第5章漏洞检测.ppt

1、第第5章章 漏洞检测漏洞检测 曹天杰tjcaocumt.edu中国矿业大学计算机科学与技术学院1为什么需要漏洞检测n对于网络信息系统的安全而言，仅具有事后追查或实时报警功能的安全检测装备是不够的，还需要具备系统安全漏洞扫描能力的事先检查型安全工具。n系统漏洞检测又称漏洞扫描，即对重要网络信息系统进行检查，发现其中可被攻击者利用的漏洞。2漏洞的危害 n漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷或者不足。n漏洞一旦被发现，就可以使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或者破坏系统，从而危害计算机系统

2、安全。3漏洞产生的原因n漏洞的成因很多，一般有以下几类：n网络协议漏洞n应用软件系统漏洞n配置不当引起的漏洞4网络协议漏洞nTCP/IP协议组是目前使用最为广泛的网络互连协议之一。nTCP/IP协议将网络互连和开放性作为首要考虑的问题，而没有过多的考虑安全性。n造成了TCP/IP协议族本身的不安全性，导致一系列基于TCP/IP的网络服务的安全性也相当脆弱。5应用软件系统漏洞n任何一种软件系统都或多或少存在一定的脆弱性。n因为很多软件在设计时忽略或者很少考虑安全性问题。n应用软件系统的漏洞有两种：n由于操作系统本身设计缺陷带来的安全漏洞，这种漏洞将被运行在该系统上的应用程序所继承；n应用软件程序

3、的安全漏洞。6配置不当引起的漏洞n在一些网络系统中忽略了安全策略的制定；n即使采取了一定的网络安全措施，但由于系统的安全配置不合理或不完整，安全机制没有发挥作用；n或者在网络系统发生变化后，由于没有及时更改系统的安全配置而造成安全漏洞。7漏洞的分类标准n系统安全漏洞主要概括为以下几方面特征属性：n漏洞被攻击者利用的方式n漏洞形成的主要原因n漏洞对系统安全造成的危害n漏洞对系统安全造成的直接威胁n漏洞的触发条件n漏洞的操作角度n漏洞的发生时序。这里我们根据这几个方面对系统漏洞进行分类。8漏洞的分类标准n根据漏洞被攻击者利用的方式分为：n本地漏洞n远程漏洞 9本地漏洞n攻击者是系统本地的合法用户或

4、已经通过其他攻击方法获得了本地权限的非法用户。n攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。n比较典型的是本地权限提升漏洞，这类漏洞在Unix系统中广泛存在，能让普通用户获得最高管理员权限。10远程漏洞n攻击者是指通过网络，对连接在网络上的任意一台机器的进行攻击。n可分为入侵攻击与破坏攻击两种方式。n这类漏洞危害极大，攻击者能随心所欲的通过此漏洞操作他人的电脑。n此类漏洞很容易导致蠕虫攻击。11漏洞的分类标准 n根据漏洞形成的主要原因分为：n输入验证错误（Input Validation Error）n缓冲区溢出（Buffer Overflow）n设计错误（Design Error）

5、n意外情况处置错误（Exceptional Condition Handling Error）n访问验证错误（Access Validation Error）n配置错误（Configuration Error）n竞争条件（Race Condition）n环境错误（Condition Error）12漏洞的分类标准n根据漏洞对系统安全造成的危害分为：n获得普通用户权限n获得其他用户权限13漏洞的分类标准n根据漏洞对系统安全造成的直接威胁分为：n普通用户访问权限n权限提升n本地管理员权限n远程管理员权限n本地拒绝服务n远程拒绝服务n服务器信息泄露n远程非授权文件存取n读取受限文件n口令恢复n欺骗1

6、4漏洞的分类标准n根据漏洞的触发条件分为：n主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。n被动触发漏洞，必须要计算机的操作人员配合才能进行攻击利用的漏洞。（比如攻击者给管理员发一封邮件，带了一个特殊的jpg图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从而系统被攻击，但如果管理员不看这个图片则不会受攻击。）15漏洞的分类标准n根据漏洞的操作角度分为：n文件操作类型n内存覆盖n逻辑错误16文件操作类型 n主要为操作的目标文件路径可被控制（如通过参数、配置文件、环境变量、符号链接等）n导致下面两个问题：n写入内容可被控制，从而可伪造文件内容，导致权限提

