漏洞扫描技术

1、 漏洞扫描技术漏洞扫描技术课程课程 漏洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术与原理扫描技术与原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现漏洞扫描技术漏洞扫描技术漏洞的发现漏洞的发现漏洞漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统 漏洞的发现漏洞的发现 黑客 破译者 安全服务商组织 漏洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术与原理扫描技术与原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现漏洞对系统的威胁（一）漏洞对系统的

2、威胁（一）7月份来自国内的攻击总数为：383+396+120+441=1340次 漏洞对系统的威胁（二）漏洞对系统的威胁（二） 漏洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术与原理扫描技术与原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现漏洞的脆弱性分析漏洞的脆弱性分析 IIS IIS的脆弱性的脆弱性 CGICGI安全安全 缓冲区溢出缓冲区溢出 拒绝服务拒绝服务 协议分析协议分析 后门后门协议的脆弱性分析协议的脆弱性分析TCP/IPTCP/IP四层模型四层模型 网络接口层；网络接口层；(PPP(PPP、ARP)ARP) 互联层；互

3、联层；(IP(IP、ICMP)ICMP) 传输层；传输层；(TCP(TCP、UDP)UDP) 应用层；应用层；(HTTP(HTTP，SNMPSNMP，FTPFTP，SMTPSMTP，DNSDNS，Telnet )Telnet )IP IP 数据报格式数据报格式01631version hdr lnthtype of servicetotal length of datagramidentification numberfragment offsettime-to-live (ttl)protocolheader checksumsource IP address (4 bytes)destin

4、ation IP address (4 bytes)options field (variable length, max length 40 bytes)data20bytesR DF MFICMPICMP消息格式消息格式081631typecodechecksumcontents depend on type and code081631typecodechecksumidentifiersequence numberexample specific format: echo request/reply optional data general formatUDPUDP数据报格式数据报格

5、式source port number01631destination port numberUDP datagram lengthUDP checksumoptional dataTCPTCP段格式段格式01631source port numberdestination port numbersequence numberacknowledgement numberhdr lgth reservedU A P R S Fwindow sizeTCP checksumurgent pointeroptions field (variable length, max length 40 byt

6、es)data20bytes IP IP层层 IP层的主要缺陷是缺乏有效的安全认证和保密机制。其中最主要的因素就是IP地址问题。TCP/IP协议是用IP地址来作为网络节点的唯一标识，许多TCP/IP服务，包括Berkeley的“r”命令，NFS，X Window等都是基于IP地址来对用户进行认证和授权的。当前TCP/IP网络的安全机制主要是基于IP地址的包过滤(Packet Filtering)和认证(Authentication)技术,它们的正确有效性依赖于IP包的源IP地址的真实性。然而IP地址存在许多问题，协议最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保

7、密机制。这也是引起整个TCP/IP协议不安全的根本所在。 TCP/UDP TCP/UDP层层 由于TCP/UDP是基于IP协议之上的，TCP分段和UDP数据报是封装在IP包中在网上传输的，它们也同样面临IP层所遇到的安全威胁，另外还有针对TCP/UDP协议设计和实现中的缺陷实行的攻击。l TCP的安全问题：针对TCP连接建立时“三次握手”机制的攻击；未加密的TCP连接被欺骗、被劫取、被操纵。存在的主要攻击有：- TCP SYN淹没攻击- TCP序列号攻击- TCP会话截取攻击（TCP Session Hijacking）- TCP连接不同步状态攻击- SYN Sniping攻击- TCP 端口

8、扫描。l UDP的问题：由于UDP是无连接的，更易受IP源路由和拒绝服务攻击，如UDP诊断端口拒绝服务攻击和UDP Echo Loop Flooding攻击。 应用层应用层由于它是基于底下各层基础之上的，下层的安全缺陷就会导致应用层的安全崩溃。此外各应用层协议层自身也存在着许多安全问题，如Telnet、FTP、SMTP等应用协议缺乏认证和保密措施。主要有以下几方面的问题： * Finger：可被用来获得一个指定主机上的所有用户的详细信息（如用户注册名、电话号码、最后注册时间等等），给入侵者进行破译口令和网络刺探提供了极有用的信息和工具。此外，还有Finger炸弹拒绝服务攻击。 * FTP：FT

