漏洞扫描技术

漏洞扫描技术课程漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞扫描技术漏洞的发现漏洞是硬件、软件或策略上的缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统

漏洞的发现黑客破译者安全服务商组织Vulnerability漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞对系统的威胁（一）7月份来自国内的攻击总数为：383+396+120+441=1340次

漏洞对系统的威胁（二）漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞的脆弱性分析

IIS的脆弱性

CGI安全缓冲区溢出拒绝服务协议分析后门协议的脆弱性分析TCP/IP四层模型网络接口层；(PPP、ARP)互联层；(IP、ICMP)传输层；(TCP、UDP)应用层；(HTTP，SNMP，FTP，SMTP，DNS，Telnet)IP数据报格式01631versionhdr

lnthtypeofservicetotallengthofdatagramidentificationnumberfragmentoffsettime-to-live(ttl)protocolheaderchecksumsourceIPaddress(4bytes)destinationIPaddress(4bytes)optionsfield(variablelength,maxlength40bytes)data20bytesRDFMFICMP消息格式081631typecodechecksumcontentsdependontypeandcode081631typecodechecksumidentifiersequencenumberexamplespecificformat:echo

request/reply

optionaldata

generalformatUDP数据报格式sourceportnumber01631destinationportnumberUDPdatagramlengthUDPchecksumoptionaldataTCP段格式01631sourceportnumberdestinationportnumbersequencenumberacknowledgementnumberhdr

lgthreservedUAPRSFwindowsizeTCPchecksumurgentpointeroptionsfield(variablelength,maxlength40bytes)data20bytes

IP层

IP层的主要缺陷是缺乏有效的安全认证和保密机制。其中最主要的因素就是IP地址问题。TCP/IP协议是用IP地址来作为网络节点的唯一标识，许多TCP/IP服务，包括Berkeley的“r”命令，NFS，XWindow等都是基于IP地址来对用户进行认证和授权的。当前TCP/IP网络的安全机制主要是基于IP地址的包过滤(PacketFiltering)和认证(Authentication)技术,它们的正确有效性依赖于IP包的源IP地址的真实性。然而IP地址存在许多问题，协议最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保密机制。这也是引起整个TCP/IP协议不安全的根本所在。

TCP/UDP层由于TCP/UDP是基于IP协议之上的，TCP分段和UDP数据报是封装在IP包中在网上传输的，它们也同样面临IP层所遇到的安全威胁，另外还有针对TCP/UDP协议设计和实现中的缺陷实行的攻击。l

TCP的安全问题：针对TCP连接建立时“三次握手”机制的攻击；未加密的TCP连接被欺骗、被劫取、被操纵。存在的主要攻击有：-

TCPSYN淹没攻击-

TCP序列号攻击-

TCP会话截取攻击（TCPSessionHijacking）-

TCP连接不同步状态攻击-

SYNSniping攻击-

TCP端口扫描。l

UDP的问题：由于UDP是无连接的，更易受IP源路由和拒绝服务攻击，如UDP诊断端口拒绝服务攻击和UDPEchoLoopFlooding攻击。

应用层 由于它是基于底下各层基础之上的，下层的安全缺陷就会导致应用层的安全崩溃。此外各应用层协议层自身也存在着许多安全问题，如Telnet、FTP、SMTP等应用协议缺乏认证和保密措施。主要有以下几方面的问题：*Finger：可被用来获得一个指定主机上的所有用户的详细信息（如用户注册名、电话号码、最后注册时间等等），给入侵者进行破译口令和网络刺探提供了极有用的信息和工具。此外，还有Finger炸弹拒绝服务攻击。*FTP：FTP存在着致命的安全缺陷，FTP使用标准的用户名和口令作为身份鉴定，缺乏对用户身份的安全认证机制和有效的访问权限控制机制；匿名FTP(anonymousFTP)可使任何用户连接到一远程主机并从其上下载几乎所有类型的信息而不需要口令；FTP连接的用户名和口令以及数据信息是明文传输的；FTP服务器中可能含有特洛依木马。

*Telnet：用户可通过远程登录Telnet服务来与一个远程主机相连。它允许虚拟终端服务，允许客户和服务器以多种形式会话。入侵者可通过Telnet来隐藏其踪迹，窃取Telnet服务器上的机密信息，而且，同FTP一样，Telnet应用中信息包括口令都是明文传输的。Telnet缺乏用户到主机的认证；Telnet不提供会话完整性检查；Telnet会话未被加密，其中用户ID和口令能被窃听、Telnet会话能被劫取等。*HTTP：HTTP未提供任何加密机制，因此第三方可窥视客户和服务器之间的通信；HTTP是无态协议，它在用户方不存储信息，因此，它无法验证用户的身份；HTTP协议不提供对会话的认证。*E-mail：主要问题有：伪造E-mail；利用有效E-mail地址进行冒名顶替；E-mail中含有病毒；利用E-mail对网络系统进行攻击，如E-mail炸弹；Sendmail

