting Passwords）。 端口盗用（ SteaUng）。 4）端口盗用（Port SteaUng）。
5
7.1
漏洞扫描概述
7.1.4 漏洞扫描的必要性
帮助网管人员了解网络安全状况 对资产进行风险评估的依据 安全配置的第一步 向领导上报数据依据
6
7.2
系统脆弱性分析
信息系统存在着许多漏洞， 信息系统存在着许多漏洞，这些漏洞来自于组成信息 系统的各个方面。 系统的各个方面。在前几章我们已陆续介绍了软硬件组件 组件脆弱性）存在的问题、 （组件脆弱性）存在的问题、网络和通信协议的不健全问 网络攻击（特别是缓冲区溢出问题）等方面的内容， 题、网络攻击（特别是缓冲区溢出问题）等方面的内容， 这里重点介绍协议分析和基于应用层的不安全代码或调用 问题。 问题。
7
7.2
系统脆弱性分析
7.2.1 协议分析
1、DNS协议分析 DNS协议分析
域名服务器在Internet上具有举足轻重的作用， 负责在域名和IP地 域名服务器在Internet上具有举足轻重的作用，它负责在域名和IP地 上具有举足轻重的作用 IP 址之间进行转换。 址之间进行转换。 域名服务系统是一个关于互联网上主机信息的分布式数据库， 域名服务系统是一个关于互联网上主机信息的分布式数据库，它将数 据按照区域分段，并通过授权委托进行本地管理，使用客户机/服务器模式 据按照区域分段，并通过授权委托进行本地管理，使用客户机/ 检索数据，并且通过复制和缓存机制提供进发和冗余性能。 检索数据，并且通过复制和缓存机制提供进发和冗余性能。 域名服务系统包含域名服务器和解析器两个部分： 域名服务系统包含域名服务器和解析器两个部分：域名服务器存储和 管理授权区域内的域名数据，提供接口供客户机检索数据； 管理授权区域内的域名数据，提供接口供客户机检索数据；解析器即客户 向域名服务器递交查询请求， 机，向域名服务器递交查询请求，翻译域名服务器返回的结果并递交给高 层应用程序，通常为操作系统提供的库函数之一。 层应用程序，通常为操作系统提供的库函数之一。 域名查询采用UDP协议，而区域传输采用TCP协议。 UDP协议 TCP协议 域名查询采用UDP协议，而区域传输采用TCP协议。域名解析过程分为 两种方式：递归模式和交互模式。 两种方式：递归模式和交互模式。
16
8.1.2 漏洞的发现
17
7.3
扫描技术与原理
扫描是检测Internet上的计算机当前是否是活动的、提 扫描是检测Internet上的计算机当前是否是活动的、 Internet上的计算机当前是否是活动的 供了什么样的服务，以及更多的相关信息， 供了什么样的服务，以及更多的相关信息，主要使用的技术 Ping扫描 端口扫描和操作系统识别。 扫描、 有Ping扫描、端口扫描和操作系统识别。扫描所收集的信息 主要可以分为以下几种： 主要可以分为以下几种： 标识主机上运行的TCP UDP服务 TCP／ 服务。 1）标识主机上运行的TCP／UDP服务。 2）系统的结构(SPARC、ALPHA、X86)。 系统的结构(SPARC、ALPHA、X86)。 (SPARC 经由INTERNET可以到达主机的详细IP地址信息。 INTERNET可以到达主机的详细IP地址信息 3）经由INTERNET可以到达主机的详细IP地址信息。 操作系统的类型。 4）操作系统的类型。 Ping扫描：ICMP Ping扫描： 扫描 TCP扫描 TCP扫描 UDP扫描 UDP扫描 端口扫描
12
2006年黑客利用 年黑客利用SQL注入成功入侵中国移动网站，首页被黑 注入成功入侵中国移动网站， 年黑客利用 注入成功入侵中国移动网站
13
2006年底中国工商银行遭遇“跨站脚本”攻击 年底中国工商银行遭遇“跨站脚本” 年底中国工商银行遭遇
14
恶意代码
15
应对措施
在网站投入使用之前，应该通过“应用层安全 检测”。 目前比较常见的有“Watchfire AppScan”、 “数据库弱点深度扫描器”、 “Web应用弱 点深度扫描”、 “网上木马自动分析溯源器” 等产品供检测使用。
8
7.2
系统脆弱性分析
7.2.1 协议分析
1、DNS协议分析（续） DNS协议分析（ 协议分析
对DNS服务器的威胁 DNS服务器的威胁 地址欺骗。地址欺骗攻击利用了RFC RFC标准协议中的某些不完善的地 1）地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地 达到修改域名指向的目的。 方，达到修改域名指向的目的。 远程漏洞入侵。 2）远程漏洞入侵。 拒绝服务。 3）拒绝服务。 保护DNS服务器的措施 保护DNS服务器的措施 DNS 1）使用最新版本的DNS服务器软件。 2）关闭递归查询和线索查找功能。 3）限制对DNS进行查询的IP地址。 4）限制对DNS进行递归查询的IP地址。 5）限制区域传输。 6）限制对BIND软件的版本信息进行查询。
第7章 系统脆弱性分析技术
1
基本内容
针对网络系统或网络应用的安全技术，本章首先从自我 检查的角度入手，分析系统不安全的各种因素，采用工具 检测并处理系统的各种脆弱性。
2
7.1
漏洞扫描概述
7.1.1 漏洞的概念
漏洞源自“vulnerability”（脆弱性）。一般认为，漏 漏洞源自“vulnerability （脆弱性）。一般认为， 源自 ）。一般认为 洞是指硬件、软件或策略上存在的的安全缺陷， 洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻 击者能够在未授权的情况下访问、控制系统。 击者能够在未授权的情况下访问、控制系统。 标准化组织CVE（Common Vulnerabilities and Exposures, 即 标准化组织CVE（ CVE “公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命 公共漏洞与暴露” 名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。 兼容。 名标准化，安全产品对漏洞的描述与调用一般都与 兼容
