07系统脆弱性分析技术

1第7章系统脆弱性分析技术2基本内容针对网络系统或网络应用的安全技术，本章首先从自我检查的角度入手，分析系统不安全的各种因素，采用工具检测并处理系统的各种脆弱性。37.1漏洞扫描概述漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。标准化组织CVE（CommonVulnerabilitiesandExposures,即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。7.1.1漏洞的概念信息安全的“木桶理论”对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。47.1漏洞扫描概述7.1.2漏洞的发现一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文档。网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有用的信息。57.1漏洞扫描概述7.1.3漏洞对系统的威胁漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。目前，因特网上已有3万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达上千种。目前我国95％的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。漏洞可能影响一个单位或公司的生存问题。67.1漏洞扫描概述7.1.4漏洞扫描的必要性帮助网管人员了解网络安全状况对资产进行风险评估的依据安全配置的第一步向领导上报数据依据77.2系统脆弱性分析信息系统存在着许多漏洞，这些漏洞来自于组成信息系统的各个方面。在前几章我们已陆续介绍了软硬件组件（组件脆弱性）存在的问题、网络和通信协议的不健全问题、网络攻击（特别是缓冲区溢出问题）等方面的内容，这里重点介绍协议分析和基于应用层的不安全代码或调用问题。87.2系统脆弱性分析7.2.1协议分析1、DNS协议分析域名服务器在Internet上具有举足轻重的作用，它负责在域名和IP地址之间进行转换。域名服务系统是一个关于互联网上主机信息的分布式数据库，它将数据按照区域分段，并通过授权委托进行本地管理，使用客户机/服务器模式检索数据，并且通过复制和缓存机制提供进发和冗余性能。域名服务系统包含域名服务器和解析器两个部分：域名服务器存储和管理授权区域内的域名数据，提供接口供客户机检索数据；解析器即客户机，向域名服务器递交查询请求，翻译域名服务器返回的结果并递交给高层应用程序，通常为操作系统提供的库函数之一。域名查询采用UDP协议，而区域传输采用TCP协议。域名解析过程分为两种方式：递归模式和交互模式。97.2系统脆弱性分析7.2.1协议分析1、DNS协议分析（续）对DNS服务器的威胁1）地址欺骗。地址欺骗攻击利用了RFC标准协议中的某些不完善的地方，达到修改域名指向的目的。2）远程漏洞入侵。3）拒绝服务。保护DNS服务器的措施1）使用最新版本的DNS服务器软件。2）关闭递归查询和线索查找功能。3）限制对DNS进行查询的IP地址。4）限制对DNS进行递归查询的IP地址。5）限制区域传输。6）限制对BIND软件的版本信息进行查询。107.2系统脆弱性分析7.2.1协议分析2、FTP协议分析文件传输协议FTP是一个被广泛应用的协议，它使得我们能够在网络上方便地传输文件。FTP模型是典型的客户机/服务器模型。两个TCP连接分别是控制连接和数据连接。FTP协议漏洞分析与防范1）FTP反弹（FTPBounce）。2）有限制的访问（RestrictedAccess）。3）保护密码（ProtectingPasswords）。4）端口盗用（PortSteaUng）。117.2系统脆弱性分析7.2.2应用层的不安全调用1、应用安全概述应用层漏洞才是最直接、最致命的，因为互联网的应用必须开放端口，这时防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。基于B/S结构应用的普及使得应用层安全问题越来越受到重视。据OWASP相关资料显示，2007年的十大应用安全问题排名如下：（1）跨站脚本（XSS）（2）注入缺陷（3）不安全的远程文件包含（4）不安全的直接对象引用（5）跨站请求伪造（6）信息泄漏和异常错误处理（7）损坏的验证和会话管理（8）不安全的加密存储（9）不安全的通信（10）URL访问限制失败127.2系统脆弱性分析7.2.2应用层的不安全调用2、常见Web应用安全漏洞常见的Web应用安全漏洞有：•SQL注入（SQLinjection）•跨站脚本攻击•恶意代码•已知弱点和错误配置•隐藏字段•后门和调试漏洞•参数篡改•更改cookie•输入信息控制•缓冲区溢出•直接访问浏览攻击者利用网站系统的代码漏洞，精心构造攻击代码，完成对网站系统的非法访问或控制，中国、美国、德国和俄罗斯是恶意代码最为活跃的地区。