安全脆弱性分析.pptx

1、认识黑客HackernHacker起源nHack:(1)cut roughly or clumsily,chop(砍辟砍辟)(2)horse may be hired (3)person paid to do hard 引伸义干了一件漂亮的事引伸义干了一件漂亮的事nHacker:(1)a computer buff (黑客黑客)(2)One who illegally gains access to)(2)One who illegally gains access to or enters anothers electronic or enters anothers electronic s

2、ystem to obtain secret information system to obtain secret information or steal money or steal moneynCracker:One who makes unauthorized use of a （骇客）（骇客）computer,especially to tamper with data or programs.黑客守则n1)不恶意破坏系统不恶意破坏系统n2)不修改系统文档不修改系统文档n3)不在不在bbs上谈论入侵事项上谈论入侵事项n4)不把要侵入的站点告诉不信任的朋友不把要侵入的站点告诉不信任的

3、朋友n5)在在post文章时不用真名文章时不用真名n6)入侵时不随意离开用户主机入侵时不随意离开用户主机n7)不入侵政府机关系统不入侵政府机关系统n8)不在电话中谈入侵事项不在电话中谈入侵事项n9)将笔记保管好将笔记保管好n10)要成功就要实践要成功就要实践n11)不删除或涂改已入侵主机的帐号不删除或涂改已入侵主机的帐号n12)不与朋友分享已破解的帐号不与朋友分享已破解的帐号一、入侵行为分析一、入侵行为分析 界定是否受到了黑客的入侵和攻击：界定是否受到了黑客的入侵和攻击：狭义的定义狭义的定义：攻击仅仅发生在入侵行为完：攻击仅仅发生在入侵行为完 成且入侵者已经在其目标网络中。成且入侵者已经在其目

4、标网络中。广义的定义广义的定义：使网络受到入侵和破坏的所：使网络受到入侵和破坏的所 有行为都应被为有行为都应被为“攻击攻击”。本书采纳广义的定义，即认为当入侵者试图本书采纳广义的定义，即认为当入侵者试图在目标机上在目标机上“工作工作”的那个时刻起，攻击就的那个时刻起，攻击就已经发生了。已经发生了。下面将从几个方面分析系统中发生的各下面将从几个方面分析系统中发生的各种入侵行为，包括种入侵行为，包括入侵者的目的入侵者的目的、实施入侵实施入侵的人员的人员、入侵过程中的各个阶段入侵过程中的各个阶段和和每个阶段每个阶段不同的特点不同的特点。入侵者的目的各不相同。入侵者的目的各不相同。善意的入侵者善意的入

5、侵者只是想探索互联网，看看未只是想探索互联网，看看未知的部分是什么。而知的部分是什么。而恶意的入侵者恶意的入侵者可能读取可能读取特权数据、进行非授权修改或者破坏系统。特权数据、进行非授权修改或者破坏系统。但很难分清入侵者的行为是善意的还是恶意但很难分清入侵者的行为是善意的还是恶意的，然而分析黑客的目的还是有助于我们了的，然而分析黑客的目的还是有助于我们了解入侵者的行为，特别是有助于了解系统的解入侵者的行为，特别是有助于了解系统的哪些部分最容易受到攻击。哪些部分最容易受到攻击。大体说来入侵者在入侵一个系统者时会大体说来入侵者在入侵一个系统者时会想达到以下目的中的一种或几种：想达到以下目的中的一种

6、或几种：（1）执行进程：执行进程：攻击者在成功入侵目标主机后，或许仅仅攻击者在成功入侵目标主机后，或许仅仅是为了运行一些程序，而且这些程序除了消是为了运行一些程序，而且这些程序除了消耗了系统资源外，对目标机器本身是无害的耗了系统资源外，对目标机器本身是无害的 。举例来说，一些扫描程序只能在。举例来说，一些扫描程序只能在UNIX UNIX 系系统中运行，这时候统中运行，这时候 ，攻击者就可能入侵一台，攻击者就可能入侵一台UNIXUNIX系统的工作站系统的工作站 。尽管这种情况对目标。尽管这种情况对目标主机本身并无多大坏处主机本身并无多大坏处 ，但是潜在的危害是，但是潜在的危害是不能被忽视的不能被

7、忽视的 ，抛开消耗的资源不说，这种，抛开消耗的资源不说，这种行为可能将责任转移到目标主机行为可能将责任转移到目标主机 ，后果是难后果是难以估计以估计的。的。（2 2）获取文件和数据：）获取文件和数据：入侵者的目标是系统中的重要数据。入侵者可以入侵者的目标是系统中的重要数据。入侵者可以通过登录目标主机，使用网络监听程序进行攻通过登录目标主机，使用网络监听程序进行攻击。监听到的信息可能含有重要的信息，如关击。监听到的信息可能含有重要的信息，如关于用户口令的信息等。于用户口令的信息等。（3 3）获取超级用户权限：）获取超级用户权限：在多用户的系统中，超级用户可以做任何事情，在多用户的系统中，超级用户