7、升或直接修改重要数据(如修改存贷数据)n内容信息可被输出，包含内容被打印到屏幕、记录到可读的日志文件、产生可被用户读的core文件等等17内存覆盖 n主要为内存单元可指定，写入内容可指定；n这样就能执行攻击者想执行的代码（缓冲区溢出、格式串漏洞、PTrace漏洞、历史上Windows 2000的硬件调试寄存器用户可写漏洞）；n或能直接修改内存中的机密数据。18逻辑错误 n这类漏洞广泛存在，但很少有范式，所以难以查觉。n可细分为：n外部命令执行问题nSQL注入问题19漏洞的分类标准n根据漏洞发生的时序分为：n已发现很久的漏洞n刚发现的漏洞nOday20漏洞的分级规范n一套完善的系统安全漏洞分级分

8、类标准是基础；n系统安全漏洞分类与分级是对漏洞不同抽象层次的特征属性进行描述；n某些系统的分类是在系统安全漏洞的分类基础上进行的，还有一些安全事件的处理方法也要依据系统安全漏洞来制定。21漏洞的分级规范 n根据漏洞对系统造成的潜在威胁（破坏性，危害性，严重性）以及被利用的可能性为依据将系统安全漏洞分为四级：n第一等级：紧急n第二等级：重要n第三等级：中等n第四等级：低等22第一等级：紧急 n定义：对“紧急”级别漏洞的利用可以导致网络蠕虫和病毒在用户不知情的情况下在网络上任意传播和繁殖。n对于被评为“紧急”的安全漏洞，需要立即安装升级包（补丁程序）。23第二等级：重要n定义：对“重要”级别漏洞的

9、利用可以导致严重的后果，以致危害到用户数据、相关资源的机密性、完整性和有效性。n对于被评为“重要”的安全漏洞，需要安装升级包（补丁程序）。24第三等级：中等 n定义：由于默认配置、审核或难以利用等因素的影响，“中等”级别漏洞的利用效果显著降低。n关于“中等”系统安全漏洞则应该在阅读安全信息以后判断该安全漏洞是否对此系统产生影响。n在此基础上，确认升级包不会影响到系统之后，可以采用并安装。25第四等级：低等 n定义：对于“低等”级别漏洞的利用效果己降至最低限度，漏洞利用难度非常大。n几乎所有的用户都不会受到影响的安全性漏洞将被评级为“低等”。n但关于“低等”系统安全漏洞仍应该在阅读安全信息以后判

10、断该安全漏洞是否对此系统产生影响。n在此基础上，确认升级包不会影响到系统之后，可以采用并安装。26漏洞数据库概述 n漏洞数据库的基本功能主要包括以下三点：n帮助用户确认自身应用环境中可能存在的安全漏洞，提供基本的漏洞信息查询。n安全产品厂商可以基于持续更新的漏洞数据库和用户的应用布置情况，为用户提供及时的安全预警。n为安全产品厂商基于安全漏洞发现和攻击保护类产品开发提供技术和数据支持。27漏洞数据库的特点n一个好的漏洞数据库应该体现在如下几个方面：n覆盖面广n准确性高n及时性n完全性28漏洞数据库的详细信息n漏洞数据库一般包括如下详细信息：n漏洞基本信息：漏洞名称、CVE编号、本地编号、发布/

11、更新时间等。n漏洞分类分级信息：漏洞级别/类型、攻击类型/效果等。n参考资源信息：权威网站中与此漏洞相关的信息。n受影响的系统：此漏洞对哪些系统构成威胁的信息。n关键字：描述此漏洞最关键的信息。n补丁信息：漏洞补救方法、补丁信息和补丁下载地址信息等。29CVE漏洞库 nCVE是安全漏洞及其他信息安全风险标准名称的列表，目的是使所有已知漏洞和安全风险的名称标准化。nCVE是一个字典，对每种漏洞没有详细说明，但CVE是构建权威的漏洞库的标准。30CVE的特点nCVE的建立有以下的特点：n一个漏洞或者一个暴露有自己单独的名称；n对于目前出现的每个漏洞和暴露都进行了标准描述；n它是一个字典，而不是数据