9、P存在着致命的安全缺陷，FTP使用标准的用户名和口令作为身份鉴定，缺乏对用户身份的安全认证机制和有效的访问权限控制机制；匿名FTP(anonymous FTP)可使任何用户连接到一远程主机并从其上下载几乎所有类型的信息而不需要口令；FTP连接的用户名和口令以及数据信息是明文传输的；FTP服务器中可能含有特洛依木马。 *Telnet：用户可通过远程登录Telnet服务来与一个远程主机相连。它允许虚拟终端服务，允许客户和服务器以多种形式会话。入侵者可通过Telnet来隐藏其踪迹，窃取Telnet服务器上的机密信息，而且，同FTP 一样，Telnet应用中信息包括口令都是明文传输的。Telnet 缺

10、乏用户到主机的认证；Telnet不提供会话完整性检查；Telnet会话未被加密，其中用户ID和口令能被窃听、Telnet会话能被劫取等。*HTTP：HTTP未提供任何加密机制，因此第三方可窥视客户和服务器之间的通信；HTTP是无态协议，它在用户方不存储信息，因此，它无法验证用户的身份；HTTP协议不提供对会话的认证。*E-mail：主要问题有：伪造E-mail；利用有效E-mail地址进行冒名顶替；E-mail中含有病毒；利用E-mail 对网络系统进行攻击，如E-mail炸弹；Sendmail 存在很多安全问题；绝大多数E-mail邮件都不具有认证或保密功能，使得正在网上传输的E-mail很

11、容易被截获阅读、被伪造。 * DNS：域名系统（Domain Name System）提供主机名到IP 地址的映射和与远程系统的互连功能。此外，DNS中还包含有关站点的宝贵信息：机器名和地址，组织的结构等等。除验证问题，攻击DNS还可导致拒绝服务和口令收集等攻击。DNS 对黑客是脆弱的，黑客可以利用DNS中的安全弱点获得通向Internet上任何系统的连接。一个攻击者如果能成功地控制或伪装一个DNS服务器，他就能重新路由业务流来颠覆安全保护。DNS协议缺乏加密验证机制，易发生DNS欺骗、DNS高速缓存污染（DNS Cache Poisoning）和“中间人”攻击。* SNMP：SNMPv1不具

12、备安全功能，它不使用验证或使用明文可重用口令来验证和认证信息，因此对SNMP业务流侦听，进而实现对SNMP数据的非法访问是容易的。一旦攻击者访问了SNMP 数据库，则可以实现多方面的攻击。如黑客可以通过SNMP查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。SNMPv2c以及过度性的SNMPv2u和SNMPv2*虽然具有了一定的安全功能，但是还都存在着一些问题；SNMPv3虽然集成了先前版本的优点，具有了较强的安全性，但是还具有安全弱点，如所采用的DES-CBC加密的安全性不强。 漏洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术与

13、原理扫描技术与原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现扫描技术扫描技术 扫描程序是自动检测远端或本地主机脆弱性的程序。通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内在的安全漏洞。对某一类漏洞进行检查的程序成为一个扫描方法。 扫描常用技术包括扫描常用技术包括ping ping 扫射、端口扫描、操作系统识扫射、端口扫描、操作系统识别、穿透防火墙的扫描别、穿透防火墙的扫描 扫描技术扫描技术 Ping扫描扫描 UDP扫描扫描 TCP扫描扫描 端口扫描端口扫

14、描 操作系统鉴别操作系统鉴别Ping扫描扫描 ICMP应答请求应答请求 ICMP广播广播 无回音的无回音的ICMP协议协议端口服务扫描类型（一）端口服务扫描类型（一）（1）TCP connect扫描 这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。（2）TCP SYN 扫描 这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目

15、标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。 端口服务扫描类型（二）端口服务扫描类型（二）（3）TCP FIN 扫描 向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于

16、系统的实现。某些系统对所有的FIN一律回复RST，不管端口是否打开。在这种情况下，TCP FIM扫描就不适用了。（4）IP分片扫描 这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。（5）UDP端口扫描 许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误 ，需要root权限。（6）UDP recvfrom()和writ