8、可以做任何事情，因此获取超级拥护权限这是每一个入侵者都梦因此获取超级拥护权限这是每一个入侵者都梦寐以求的。寐以求的。（4 4）进行非授权操作：）进行非授权操作：很多用户都有意无意的去尝试尽量获得超出许可很多用户都有意无意的去尝试尽量获得超出许可的一些权限，如他们会寻找管理员设置中的一的一些权限，如他们会寻找管理员设置中的一些漏洞，或者寻找一些工具来突破系统的防线。些漏洞，或者寻找一些工具来突破系统的防线。（5 5）使系统拒绝服务）使系统拒绝服务 ：这种攻击将使目标系统中断或者完全拒绝对合法这种攻击将使目标系统中断或者完全拒绝对合法用户用户 、网络、系统或其他资源的服务、网络、系统或其他资源的服

9、务 。任何这。任何这种攻击的意图通常都是邪恶的种攻击的意图通常都是邪恶的 ，然而这种攻击，然而这种攻击往往不需要复杂技巧，只需借助很容易找到的往往不需要复杂技巧，只需借助很容易找到的工具。工具。（6 6）篡改信息：）篡改信息：包括对重要文件的修改、更换、删除等。不真实包括对重要文件的修改、更换、删除等。不真实或者错误的信息往往会给用户造成巨大的损失。或者错误的信息往往会给用户造成巨大的损失。（7 7）批露信息：批露信息：入侵者将目标站点的重要信息与数入侵者将目标站点的重要信息与数 据发往公开的据发往公开的站点造成了信息扩散，由于那些站点造成了信息扩散，由于那些 公开的公开的站点往站点往往会有许

10、多人访问，其他用往会有许多人访问，其他用户就可能得到这些户就可能得到这些信息，并将其再次扩散出去。信息，并将其再次扩散出去。入侵者的三种类型入侵者的三种类型伪装者：伪装者：未经授权使用计算机者或绕开系统访未经授权使用计算机者或绕开系统访问控制机制获得合法用户账户权限者，都称为问控制机制获得合法用户账户权限者，都称为伪装者。伪装者。违法者：违法者：未经授权访问数据、程序或资源的合未经授权访问数据、程序或资源的合法用户，或者具有访问授权但错误使用其权利法用户，或者具有访问授权但错误使用其权利的人，称为违法者。的人，称为违法者。秘密用户：秘密用户：拥有账户管理权限者，利用这种控拥有账户管理权限者，利

11、用这种控制来逃避审计和访问数据，或者禁止收集审计制来逃避审计和访问数据，或者禁止收集审计数据，我们称其为秘密用户。数据，我们称其为秘密用户。伪装者很可能是外部人员；伪装者很可能是外部人员；违法者一般是内部人员；违法者一般是内部人员；秘密用户可能是外部人员、内部人员。秘密用户可能是外部人员、内部人员。网络攻击三部曲网络攻击三部曲:踩点踩点-扫描扫描-攻击攻击踩点(信息收集)SNMP协议：协议：简单网络管理协议简单网络管理协议(Simple Network(Simple Network Management Protocol SNMP)Management Protocol SNMP)。一种从网络

12、上的设。一种从网络上的设备中收集网络管理信息的方法。备中收集网络管理信息的方法。TraceRoute程序：程序：可以使用这一工具了解服务商目可以使用这一工具了解服务商目前的网络连接情况。前的网络连接情况。Whois协议：协议：是用来查询域名的是用来查询域名的IP以及所有者等信以及所有者等信息的传输协议。息的传输协议。DNS服务器：服务器：自动把域名地址转为自动把域名地址转为IPIP地址。地址。Finger协议：协议：UNIX UNIX 查询用户情况的实用程序。查询用户情况的实用程序。Ping实用程序：实用程序：测试程序测试程序踩点需要得到的信息至少有以下几种：踩点需要得到的信息至少有以下几种：

13、1 1）通过尽可能多地收集关于一个系统的安全态势）通过尽可能多地收集关于一个系统的安全态势的各个方面的信息，从而构造出关于该目标机构的各个方面的信息，从而构造出关于该目标机构的因特网的因特网 、远程访问及内联网、远程访问及内联网 /外联网之间的结外联网之间的结构。构。（2 2）通过使用）通过使用ping ping 扫描、端口扫描以及操作系统检扫描、端口扫描以及操作系统检测等工具和技巧，进一步掌握关于目标环境所依测等工具和技巧，进一步掌握关于目标环境所依赖的平台、服务等相关信息。赖的平台、服务等相关信息。（3 3）从系统中抽取有效账号或者导出资源名，这时从系统中抽取有效账号或者导出资源名，这时

