第4章漏洞扫描讲述.ppt

漏洞扫描 实例分析 CGI IIS directory traversal漏洞 joit2拒绝服务攻击 HELLO Overflow缓冲区溢出攻击 漏洞扫描的防范 修改系统返回值 对于漏洞扫描，系统管理员可以修改服务器的相应返回值。漏洞扫描是根据对请求的返回值进行判断的，比如IIS directory traversal就是判断返回值中是否存在DIR，有则为漏洞存在，否则为不存在。但是管理员如果修改了返回数值、或者屏蔽返回值，那么漏洞扫描器就毫无用处了。 过滤信息包 通过编写过滤规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，不如源IP地址、信息关键字等等。如此一来，当黑客发送有攻击性信息包的时候，利用过滤工具（如防火墙），信息就会被丢弃掉，从而防止了黑客的扫描。但是这种做法仍然有它不足的地方，例如黑客可以采用动态IP，或者改变攻击性代码的特征，而如果采用的是基于特征匹配方式的检测策略，过滤器很难分辨出信息包的真假。 漏洞扫描的防范 经常系统升级 任何一个版本的系统或应用程序发布后，必然存在着漏洞，即使短期时间内没有收到攻击，但是长时间范围内总是存在着安全隐患。而一旦其中的问题暴露出来，就会遭到不同程度的破坏甚至崩溃。因此使用者要经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，从而保证了服务器的安全。例如微软安全补丁下载中心/downloads/Browse.aspx?isplaylang=zh-cn categoryid=7。 4.4 常用扫描工具 Mysfind扫描器 TwwwScan扫描器 X-Scan扫描器 RangeScan扫描器 Nessus简介 Superscan 流光Fluxay 第四章 漏洞扫描 4.1 系统漏洞 漏洞的概念 漏洞也叫脆弱性(Vulnerability )，是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。 当程序遇到一个看似合理，但实际无法处理的问题时，而引发的不可预见的错误。 系统漏洞又称安全缺陷，一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。 4.1 系统漏洞 漏洞的概念 在计算机安全中，漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷，它能够被威胁利用，从而获得对信息的非授权访问或者破坏关键数据处理。 在计算机安全中，漏洞是指在物理层、组织、程序、人员、软件或硬件方面的缺陷，它能够被利用而导致对自动数据处理系统或行为的损害。漏洞的存在并不能导致损害，漏洞仅仅是可以被攻击者利用，对自动数据处理系统或行为进行破坏的条件。 在计算机安全中，漏洞是指系统中存在的任何不足或缺陷。不同于前面的两个定义，这个定义指出漏洞是在许多不同层次和角度下可以觉察得到的预期功能。按照这个定义，漏洞是对用户、管理员和设计者意愿的一种违背，特别是对这种违背是由外部对象触发的 4.1 系统漏洞 已知系统漏洞 LSASS相关漏洞 （缓冲区溢出漏洞） RPC接口相关漏洞 RPC-RPC（Remote Procedure Call Protocol）——远程过程调用协议 IE浏览器漏洞 （泄露用户信息） URL处理漏洞 (访问某网站，更改浏览器主页) URL规范漏洞 （恶意链接，中木马病毒） FTP溢出系列漏洞 （破坏服务器） GDI+漏洞 （图片携带病毒） 图形设备接口(GraphicsDeviceInterface） 4.2 漏洞扫描相关知识 漏洞扫描基本原理 漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。 漏洞扫描方法 在端口扫描后得知目标主机操作系统类型、开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在 通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞 4.2 漏洞扫描相关知识 漏洞扫描的分类 扫描对象分类 基于网络的扫描 从外部攻击者的角度对网络及系统架构进行的扫描，主要用于查找网络服务和协议中的漏洞。 可以及时获取网络漏洞信息，有效的发现那些网络服务和协议的漏洞，比如利用低版本的DNS Bind漏洞 能够监测到这些低版本的DNS Bind是否在运行。 一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。 4.2 漏洞扫描相关知识