17、e()扫描 如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。端口服务扫描类型（三）端口服务扫描类型（三）端口扫描技术端

18、口扫描技术分块扫描分块扫描分步扫描分步扫描随机扫描随机扫描平行扫描平行扫描动态延迟和重发动态延迟和重发诱骗诱骗扫描技术扫描技术-操作系统识别操作系统识别 捕捉标语信息捕捉标语信息rootpooh # telnet 3Debian GNU/Linux 2.1 DNS HINFODNS HINFO（主机信息）记录（主机信息）记录 主机信息通常是一对字符串，用来标识主机的硬件和操作系统信息：主机信息通常是一对字符串，用来标识主机的硬件和操作系统信息：www IN HINFO “Sparc Ultra 5” “Solaris 2.6” TCP/IP TCP/IP 栈指纹栈指纹 探

19、测器探测器 漏洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术与原理扫描技术与原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现漏洞实例分析漏洞实例分析 Windows漏洞漏洞 Unix漏洞漏洞 路由器漏洞路由器漏洞 CGI漏洞漏洞 Windows2000输入法漏洞输入法漏洞 空会话漏洞空会话漏洞 IISUnicode漏洞漏洞 SQLServer空口令空口令UnixUnix漏洞漏洞 Linux wuftpd2.6.0 FreeBsd Bind 8.2.x 远程溢出漏洞远程溢出漏洞 Linux 内核漏洞内核漏洞漏洞扫描技术漏洞扫描技术 漏

20、洞的发现漏洞的发现 漏洞对系统的威胁漏洞对系统的威胁 漏洞的脆弱性分析漏洞的脆弱性分析 扫描技术和原理扫描技术和原理 漏洞实例分析漏洞实例分析 系统设计与实现系统设计与实现系统设计与实现系统设计与实现 扫描器类型扫描器类型 扫描器基本模块扫描器基本模块 扫描内容扫描内容扫描器类型扫描器类型-主机扫描器主机扫描器主主主机扫描器又称本地扫描器，它与待检查系统运行于同一结点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。由于主机扫描器实际上是运行于目标主机上的进程，因此具有以下特点： 1 1、可以在系统上任意创建进程。为了运行某些程序，检测缓冲区、

21、可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，就要求扫描器做到这一点。溢出攻击，就要求扫描器做到这一点。 2222、可以检查到安全补丁一级，以确保系统安装了最新的安全补、可以检查到安全补丁一级，以确保系统安装了最新的安全补丁。丁。 3 3、可以查看本地系统配置文件，检查系统的配置错误。除非能攻、可以查看本地系统配置文件，检查系统的配置错误。除非能攻入系统并取得超级用户权限，远程扫描器很难实现入系统并取得超级用户权限，远程扫描器很难实现网络扫描器网络扫描器网络扫描器又称远程扫描器。它和待检查系统运行于不同结点，通过网络远程探测目标结点，检查安全漏洞。远程扫描器检查网络和分布式系

22、统的安全漏洞。与主机扫描器的扫描方法不同，网络扫描器通过执行一整套综合的渗透测试程序集，也称扫描方法集，发送精心构造的数据包来检测目标系统是否存在安全隐患。应该说这种扫描方法在某些方面优于主机扫描方法。因为攻击是检验网络安全的最佳手段。 扫描器基本模块扫描器基本模块用户界面扫描引擎扫描方法集漏洞数据库扫 描 输 出报告扫描策略 主机扫描内容主机扫描内容-unix(1)-unix(1)系统完整性检查 关键系统文件变化检查 用户账户变化检查 黑客入侵标记检查 未知程序版本 不常见文件名 可疑设备文件 未经授权服务 网络数据包截获攻击检测 弱口令选择检测 有安全漏洞程序版本检测 标记可被攻击程序 报告需要安装的安全补丁 检查系统配置安全性 全局信任文件主机扫描内容主机扫描内容-unix (2)unix (2) crontab文件 rc系统启动文件 文件系统mount权限 打印服务 账户配置 组配置 检查网络服务安全性 是否允许ip转发 标记有风险服务 ftp 配置 news服务器配置NFS配置 邮件服务器配置 Web服务器配置 检查用户环