14、会涉及到往目标系统的主动连接和定向查询。会涉及到往目标系统的主动连接和定向查询。n扫描漏洞侦测扫描漏洞侦测使用自制工具使用自制工具使用专用工具使用专用工具SATAN等等Administrator Tool for Analyzing Networks 网路安全管理工具网路安全管理工具n攻击攻击建立帐户建立帐户安装远程控制器安装远程控制器发现信任关系全面攻击发现信任关系全面攻击获取特权获取特权二、安全威胁分析二、安全威胁分析计算机系统所面临的各种安全威胁，包括计算机系统所面临的各种安全威胁，包括安安全威胁的来源全威胁的来源、分类分类和和特点特点等。等。威胁来源威胁来源 计算机系统面临的安全威胁有

15、计算机系计算机系统面临的安全威胁有计算机系统的外部的，也有计算机系统内部的。计算统的外部的，也有计算机系统内部的。计算机系统外部威胁主要有以下几类：机系统外部威胁主要有以下几类：系统外部威胁来源系统外部威胁来源 1 1）自然灾害、意外事故；自然灾害、意外事故；2 2）计算机病毒；计算机病毒；3 3）人为行为，如使用不当，安全意识差等；人为行为，如使用不当，安全意识差等；4 4）“黑客黑客”行为：由于黑客的入侵或侵扰，比如非行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务、非法连接等；法访问、拒绝服务、非法连接等；5 5）内部泄密；内部泄密；6 6）外部泄密；外部泄密；7 7）信息丢失；信息丢

16、失；8 8）电子谍报，比如信息流量分析、信息窃取等；电子谍报，比如信息流量分析、信息窃取等；9 9）信息战。信息战。计算机系统内部存在安全威胁的原因：计算机系统内部存在安全威胁的原因：1 1）操作系统本身所存在的一些缺陷；操作系统本身所存在的一些缺陷；2 2）数据库管理系统安全的脆弱性；数据库管理系统安全的脆弱性；3 3）管理员缺少安全方面的知识管理员缺少安全方面的知识 ，缺少安全管理，缺少安全管理 的技术规范，缺少定期安全测试与检查；的技术规范，缺少定期安全测试与检查；4 4）网络协议中的缺陷，例如网络协议中的缺陷，例如TCP/IPTCP/IP协议的安全问协议的安全问题；题；5 5）应用系统

17、缺陷等等。应用系统缺陷等等。攻击分类攻击分类 攻击的分类方法是多种多样的。这里根据入侵者使用攻击的分类方法是多种多样的。这里根据入侵者使用的手段和方式，将攻击分为的手段和方式，将攻击分为口令攻击口令攻击、拒绝服务攻击拒绝服务攻击、利用型攻击利用型攻击、信息收集攻击信息收集攻击以及以及假消息攻击假消息攻击这几大类。这几大类。（1）口令攻击）口令攻击 抵抗入侵者的第一道防线是抵抗入侵者的第一道防线是口令系统口令系统。几乎所有的。几乎所有的多用户系统都要求用户不但提供一个名字或标识符多用户系统都要求用户不但提供一个名字或标识符 (ID)(ID)，而且要提供一个口令。口令用来鉴别一个注册，而且要提供一

18、个口令。口令用来鉴别一个注册系统的个人系统的个人ID ID。在实际系统中，入侵者总是试图通。在实际系统中，入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令，过猜测或获取口令文件等方式来获得系统认证的口令，从而进入系统。入侵者登录后，便可以查找系统的其从而进入系统。入侵者登录后，便可以查找系统的其他安全漏洞，他安全漏洞，从而得到进一从而得到进一步的特权。步的特权。为了避免入侵者轻易的猜测出口令，用户应该避为了避免入侵者轻易的猜测出口令，用户应该避免使用不安全的口令。免使用不安全的口令。不安全的口令类型有不安全的口令类型有:a)a)用户名或用户名的变形；用户名或用户名的变形；b)b)

19、电话号码、执照号码等；电话号码、执照号码等；c)c)一些常见的单词；一些常见的单词；d)d)生日；生日；e)e)长度小于长度小于5 5的口令；的口令；f)f)空口令或默认口令；空口令或默认口令；g)g)上述词后加上数字。上述词后加上数字。（2 2）拒绝服务攻击）拒绝服务攻击(DOS)(DOS)目标系统的安全措施往往会让初级技能的目标系统的安全措施往往会让初级技能的攻击者束手无策。受到挫折后，攻击者往攻击者束手无策。受到挫折后，攻击者往往用往用DOS(Denial of Services)DOS(Denial of Services)发动攻击。这种发动攻击。这种攻击使得目标系统无法提供正常的服务