132006年黑客利用SQL注入成功入侵中国移动网站，首页被黑142006年底中国工商银行遭遇“跨站脚本”攻击15恶意代码16应对措施在网站投入使用之前，应该通过“应用层安全检测”。目前比较常见的有“WatchfireAppScan”、“数据库弱点深度扫描器”、“Web应用弱点深度扫描”、“网上木马自动分析溯源器”等产品供检测使用。178.1.2漏洞的发现187.3扫描技术与原理扫描是检测Internet上的计算机当前是否是活动的、提供了什么样的服务，以及更多的相关信息，主要使用的技术有Ping扫描、端口扫描和操作系统识别。扫描所收集的信息主要可以分为以下几种：1）标识主机上运行的TCP／UDP服务。2）系统的结构(SPARC、ALPHA、X86)。3）经由INTERNET可以到达主机的详细IP地址信息。4）操作系统的类型。扫描的几个分类Ping扫描：ICMPTCP扫描UDP扫描端口扫描197.4扫描器的类型和组成扫描器的作用就是用检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具，即主机扫描器和网络扫描器，它们在功能上各有侧重。1．主机扫描器主机扫描器又称本地扫描器，它与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。2．网络扫描器网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。207.4扫描器的类型和组成扫描器的组成一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。整个扫描过程是由用户界面驱动的，首先由用户建立新会话，选定扫描策略后，启动扫描引擎，根据用户制订的扫描策略，扫描引擎开始调度扫描方法，扫描方法将检查到的漏洞填入数据库，最后由报告模块根据数据库内容组织扫描输出结果。用户界面扫描策略扫描引擎扫描方法集漏洞数据库扫描输出报告217.5天镜网络漏洞扫描系统天镜漏洞扫描系统分单机、便携和分布式三种版本，分布式产品组成包含几个部分：1）管理控制中心。负责添加、修改扫描引擎的属性，进行策略编辑和扫描任务制定和下发执行，完成漏洞库和扫描方法的升级，同时支持主、子控设置。2）综合显示中心。实时显示扫描的结果信息。可以进行树形分类察看和分窗口信息察看，显示扫描进度，提供漏洞解释的详细帮助。3）日志分析报表。查询历史扫描结果，提供多种报表模版，形成图、表结合的丰富报表，以多种文件格式输出。4）扫描引擎软件。执行管理控制中心发来的扫描任务，返回扫描结果到综合显示中心显示并存入数据库中。5）扫描对象授权。通过授权许可具体的扫描引擎软件可扫描对象，包括同时扫描的数量，也可以指定那些目标可以扫描或禁止扫描。6）数据库。产品缺省提供MSDE的桌面数据库安装包，用户可以根据扫描规模的大小选用MSDE或者SQLServer作为使用数据库。227.5天镜网络漏洞扫描系统图8-3单中心分布式部署被检测网络被检测网络SDSD扫描引擎扫描引擎显示中心/报表中心控制中心数据库检测网络237.5天镜网络漏洞扫描系统渐进式扫描：根据被扫描主机的操作系统和主机应用等信息智能确定进一步的扫描流程；授权扫描：系统支持用户提供被扫描主机的权限信息，以获取更深入、更全面的漏洞信息；系统稳定性高：扫描过程实时正确处理各种意外情况：如网卡故障、资源耗尽等；扫描系统资源占用少、速度快、误报低、漏报低、稳定性高。天镜扫描技术特点247.5天镜网络漏洞扫描系统支持扫描的主流操作系统：Windows9x/2000/2003/NT/XP、SunSolaris、HPUNIX、IBMAIX、IRIX、Linux、BSD等。天镜可以扫描的对象包括各种服务器、工作站、网络打印机以及相应的网络设备如：3Com交换机、CISCO路由器、CheckpointFirewall、HP打印机、CiscoPIXFirewall等。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。扫描漏洞分类：Windows系统漏洞、WEB应用漏洞、CGI应用漏洞、FTP类漏洞、DNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、MAIL类、RPC、NFS、NIS、SNMP、守护进程、PROXY强力攻击等1000种以上。支持对MSSQLServer、Oracle、Sybase、DB2数据库的扫描功能。自由定制扫描策略漏洞信息规范全面符合CNCVE标准，兼容国际CVE标准与BUGTRAQ等其他漏洞标准。25本章小结漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。简要说明了漏洞的威胁、后果及发现的方法。针对流行的Windows系统，进行了DNS协议分析、FTP协议分析，分析了应用层的脆弱性，介绍了存在的缺陷及检测方法。在此基础上介绍漏洞扫描技术：端口扫描、Ping扫描、TCP扫描、UDP扫描等。扫描器的类型分主机型和网络型两种。最后介绍一种主流的扫描系统――天镜网络漏洞扫描系统。