存在很多安全问题；绝大多数E-mail邮件都不具有认证或保密功能，使得正在网上传输的E-mail很容易被截获阅读、被伪造。

*DNS：域名系统（DomainNameSystem）提供主机名到IP地址的映射和与远程系统的互连功能。此外，DNS中还包含有关站点的宝贵信息：机器名和地址，组织的结构等等。除验证问题，攻击DNS还可导致拒绝服务和口令收集等攻击。DNS对黑客是脆弱的，黑客可以利用DNS中的安全弱点获得通向Internet上任何系统的连接。一个攻击者如果能成功地控制或伪装一个DNS服务器，他就能重新路由业务流来颠覆安全保护。DNS协议缺乏加密验证机制，易发生DNS欺骗、DNS高速缓存污染（DNSCachePoisoning）和“中间人”攻击。*SNMP：SNMPv1不具备安全功能，它不使用验证或使用明文可重用口令来验证和认证信息，因此对SNMP业务流侦听，进而实现对SNMP数据的非法访问是容易的。一旦攻击者访问了SNMP数据库，则可以实现多方面的攻击。如黑客可以通过SNMP查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。SNMPv2c以及过度性的SNMPv2u和SNMPv2*虽然具有了一定的安全功能，但是还都存在着一些问题；SNMPv3虽然集成了先前版本的优点，具有了较强的安全性，但是还具有安全弱点，如所采用的DES-CBC加密的安全性不强。

漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现扫描技术扫描程序是自动检测远端或本地主机脆弱性的程序。通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内在的安全漏洞。对某一类漏洞进行检查的程序成为一个扫描方法。扫描常用技术包括ping扫射、端口扫描、操作系统识别、穿透防火墙的扫描扫描技术Ping扫描UDP扫描TCP扫描端口扫描操作系统鉴别Ping扫描ICMP应答请求ICMP广播无回音的ICMP协议端口服务扫描类型（一）（1）TCPconnect扫描这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。（2）TCPSYN扫描这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。端口服务扫描类型（二）（3）TCPFIN扫描向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于系统的实现。某些系统对所有的FIN一律回复RST，不管端口是否打开。在这种情况下，TCPFIM扫描就不适用了。（4）IP分片扫描这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。（5）UDP端口扫描

许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误，需要root权限。（6）UDPrecvfrom()和write()扫描如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。端口服务扫描类型（三）端口扫描技术分块扫描分步扫描随机扫描平行扫描动态延迟和重发诱骗扫描技术--操作系统识别捕捉标语信息[root@pooh]#telnet3DebianGNU/Linux2.1

DNSHINFO（主机信息）记录主机信息通常是一对字符串，用来标识主机的硬件和操作系统信息：wwwINHINFO“SparcUltra5”“Solaris2.6”

TCP/IP栈指纹探测器漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术与原理漏洞实例分析系统设计与实现漏洞实例分析Windows漏洞Unix漏洞路由器漏洞CGI漏洞Windows2000输入法漏洞空会话漏洞IISUnicode漏洞SQLServer空口令Unix漏洞Linuxwuftpd2.6.0FreeBsdBind8.2.x远程溢出漏洞Linux内核漏洞漏洞扫描技术漏洞的发现漏洞对系统的威胁漏洞的脆弱性分析扫描技术和原理漏洞实例分析系统设计与实现系统设计与实现扫描器类型扫描器基本模块扫描内容扫描器类型---主机扫描器主主机扫描器又称本地扫描器，它与待检查系统运行于同一结点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。由于主机扫描器实际上是运行于目标主机上的进程，因此具有以下特点：

1、可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，就要求扫描器做到这一点。22、可以检查到安全补丁一级，以确保系统安装了最新的安全补丁。

3、可以查看本地系统配置文件，检查系统的配置错误。除非能攻入系统并取得超级用户权限，远程扫描器很难实现网络扫描器网络扫描器又称远程扫描器。它和待检查系统运行于不同结点，通过网络远程探测目标结点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。与主机扫描器的扫描方法不同，网络扫描器通过执行一整套综合的渗透测试程序集，也称扫描方法集，发送精心构造的数据包来检测目标系统是否存在安全隐患。应该说这种扫描方法在某些方面优于主机扫描方法。因为攻击是检验网络安全的最佳手段。扫描器基本模块用户界面扫描引擎扫描方法集漏洞数据库扫描输出报告扫描策略

主机扫描内容---unix(1)系统完整性检查关键系统文件变化检查用户账户变化检查黑客入侵标记检查未知程序版本不常见文件名可疑设备文件

未经授权服务网络数据包截获攻击检测弱口令选择检测有安全漏洞程序版本检测标记可被攻击程序报告需要安装的安全补丁检查系统配置安全性全局信任文件主机扫描内容--unix(2)

crontab文件

rc系统启动文件文件系统mount权限打印服务账户配置组配置检查网络服务安全性是否允许ip转发标记有风险服务

ftp配置

news服务器配置NFS配置邮件服务器配置

Web服务器配置检查用户环境变量安全性系统文件属主系统文件权限许可文件属主及权限许可

shell启动文件用户信任文件应用程序配置文件主机扫描内容--windows

允许建立gue