20、攻击使得目标系统无法提供正常的服务，从而可能给目标系统带来重大的损失。值从而可能给目标系统带来重大的损失。值得引起我们关注的是，现实情况中破坏一得引起我们关注的是，现实情况中破坏一个网络或系统的运行往往比真正取得他们个网络或系统的运行往往比真正取得他们的访问权容易的多的访问权容易的多 。四种常见的四种常见的DOSDOS攻击类型及原理攻击类型及原理 a a）带宽耗用）带宽耗用（bandwidth-consumptionbandwidth-consumption）：）：其本质是攻击者消耗掉通达某个网络的所其本质是攻击者消耗掉通达某个网络的所有可用带宽。有可用带宽。一种情况是攻击者有比受害者网络的

21、带宽一种情况是攻击者有比受害者网络的带宽更大的可用带宽，从而可以造成受害者的网更大的可用带宽，从而可以造成受害者的网络拥塞。络拥塞。另一种情况是攻击者通过征用多个站点集另一种情况是攻击者通过征用多个站点集中拥塞受害者的网络连接来放大中拥塞受害者的网络连接来放大DOSDOS攻击效攻击效果。又称为分布式拒绝服务攻击果。又称为分布式拒绝服务攻击 (DDOS:(DDOS:Distributed Denial of Services)Distributed Denial of Services)DDOS DDOS Distributed Denial of Services Distributed De

22、nial of Services很多很多DOSDOS攻击源一起攻击某台服务器就组成了攻击源一起攻击某台服务器就组成了DDOSDDOS攻击攻击.DDoS DDoS攻击手段是在传统的攻击手段是在传统的DoSDoS攻击基础之上产攻击基础之上产生的一类攻击方式。生的一类攻击方式。单一的单一的DoSDoS攻击一般是采用一对一方式的，当被攻击一般是采用一对一方式的，当被攻击目标攻击目标CPUCPU速度低、内存小或者网络带宽小等速度低、内存小或者网络带宽小等等各项性能指标不高等各项性能指标不高,它的效果是明显的。它的效果是明显的。如果说计算机与网络的处理能力加大了如果说计算机与网络的处理能力加大了1010倍

23、用倍，用一台攻击机来攻击不再能起作用的话，攻击者使一台攻击机来攻击不再能起作用的话，攻击者使用用1010台攻击机同时攻击呢？用台攻击机同时攻击呢？用100100台呢？台呢？图图1 DDOS1 DDOS攻击汇总示意图攻击汇总示意图Internet中用中用于邮件收发于邮件收发的后台程序的后台程序 b b）资源衰竭）资源衰竭（resource-starvationresource-starvation）：）：这类攻击不同于带宽耗用攻击的地方在于这类攻击不同于带宽耗用攻击的地方在于前者集中于系统资源而不是网络资源的消耗。前者集中于系统资源而不是网络资源的消耗。一般地说，它涉及诸如一般地说，它涉及诸如

24、CPUCPU利用率、内存、利用率、内存、文件系统限额和系统进程总数之类系统资源文件系统限额和系统进程总数之类系统资源的消耗。攻击者往往拥有一定数量系统资源的消耗。攻击者往往拥有一定数量系统资源的合法访问权限。然而他们滥用这种访问权的合法访问权限。然而他们滥用这种访问权消耗额外的资源，这么一来，合法用户被剥消耗额外的资源，这么一来，合法用户被剥夺了原来享有的资源份额。夺了原来享有的资源份额。c c）编程缺陷）编程缺陷（programming flawprogramming flaw）：）：是应用程序、操作系统或嵌入式是应用程序、操作系统或嵌入式CPUCPU在处理在处理异常条件上的失败。这些异常条

25、件往往是用异常条件上的失败。这些异常条件往往是用户发送不期望的数据造成的。户发送不期望的数据造成的。d d）路由和）路由和DNSDNS攻击：攻击：基于路由的基于路由的DOSDOS攻击涉及攻击者操纵路由表项攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。以拒绝对合法系统或网络提供服务。攻击者这时往往通过假冒源攻击者这时往往通过假冒源IPIP地址就能达到目地址就能达到目的。这种攻击的后果是去往受害者网络的数据包的。这种攻击的后果是去往受害者网络的数据包或者经由攻击者的网络路由，或者被路由到不存或者经由攻击者的网络路由，或者被路由到不存在的网络地址。在的网络地址。基于域名系统（基于域名系统