对一个信息系统来说， 对一个信息系统来说，它的安全性不在于它是 否采用了最新的加密算法或最先进的设备， 信息安全的 否采用了最新的加密算法或最先进的设备，而是由 木桶理论” 系统本身最薄弱之处，即漏洞所决定的。 “木桶理论” 系统本身最薄弱之处，即漏洞所决定的。只要这个 漏洞被发现，系统就有可能成为网络攻击的牺牲品。 漏洞被发现，系统就有可能成为网络攻击的牺牲品。
3
7.1
漏洞扫描概述
7.1.2 漏洞的发现
一个漏洞并不是自己突然出现的，必须有人发现它。 一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是 由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。 由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。 每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全 每当有新的漏洞出现， 组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。 组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。 根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。 根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。 网络管理者的部分工作就是关心信息安全相关新闻， 网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的 关心信息安全相关新闻 动态。管理者需要制定一个收集、分析以及抽取信息的策略， 动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有 用的信息。 用的信息。 通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文 通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文 站点 档。
10
7.2
系统脆弱性分析
7.2.2 应用层的不安全调用
1、应用安全概述 、
应用层漏洞才是最直接、最致命的，因为互联网的应用必须开放端口，这时 防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁 着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。 基于B/S结构应用的普及使得应用层安全问题越来越受到重视。 据OWASP相关资料显示，2007年的十大应用安全问题排名如下：
2、常见Web应用安全漏洞 常见Web
常见的Web应用安全漏洞有： 常见的Web应用安全漏洞有： Web应用安全漏洞有 • SQL注入（SQL injection） SQL注入 注入（ injection） • 跨站脚本攻击 • 恶意代码 • 已知弱点和错误配置 • 隐藏字段 • 后门和调试漏洞 • 参数篡改 • 更改cookie 更改cookie • 输入信息控制 • 缓冲区溢出 • 直接访问浏览 攻击者利用网站系统的代码漏洞，精心构造攻击代码， 攻击者利用网站系统的代码漏洞，精心构造攻击代码，完成对网站系 统的非法访问或控制，中国、美国、 统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的 地区。 地区。
4
7.1
漏洞扫描概述
7.1.3 漏洞对系统的威胁
漏洞对系统的威胁体现在恶意攻击行为对系统的威胁， 漏洞对系统的威胁体现在恶意攻击行为对系统的威胁， 因为只有利用硬件、软件和策略上最薄弱的环节， 因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击 者才可以得手。 者才可以得手。 目前，因特网上已有3万多个黑客站点， 目前，因特网上已有3万多个黑客站点，而且黑客技术不 断创新，基本的攻击手法已多达上千种。 断创新，基本的攻击手法已多达上千种。 目前我国95％ 目前我国95％的与因特网相连的网络管理中心都遭到过 95 境内外攻击者的攻击或侵入，其中银行、 境内外攻击者的攻击或侵入，其中银行、金融和证券机构是 黑客攻击的重点。 黑客攻击的重点。国内乃至全世界的网络安全形势非常不容 乐观。漏洞可能影响一个单位或公司的生存问题。 乐观。漏洞可能影响一个单位或公司的生存问题。
（1）跨站脚本（XSS） （2）注入缺陷 （3）不安全的远程文件包含 （4）不安全的直接对象引用 （5）跨站请求伪造 （6）信息泄漏和异常错误处理 （7）损坏的验证和会话管理 （8）不安全的加密存储 （9）不安全的通信 （10） URL访问限制失败
11
7.2
系统脆弱性分析
7.2.2 应用层的不安全调用
18
扫描的几个分类
7.4
扫描器的类型和组成
扫描器的作用就是用检测、 扫描器的作用就是用检测、扫描系统中存在的漏洞或缺 目前主要有两种类型的扫描工具， 陷。目前主要有两种类型的扫描工具，即主机扫描器和网络 扫描器，它们在功能上各有侧重。 扫描器，它们在功能上各有侧重。 1．主机扫描器 主机扫描器又称本地扫描器， 主机扫描器又称本地扫描器，它与待检查系统运行于同 一节点，执行对自身的检查。 一节点，执行对自身的检查。它的主要功能为分析各种系统 文件内容， 文件内容，查找可能存在的对系统安全造成威胁的漏洞或配 置错误。 置错误。 2．网络扫描器 网络扫描器又称远程扫描器， 网络扫描器又称远程扫描器，一般它和待检查系统运行于 不同的节点上，通过网络远程探测目标节点，检查安全漏洞。 不同的节点上，通过网络远程探测目标节点，检查安全漏洞。 远程扫描器检查网络和分布式系统的安全漏洞。 远程扫描器检查网络和分布式系统的安全漏洞。
19
7.4
ห้องสมุดไป่ตู้
扫描器的类型和组成
扫描器的组成 扫描器的组成