第六章 网络漏洞扫描技术.pptVIP

网络漏洞扫描技术发展趋势 （1）使用插件技术 每个插件都封装一个或者多个安全漏洞的测试手段，主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能，扫描更多的安全漏洞。在插件编写规范公布的情况下，用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单，并具有非常强的扩展性。 网络漏洞扫描技术发展趋势 （2）使用专用脚本语言 它就是一种更高级的插件技术，用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学，往往用十几行代码就可以定制一个简单的测试，为软件添加新的测试项。脚本语言的使用，简化了编写新插件的编程工作，使扩充软件功能的工作变得更加容易，也更加有趣。 网络漏洞扫描技术发展趋势 （3）由安全漏洞扫描程序到安全评估专家系统 最早的安全漏洞扫描程序只是简单地把各个扫描测试项的执行结果罗列出来，直接提供给测试者，而不对信息进行任何分析处理。而当前较成熟的安全漏洞扫描系统都能够将对单个主机的扫描结果整理形成报表，并对具体安全漏洞提出一些解决方法，但对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。未来的安全漏洞扫描系统，应该不但能够扫描安全漏洞，还能够智能化地协助网络信息系统管理人员评估本网络的安全状况，给出安全建议，成为一个安全评估专家系统。 网络漏洞的概念 1）在计算机安全中，漏洞是指系统安全过程、管理控制以及内部控制等中存在的缺陷，它能够被攻击者利用，从而获得对信息的非授权访问或者破坏关键数据处理。 2）在计算机安全中，漏洞是指在物理设施、管理、程序、人员、软硬件方面的缺陷，它能够被利用而导致对系统造成损害。 3）在计算机安全中，漏洞是指系统中存在的任何错误或缺陷。 搜集信息 ICMP响应分析过程中反馈的信息内容包括以下七类 ICMP差错报文格式 ICMP差错报文回显完整性 ICMP差错报文的“优先权”字段 ICMP差错报文IP头部的不分片（DF）位 ICMP报文IP头部的TTL字段 使用代码字段不为0的ICMP回显请求 TOS子字段回显 搜集信息 （2）TCP报文响应分析 【例】 Nmap使用的操作系统探测技巧。一般具有以下八个步骤。 1）FIN探测。发送一个FIN包给一个打开的端口，一般的行为是不响应，但某些实现，例如，MS Windows、BSDI、Cisco、HP/UX、MVS和IRIX会发回一个RESET。 2）伪标记位探测。TCP报文的头部有八个标记位使用“伪标记位”（BOGUS Flag），即把SYN报文的CWR标记位的左边一位置1，然后将这样的非标准SYN报文发给目标TCP端口，低于2.0.35版本的Linux内核会在回应包中保持这个标记，而其他的操作系统似乎都没有这个问题，不过有的操作系统在收到这样的SYN/BOGUS报文时会发送一个RST复位连接。 3）TCP ISN取样。通过在操作系统对连接请求的回应中寻找TCP连接初始化序列号的特征。目前可以区分的类别有传统的64K（旧的UNIX系统使用）、随机增加（新版本的Solaris、IRIX、FreeBSD、Digital?UNIX、Cray和其他许多系统使用）、真正“随机”（Linux?2.0.*及更高版本、OpenVMS和新版本的AIX等操作系统使用）等。Windows平台（还有其他一些平台）使用“基于时间”方式产生的ISN会随着时间的变化而有着相对固定的增长。不必说，最容易受到攻击的当然是老式的64K方式。而最受人们喜爱的当然是“固定”ISN。确实有些机器总是使用相同的ISN，如某些3Com集线器（使用0x83）和Apple?LaserWriter打印机（使用0xC7001）。 搜集信息 4）DF位监视。许多操作系统在它们发送的IP数据报中设置了DF位，这样做的好处在于可以提高传输性能。但并不是所有操作系统都进行这种设置，或者有的系统只是在某些情况下使用这种设置。 5）TCP初始化窗口大小。检查返回数据包的“窗口”大小。以前的探测器仅仅通过RST数据包的非零“窗口”值来标识为“起源于BSD?4.4”。而像queso和nmap这些新的探测器会记录确切的窗口值，因为该窗口随操作系统类型有较为稳定的数值。这种探测能够提供许多有用的信息，因为某些系统总是使用比较特殊的窗口值（例如，AIX是唯一使用0x3F25窗口值的操作系统）。而在声称“完全重写”的NT5的TCP堆栈中，Microsoft使用的窗口值总是0x402E。更有趣的是，这个数值同时也被OpenBSD和FreeBSD使用。 搜集信息 6）ACK值。也许用户会认为ACK值总是很标准的，但事实上操作系统在ACK域值的实现也有所不同。例如，假设向一个关闭的TCP端