26、DNSDNS）的攻击往往将受害者域）的攻击往往将受害者域名服务器高速缓存中的信息修改成名服务器高速缓存中的信息修改成虚假的地址信虚假的地址信息。这样当合法用户请求某台息。这样当合法用户请求某台DNSDNS服务器执行查服务器执行查找请求攻击者就达到了把服务请求重定向到自己找请求攻击者就达到了把服务请求重定向到自己指定的站点的目的。指定的站点的目的。（3 3）利用型攻击）利用型攻击 利用型攻击是一种试图直接对主机进行控制利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式：特洛伊木马的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出攻击。和缓冲区溢出攻击。a a）特洛伊木马）

27、特洛伊木马:表面看是有用的软件工具，而实表面看是有用的软件工具，而实际上却在启动后暗中安装破坏性的软件。许多远际上却在启动后暗中安装破坏性的软件。许多远程控制后门往往伪装成无害的工具或文件，使得程控制后门往往伪装成无害的工具或文件，使得轻信的用户不知不觉的安装他们。轻信的用户不知不觉的安装他们。b b）缓冲区溢出攻击）缓冲区溢出攻击（Buffer OverflowBuffer Overflow）：通过往程）：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行一溢出，从而破坏程序的堆栈，使程序转而执行一段恶意代码，

28、以达到攻击的目的。段恶意代码，以达到攻击的目的。（4 4）信息收集型攻击）信息收集型攻击 消息收集型攻击并不直接对目标系统消息收集型攻击并不直接对目标系统本身造成危害。这类攻击为进一步的入侵本身造成危害。这类攻击为进一步的入侵提供必须的信息。提供必须的信息。这些攻击手段大部分在黑客入侵三步这些攻击手段大部分在黑客入侵三步曲中的第一步曲中的第一步窥探设施时使用。窥探设施时使用。扫描技术就是常用消息收集型攻击方法。扫描技术就是常用消息收集型攻击方法。扫描技术大致可以分为扫描技术大致可以分为pingping扫描扫描 、端口扫描端口扫描以及以及操作系统检测操作系统检测这三类工具和技巧。这三类工具和技巧

29、通过使用通过使用ping ping 扫描工具，入侵者可以标示扫描工具，入侵者可以标示出存活的系统，从而指出潜在的目标。出存活的系统，从而指出潜在的目标。通过使用各种端口扫描工具，入侵者可以通过使用各种端口扫描工具，入侵者可以进而标示出正在监听着的潜在服务，并将目进而标示出正在监听着的潜在服务，并将目标系统的暴露程度做出一些假设。标系统的暴露程度做出一些假设。使用操作系统检测软件可以相当准确的确使用操作系统检测软件可以相当准确的确定目标系统的特定操作系统。从而为以后的定目标系统的特定操作系统。从而为以后的攻击系统的活动提供重要的信息。攻击系统的活动提供重要的信息。（5 5）假消息攻击）假消息攻

30、击 攻击者用配置不正确的消息来欺骗目标系攻击者用配置不正确的消息来欺骗目标系统，以达到攻击的目的被称为假消息攻击。统，以达到攻击的目的被称为假消息攻击。常见的假消息攻击形式有电子邮件欺骗、常见的假消息攻击形式有电子邮件欺骗、IPIP欺骗、欺骗、WebWeb欺骗及欺骗及DNSDNS欺骗等：欺骗等：a a）电子邮件欺骗）电子邮件欺骗 ：常见的通过电子邮件的攻击方法有：隐藏发信常见的通过电子邮件的攻击方法有：隐藏发信人的身份，发送匿名或垃圾信件；使用用户熟人的身份，发送匿名或垃圾信件；使用用户熟悉的人的电子邮件地址骗取用户的信任；通过悉的人的电子邮件地址骗取用户的信任；通过电子邮件执行恶意的代码。电

31、子邮件执行恶意的代码。b b）IPIP欺骗：欺骗：IPIP欺骗的主要动机是隐藏自己的欺骗的主要动机是隐藏自己的 IPIP地址，防止地址，防止被跟踪。有些网络协议仅仅以被跟踪。有些网络协议仅仅以IPIP地址作为认证地址作为认证手段，此时伪造手段，此时伪造IPIP就可以轻易的骗取系统的信就可以轻易的骗取系统的信任。对于设置了防火墙的目标系统，将自己的任。对于设置了防火墙的目标系统，将自己的IPIP伪装成该系统的内部伪装成该系统的内部IPIP有可能使得攻击者冲有可能使得攻击者冲破目标系统的防火墙。破目标系统的防火墙。c c）WEBWEB欺骗：欺骗：由于由于InternetInternet的开放性，任