12、库；n能够让分开的数据库和安全工具用同一种语言“交谈”；n提供了一种协同工作的方式，使得安全覆盖面更广；n提供了安全工具和数据库安全评估的标准；n能方便得在Internet上下载和讨论；n通过CVE编辑板得到行业认可。31漏洞数据库的表结构 nCVE中漏洞数据库表应有的结构：32其它漏洞库 n其它比较著名的网络安全公司或组织，如Security focus公司、ISS公司、AUSCERT和DEBIAN等也都建立了自己的漏洞数据库；n我国在这方面的研究还处于起步阶段，必须尽快建立符合我国实际、权威、完备的漏洞库，以满足我国信息产业的发展需要。33扫描器的基本概念 n扫描器是一种自动检测远程或本地

13、系统安全性弱点（漏洞）的程序。n安全评估工具系统管理员保障系统安全的有效工具，目标可以是工作站、服务器、交换机、数据库应用等各种对象。n网络漏洞扫描器 网络入侵者收集信息的重要手段34扫描器的分类n根据不同的标准，安全扫描器主要可以分为以下两类：n主机安全扫描器和网络安全扫描器n端口安全扫描器和漏洞安全扫描器35主机扫描技术传统技术 n主机扫描的目的是确定在目标网络上的主机是否可达，这是信息收集的初级阶段，其效果直接影响到后续的扫描。n常用的传统扫描手段有：nICMP Echo扫描nICMP Sweep扫描nBroadcast ICMP扫描nNon-Echo ICMP扫描36ICMP echo

14、扫描n实现原理：发送ICMP Echo请求，然后等待ICMP Echo应答；如果收到了应答，则表明目标系统可达，否则表明系统不可达或发送的包被对方的设备过滤掉。其实就是使用常规的ping命令。n优点：简单，多种系统支持n缺点：很容易被防火墙限制37ICMP Sweep扫描nICMP Sweep扫描就是通过并行发送，同时扫描多个目标主机，以提高扫描效率。38Broadcast ICMP扫描n实现原理：将ICMP ECHO request包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。n缺点：n只适合于UNIX/Linux系统，Windows 会忽略这种请求包；n这种扫

15、描方式容易引起广播风暴39Non-Echo ICMP扫描n一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：nStamp Request(Type 13)nReply(Type 14)nInformation Request(Type 15)nReply(Type 16)nAddress Mask Request(Type 17)nReply(Type 18)40主机扫描技术高级技术n防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的。n非常规扫描手段有如下几种：n异常

16、的IP包头n在IP头中设置无效的字段值n错误的数据分片n通过超长包探测内部路由器n反向映射探测41异常的IP包头n向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length Field 和IP Options Field。n根据RFC1122的规定，主机应该检测IP包的Version Number、Checksum字段，路由器应该检测IP包的Checksum字段。n不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也各异。如果结合其它手段，可以初步判断目标系统所在网络过滤设备的

17、访问列表ACL。42在IP头中设置无效的字段值n向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。43错误的数据分片n当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文。n利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。44通过超长包探测内部路由器n若构造的数据包长度超过目标系统所在路由器的PMT

18、U且设置禁止分片标志,该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was Set差错报文，从而获取目标系统的网络拓扑结构。45反向映射探测n该技术用于探测被过滤设备或防火墙保护的网络和主机。通常这些系统无法从外部直接到达。n当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文，没有接收到相应错误报文的IP地址会可被认为在该网

19、络中。n当然，这种方法也会受到过滤设备的影响。46漏洞扫描 n定义：漏洞扫描是指检测远程或本地系统存在的安全缺陷。网络安全漏洞扫描器是指在Internet上通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反馈的数据包，进行解包和分析，从而检测目标网络或主机系统漏洞的程序。47漏洞扫描器的主要功能n探测扫描目标主机并且对其工作状态进行识别n对于正在运行的主机，能够识别开放的端口的状态及提供的服务n识别目标主机系统及服务程序的类型和版本，获取相应主机的系统信息n根据已知漏洞信息，进行脆弱性分析。48漏洞扫描的策略n被动式策略n主动式策略49被动式策略 n定义：被动式策略就是扫描基于主机之