32、何用户都可以的开放性，任何用户都可以建立自己的建立自己的WEBWEB站点，同时并不是每个站点，同时并不是每个用户都了解用户都了解WEBWEB的运行规则。这就使得的运行规则。这就使得攻击者的攻击者的WEBWEB欺骗成为可能。常见的欺骗成为可能。常见的 WEB WEB 欺骗的形式有欺骗的形式有 ：使用相似的域名：使用相似的域名 、改写改写URLURL、WEBWEB会话劫持等。会话劫持等。d d）DNSDNS欺骗：欺骗：修改上一级修改上一级DNSDNS服务记服务记录，重定向录，重定向DNSDNS请求，使受害者获得不请求，使受害者获得不正确的正确的IPIP地址。地址。三、安全扫描技术三、安全扫描技术

33、安全扫描技术指手工地或使用特定的软件安全扫描技术指手工地或使用特定的软件工具工具安全扫描器，对系统脆弱点进行评估，安全扫描器，对系统脆弱点进行评估，寻找可能对系统造成损害的安全漏洞。扫描主寻找可能对系统造成损害的安全漏洞。扫描主要分为要分为系统扫描系统扫描和和网络扫描网络扫描两个方面，两个方面，系统扫系统扫描描侧重主机系统的平台安全性以及基于此平台侧重主机系统的平台安全性以及基于此平台的应用系统的安全，而的应用系统的安全，而网络扫描网络扫描侧重于系统提侧重于系统提供的网络应用和服务及相关的协议分析。供的网络应用和服务及相关的协议分析。扫描的主要目的是通过一定的手段和扫描的主要目的是通过一定的手

34、段和方法发现系统或网络潜在的隐患，以利于方法发现系统或网络潜在的隐患，以利于己方及时修补或发动对敌方系统的攻击。己方及时修补或发动对敌方系统的攻击。同时，自动化的安全扫描器要对目标同时，自动化的安全扫描器要对目标系统进行漏洞检测和分析，提供详细的漏系统进行漏洞检测和分析，提供详细的漏洞描述，并针对安全漏洞提出修复建议和洞描述，并针对安全漏洞提出修复建议和安全策略，生成完整的安全性分析报告。安全策略，生成完整的安全性分析报告。为网络管理员完善系统提供重要依据。为网络管理员完善系统提供重要依据。有两种主要类型的安全扫描器：有两种主要类型的安全扫描器：（1 1）本地扫描器或系统扫描器：）本地扫描器或

35、系统扫描器：扫描器扫描器和待检查系统运行于同一结点，执行自身和待检查系统运行于同一结点，执行自身检查。检查。（2 2）远程扫描器或网络扫描器：）远程扫描器或网络扫描器：扫描器扫描器和待检查系统运行于不同结点，通过网络和待检查系统运行于不同结点，通过网络远程探测目标结点，寻找安全漏洞。远程探测目标结点，寻找安全漏洞。安全扫描的必要性安全扫描的必要性 网络系统的安全漏洞网络系统的安全漏洞也就是它防护最弱的部分也就是它防护最弱的部分，不管系统其它，不管系统其它部分如何强壮，一旦此漏洞被利用部分如何强壮，一旦此漏洞被利用，就会，就会给网络带来灾难。如何找到这些漏洞并加以给网络带来灾难。如何找到这些漏洞

36、并加以保护，是系统管理所必须保护，是系统管理所必须保证做到的任务。保证做到的任务。如果能够模拟攻击者的行为，扫描系统的安如果能够模拟攻击者的行为，扫描系统的安全漏洞，并加以保护和改进，攻击者的可乘全漏洞，并加以保护和改进，攻击者的可乘之机就会越来越少。之机就会越来越少。安全扫描器需要对目标系统进行全面的检安全扫描器需要对目标系统进行全面的检查，以发现可能的安全漏洞。但两大类安全查，以发现可能的安全漏洞。但两大类安全扫描器在检查项目方面又各有侧重点。扫描器在检查项目方面又各有侧重点。本地扫描器本地扫描器(Local Scanner)(Local Scanner)分析文件的内容，查找分析文件的内容

37、查找可能存在的配置问题。由于本地扫描器实际上是运可能存在的配置问题。由于本地扫描器实际上是运行于目标结点上的进程，具有以下几个特点：行于目标结点上的进程，具有以下几个特点：（1 1）可以在系统上任意创建进程。为了运行某些可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，要求扫描器必须做到程序，检测缓冲区溢出攻击，要求扫描器必须做到这一点。这一点。（2 2）可以检查到安全补丁一级，以确保系统安装可以检查到安全补丁一级，以确保系统安装了最新的安全解决补丁。了最新的安全解决补丁。（3 3）可以通过在本地查看系统配置文件，检查系可以通过在本地查看系统配置文件，检查系统统 的配置错误。的

38、配置错误。而除非能够攻入系统，远程扫描器无法达到上述而除非能够攻入系统，远程扫描器无法达到上述要求，所以本地扫描器可以查出许多远程扫描器检要求，所以本地扫描器可以查出许多远程扫描器检查不出来的问题。查不出来的问题。远程扫描器远程扫描器(Remote Scanner)(Remote Scanner)检查网络和分布式检查网络和分布式系统的安全漏洞。与本地服务器通过运行程序、查系统的安全漏洞。与本地服务器通过运行程序、查看文件来检查安全漏洞不同的是，远程扫描器通过看文件来检查安全漏洞不同的是，远程扫描器通过执行一整套综合的穿透测试（执行一整套综合的穿透测试（Penetration TestingPe

39、netration Testing）程序集程序集 ，发送经精心构造的数据包来检测目标系，发送经精心构造的数据包来检测目标系统。被测系统和扫描器可以是同一类型的操作系统，统。被测系统和扫描器可以是同一类型的操作系统，也可以是不同类型的。也可以是不同类型的。本地扫描和远程扫描二者相辅相成，在系统本地扫描和远程扫描二者相辅相成，在系统环境中对二者加以综合利用非常有必要。有时，它环境中对二者加以综合利用非常有必要。有时，它们会以不同的方式检测出同一问题，这一特征对实们会以不同的方式检测出同一问题，这一特征对实现多种层次的安全性是很有用的。现多种层次的安全性是很有用的。安全扫描技术分析安全扫描技术分析

40、扫描器的工作过程通常包括三个阶段：扫描器的工作过程通常包括三个阶段：发现目标主机或网络发现目标主机或网络;进一步发现目标系统类型及配置等信息进一步发现目标系统类型及配置等信息;测试哪些服务具有安全漏洞测试哪些服务具有安全漏洞;系统管理员使用扫描器来发现系统存在的问题，系统管理员使用扫描器来发现系统存在的问题，而攻击者使用它则可以破坏被攻击对象的安全。二而攻击者使用它则可以破坏被攻击对象的安全。二者都关心如何发现目标主机或网络中存在的安全漏者都关心如何发现目标主机或网络中存在的安全漏洞。由于未经同意的网络扫描行为往往意味着网络洞。由于未经同意的网络扫描行为往往意味着网络攻击的开始，所以攻击者还需

41、要考虑如何避免扫描攻击的开始，所以攻击者还需要考虑如何避免扫描动作被发现。动作被发现。（一）端口扫描技术（一）端口扫描技术 端口扫描技术可分为端口扫描技术可分为全开扫描全开扫描(open(open scanning)scanning)、半开扫描半开扫描(half-open scanning)(half-open scanning)、秘秘密扫描密扫描(stealth scanning)(stealth scanning)、区段扫描区段扫描(sweeps(sweeps scanning)scanning)等。等。这些技术都可用于查找服务器上打开和关这些技术都可用于查找服务器上打开和关闭的端口，从而

42、发现该服务器上对外开放闭的端口，从而发现该服务器上对外开放的服务。但并不是每一种技术都可以保证的服务。但并不是每一种技术都可以保证能得到正确结果的，它能否成功还依赖于能得到正确结果的，它能否成功还依赖于远程目标的网络拓扑结构、远程目标的网络拓扑结构、IDS(IDS(入侵检测入侵检测系统系统)、日志机制等配置。、日志机制等配置。图图2 2 常见端口扫描技术及其分类常见端口扫描技术及其分类 全开扫描全开扫描(open scan,TCP connect)(open scan,TCP connect)全开扫描技术通过直接同目标主机通过全开扫描技术通过直接同目标主机通过一次完整的三次一次完整的三次TCP

43、/IPTCP/IP握手过程，建立握手过程，建立标准标准TCPTCP连接来检查目标主机的相应端口连接来检查目标主机的相应端口是否打开。是否打开。Client SYNServer SYN/ACKClient ACK Server端口打开Client SYNServer RST/ACKClient RST Server端口没有打开全开扫描的优点是快速、精确、不需要全开扫描的优点是快速、精确、不需要特殊用户权的限。缺点是不能进行地址特殊用户权的限。缺点是不能进行地址欺骗并且非常容易被检测到。欺骗并且非常容易被检测到。SYN SYN扫描扫描 SYN SYN 扫描是半开扫描方法的一种，它的扫描是半开扫描方

44、法的一种，它的工作流程同完整的三次握手类似工作流程同完整的三次握手类似 ，只是在，只是在第三步时不是发送第三步时不是发送ACKACK包，而代之以包，而代之以RSTRST包包要求中止连接。对于打开的端口，要求中止连接。对于打开的端口，SYN SYN 扫扫描流程如下所示：描流程如下所示：n nClient SYNn nServer SYN/ACKn nClient RST 端口开 对关闭的端口，流程同全开扫描相同，只是这时对关闭的端口，流程同全开扫描相同，只是这时不需要发送第三个包了：不需要发送第三个包了：Client SYNServer RST/ACK 关闭端口由于半开扫描方式在外在表现上同由于