20、上，从一个内部用户的角度来检测操作系统级的漏洞，主要用于检测注册表和用户配置中的漏洞。n优点：能直接获取主机操作系统的底层细节，如特殊服务和配置的细节等。n缺点：只有控制了目标主机，并将检测工具安装在目标主机，才能实施正常的扫描活动。50主动式策略n定义：主动式策略是基于网络的，它通过执行一些脚本文件、模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的安全漏洞，它从外部攻击者的角度对网络及系统架构进行扫描，主要用于查找目标开放的端口、提供的网络服务及协议中的漏洞。n优点：能够有效的发现那些基于主机的扫描所不能发现的网络设备漏洞，如路由器、交换机、远程访问服务和防火墙等存在的漏洞。51端口

21、扫描方式n当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。n常见的端口扫描方式主要有以下几种：nTCP Connect()扫描 nTCP SYN扫描nTCP FIN扫描nTCP Null扫描nTCP Xmas Tree扫描nTCP Maimon 扫描nTCP FragmentationnUDP扫描52TCP Connect()扫描 n原理：扫描主机通过与扫描的目标机器的制定端口建立一次完整的TCP连接，以确定目标主机所开放的端口。扫描主机调用系统的Connect()函数，尝试与目标主机建立一个TCP连接，如果被扫描的端口开放，则连接建立

22、成功；否则，返回-1，表明该端口关闭。n优点：不需要任何特殊的权限，系统任何用户都可以调用connect()函数；且该方法的速度快。n缺点：容易被发觉，容易被防火墙过滤掉，并且目标主机的日志文件会记录一系列有关该服务的连接信息。53一个TCP connect()扫描例子n利用nmap的-sT选项可以进行TCP connect()扫描。我们对202.119.201.74进行扫描，结果如下图所示：n通过扫描结果我们可以得到202.119.201.74 的4个端口的信息。54TCP SYN扫描 n原理：首先扫描程序发送一个SYN数据包，假装要打开一个实际的连接并等待反应。如果返回Synlack信息就

23、表示端口处于侦听状态。如果返回RST则表示端口没有处于侦听态。假如收到一个Synlack，则扫描程序就发送一个RST信号来关闭这个连接过程而不是发送ACK包。这种技术通常认为是“半开放”扫描，因为它不完成一次完整的TCP连接。n优点：一般不会在目标计算机上留下记录n缺点：必须要有管理员权限才能建立自己的SYN数据包55一个TCP SYN扫描例子n利用nmap的-sS选项可进行TCP SYN扫描。我们对202.119.201.74进行扫描，结果下图所示：56TCP FIN扫描 n原理：TCP FIN扫描通过向目标主机发送包含FIN标志的TCP包探测端口，如果被探测的目标主机的端口处于关闭状态，则

24、目标主机返回一个RST信号；如果目标主机的端口处于侦听状态，则目标主机会忽略对FIN数据包的回复，即主机不会返回RST信号。通过是否返回RST信号，可以判定目标主机开放了哪些端口。n优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。n缺点：n跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；n通常适用于UNIX目标主机。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。57一个TCP FIN扫描例子n利用nmap

25、的-sF选项可进行TCP FIN扫描。我们对202.119.201.86（Red Hat Linux 9）进行扫描，结果下图所示：58 TCP Null扫描 n原理：TCP Null扫描和TCP FIN扫描的原理相似。TCP Null扫描将发送的探测包的所有标志位置0，则如果被探测的目标主机的端口处于关闭状态，则目标主机返回一个RST信号；如果目标主机的端口处于侦听状态，则主机不会返回RST信号。通过是否返回RST信号，可以判定目标主机开放了哪些端口。59一个TCP Null扫描例子n利用nmap的-sN选项可进行TCP Null扫描。我们对202.119.201.86进行扫描，结果下图所示：

26、60TCP Xmas Tree扫描 n原理：TCP Xmas Tree扫描只是将探测包的标志位中的FIN，PSH与URG设置为1。同样，对于TCP Xmas Tree的探测报文，如果端口开放则目标主机不返回RST信号，若端口关闭则返回RST信号。61一个TCP Xmas Tree扫描例子n利用nmap的-sX选项可进行TCP Xmas Tree扫描。我们对202.119.201.86进行扫描，结果下图所示：62TCP Maimon 扫描 nTCP Maimon 扫描和Null、FIN、以及Xmas扫描完全一样，除了探测报文中设置的标志位是FIN 与ACK。根据RFC 793（TCP），无论端口