45、半开扫描方式在外在表现上同 SYN flood SYN flood 拒绝拒绝服务攻击方法类似，现在很多服务攻击方法类似，现在很多IDSIDS都可以轻易地检都可以轻易地检测到这种扫描方法。测到这种扫描方法。半开扫描的优点是快速、可绕开基本的半开扫描的优点是快速、可绕开基本的IDSIDS、避、避免了免了TCP TCP 三次握手。缺点是需要超级用户权限，三次握手。缺点是需要超级用户权限，IDSIDS系统可能阻止大量的系统可能阻止大量的SYNSYN扫描，从而造成误报。扫描，从而造成误报。SYN|ACKSYN|ACK扫描扫描 SYN|ACK SYN|ACK 扫描技术省掉了扫描技术省掉了 TCP TCP

46、三次握手的第一三次握手的第一步，步，ClientClient直接发送直接发送SYN|ACKSYN|ACK包到包到serverserver端，根据端，根据serverserver的应答的应答clientclient可以猜测可以猜测serverserver的端口是否打开。的端口是否打开。但考虑到收不到应答的原因还可能是超时、发出包但考虑到收不到应答的原因还可能是超时、发出包被状态检测防火墙过滤掉等原因，这个信息不如被状态检测防火墙过滤掉等原因，这个信息不如TCP connectTCP connect扫描可靠。扫描可靠。SYN|ACKSYN|ACK扫描的优点是扫描的优点是快速快速、可绕开基本的可绕开

47、基本的IDSIDS、避免了避免了TCPTCP三次握手三次握手。缺点是需要超级用户权限、。缺点是需要超级用户权限、不可靠。不可靠。Client SYN/ACK Server RST端口扫描分析比较表（端口扫描分析比较表（1）端口扫描分析比较表（端口扫描分析比较表（2）端口扫描分析比较表（端口扫描分析比较表（3）(二二)系统类型检测技术系统类型检测技术 由于许多安全漏洞是同操作系统紧密相关的，因由于许多安全漏洞是同操作系统紧密相关的，因此，检测系统类型对于攻击者具有很重要的作用。此，检测系统类型对于攻击者具有很重要的作用。攻击者可以先扫描一段网络地址空间，搜集主机类攻击者可以先扫描一段网络地址空间

48、搜集主机类型以及这些主机打开型以及这些主机打开/关闭的端口信息关闭的端口信息 ，然后先暂，然后先暂时把这些数据放在一边时把这些数据放在一边 。当某一系统的新漏洞被发。当某一系统的新漏洞被发现后，攻击者就可以在已经搜集到的情报中寻找相现后，攻击者就可以在已经搜集到的情报中寻找相匹配的系统，从而实施攻击。匹配的系统，从而实施攻击。有三种主要的手段可以用于检测系统类型，即利有三种主要的手段可以用于检测系统类型，即利用用系统旗标系统旗标(Banner Grabbing)(Banner Grabbing)、利用、利用DNSDNS信息信息及利用及利用TCP/IPTCP/IP堆栈指纹堆栈指纹。利用系统旗标

49、利用系统旗标:很多时候，利用系统服务给出的信息，立刻就可很多时候，利用系统服务给出的信息，立刻就可以知道该系统的信息以知道该系统的信息 。这些服务包括。这些服务包括TELNETTELNET、FTPFTP、WWWWWW、MailMail等。最简单的检测方法就是直等。最简单的检测方法就是直接登陆到该系统提供的服务，检查系统给出的内容。接登陆到该系统提供的服务，检查系统给出的内容。利用利用DNSDNS信息信息 主机信息有时还可能通过主机信息有时还可能通过DNSDNS记录泄露出去。如：记录泄露出去。如：www IN HINFO Sparc Ultra 5 Solaris 2.6 solaris IN

50、A www IN HINFO Sparc Ultra 5 Solaris 2.6 solaris IN A 192.168.10.32192.168.10.32 不过由于很少再有管理员配置不过由于很少再有管理员配置HINFOHINFO记录了，这记录了，这种技术相对说来并不是很有效。种技术相对说来并不是很有效。利用利用TCP/IPTCP/IP堆栈指纹堆栈指纹 TCP/IPTCP/IP堆栈批纹指的是操作系统在实现堆栈批纹指的是操作系统在实现TCP/IPTCP/IP协议时的一些特有的实现特征。由于管理协议时的一些特有的实现特征。由于管理员可能会隐藏应用系统所报的信息，也可能会伪员可能会隐藏应用系统所