27、开放或者关闭，都应该对这样的探测响应RST报文。63一个TCP Maimon 扫描例子n利用nmap的-sM选项可进行TCP Xmas Tree扫描。我们对202.119.201.86进行扫描，结果下图所示，结果显示未扫出端口。64TCP Fragmentation n原理：通过把一个TCP报分割到多个IP包中，可使防火墙无法从一个IP包中找到完整的TCP报头，从而无法进行过滤。n优点：隐蔽性好，可穿越防火墙n缺点：n可能被丢弃；n某些程序在处理这些小数据包时会出现异常。65UDP扫描 nUDP是无连接的协议，不需要建立连接过程，但这个协议不能保证数据的安全到达。包括以下几种：nUDP ICM

28、P端口不能到达扫描 nUDP recvfrom()和write()扫描n高级UDP扫描技术 66UDP ICMP端口不能到达扫描 n这个协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。幸运的是，许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH的错误。这样你就能发现那个端口是关闭的了。UDP和ICMP错误都不保证能到达，因此这种扫描方法还必须实现一个包，这种包看上去是丢失的时候能重新传输。n缺点：速度慢，因为RFC对ICMP错误消息的产生速率作了规定；并且需要具有root

29、权限。67UDP recvfrom()和write()扫描 n当非root用户不能直接读到端口不能到达错误信息时，Linux能间接地在它们到达时通知用户。比如，对一个关闭的端口的第二个write()调用将失败。在非阻塞UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时返回eagain重试。如果ICMP到达时，返回econnrefused连接被拒绝。这就是用来查看端口是否打开的技术。68高级UDP扫描技术 n在UDP实现的扫描中，多是利用和ICMP的组合进行。还有一些特殊的就是UDP回馈。比如SQL SERVER，对其1434端口发送x02或者x03就能够探测得到其连接端口。

30、这种扫描主要针对应用程序的扫描，通过对应用程序常常打开的端口扫描得到该应用程序的信息。69扫描工具 n定义：扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本，从而间接或直观地了解到远程主机所存在的安全问题。n功能：主机扫描、端口扫描和漏洞扫描的功能、而且还具有攻击功能。n常用的有X-Scan、Fluxay等。70X-Scan nX-Scan是国内著名网络安全组织“安全焦点”开发的综合扫描工具，能提供漏洞扫描、漏洞溢出程序报告，方便管理和测试网络。n采用多线程方式对指定IP地址段(或单机)进行安全漏洞

31、检测，支持插件功能，提供了图形界面和命令行两种操作方式n扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。n对于多数已知漏洞，给出了相应的漏洞描述、解决方案及详细描述链接。71设置扫描IP范围n设置扫描的IP范围为 202.119.201.65-202.119.201.254 72全局设置模块 73设置扫描插件 74扫描75扫描报告 76Fluxay流光 n使用流光扫描时，通常要把扫描的线程设置为中等（“选项”“系统设置”），若线程过高，可能会出现错误，如上图所示。77利用流光扫描IP段n选择“文件”“高级扫描向导”，

32、分别填入“起始地址”和“结束地址”，选择要检测的项目，如下图所示。n单击“下一步”，将进入一系列的设置，如“POP”、“Telnet”、“CGI”扫描设置，可根据需要选择或改变默认扫描值，具体设置过程不再叙述。78设置扫描的主机 79扫描结果 n上图的扫描结果表明主机202.119.201.78的口令为空。80利用流光的“Sensor扫描”n假设扫描出了主机202.119.201.78存在弱口令，左键单击扫描到的主机202.119.201.78，选择“安装Fluxay Sensor”，如下图所示：81填写安装信息 82网段扫描 n选择“探测”“高级扫描设置”，如下图所示，设置扫描的网段。83选择扫描主机 84扫描进程和控制进程 n在主机202.119.201.78的任务管理器中，可以看到两个进程Sensor.exe与control.exe，分别是流光安装在202.119.201.78上的扫描进程和控制进程，如下图所示：85扫描器的实现n不管是基于主机的安全扫描还是基于网络的安全扫描，其核心逻辑结构主要由以下部分组成：n策略分析部分n获取检测工具部分n获取数据部分n事实分析部分n报告分析部分86安全扫描系统的逻辑结构图87